Google spuckt deutsche Whois-Daten aus

Whois-Daten des DeNIC lassen sich neuerdings auch über Google finden, teilweise auch unter dem Namen des jeweiligen Domaininhabers. Die Suchmaschine listet dabei eine Seite von Domaintools, einem Angebot der US-Firma NameIntelligence, die im vergangenen Mai von Thought Convergence gekauft wurde. DomainTools aggregiert Daten inklusive der Privatadressen über die "History" der Seiten bis hin zu Querverweisen, welche Domains der Inhaber noch hält.

So lässt sich nun im klassischen Google-Fenster beispielsweise über die Abfrage "whois Bahn.de" der Treffer auf den entsprechenden Domaintool-Eintrag erzeugen. Die Auffindbarkeit der Inhaberdaten von Domains allein über den Namen des Inhabers hat allerdings mit dem Zweck, für den die Daten ursprünglich erhoben wurden, nichts mehr zu tun. Google reagierte bislang nicht auf Anfragen von heise online.

de-Whois-Informationen liefert Google dabei offenbar nicht standardmäßig, anders als etwa bei Whois-Adressen anderer Adresszonen wie com, co.uk oder org. Diese erscheinen jeweils mit einem Symbol versehen als erster Treffer bei Abfragen über google.com. Die bei Domaintools gelisteten de-Adressen erscheinen ohne Symbol, sie finden sich häufig nicht an erster Stelle. de-Adressen, die für E-Mail oder Weiterleitungen genutzt werden, werden offenbar nicht gelistet, auch wenn sie bei Domaintools verzeichnet sind. Wieviele de-Whois-Datensätze Domaintools vorhält, ist nicht bekannt. Anfragen von heise online an NameIntelligence blieben bislang unbeantwortet. Laut eigenen Angaben verfügte Domaintools allerdings bereits 2007 über 80 Millionen Whois-Einträge und erlaubt darüber auch eine Suche nach Domaininhabern.

Google hatte bereits 2004 erstmals eine Whois-Abfrage auf seiner Seite integriert. Doch VeriSign Global Registries, der insbesondere die .com und .net-Zonen vorhält, untersagte dem Suchmaschinenbetreiber die Abfrage über sein Whois. Im vergangenen Jahr hat sich Google laut Berichten in einschlägigen Fachblogs mit Domaintools zusammengetan.

Das DeNIC ist angesichts der Veröffentlichung privater Adressen von Domaininhabern ratlos. "Insbesondere nach deutschem Datenschutzrecht ist die Veröffentlichung nicht zulässig", sagt DeNIC-Geschäftsführerin Sabine Dolderer. "Gegen die datenschutzrechtlich unzulässige Veröffentlichung von Daten kann jedoch stets nur der Inhaber vorgehen." Um ein Abgreifen von whois-Daten im großen Stil zu unterbinden, habe DeNIC bereits vor Jahren ein zweistufiges Abfrageverfahren implementiert und begrenze überdies die Anzahl der Abfragen pro IP-Adresse.

"Trotzdem beobachten wir in Einzelfällen, dass versucht wird, durch Wechseln der IP-Adressen diese Beschränkungen zu umgehen, und wir prüfen auch, wie wir hier die Daten besser und zuverlässiger schützen können", sagt Dolderer. Änderungen an der herrschenden Praxis, nach der Namen und Adressen von Privatnutzern im Whois offen aufgeführt werden, hält die DeNIC-Chefin nicht für notwendig. So sieht es auch Ralf Menger von der zuständigen datenschutzrechtlichen Aufsichtsbehörde beim Regierungspräsidium in Darmstadt, es gebe "erst einmal keine Änderung der rechtlichen Beurteilung".

Grundlage der Whois-Einträge sei der Paragraph 28 Absatz 1, Satz 1, Bundesdatenschutzgesetz, der eine Erhebung, Speicherung, Vorhaltung und Übermittlung personenbezogener Daten oder deren "Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke" zulasse, "wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient", erläutert Menger. Die deutschen Datenschützer hätten dem DeNIC vor einigen Jahren das Herausnehmen privater E-Mail-Adressen und Telefonnummern aus dem Whois aufgetragen. Diese seien nicht erforderlich und übrigens ein beliebtes Ziel von Spammern.

Auf die Listung von Namen und Adressen privater Inhaber will das DeNIC aber nicht verzichten. Diese seien bei technischen Problemen oder bei Verletzung der Rechte Dritter notwendig, heißt es in den Datenschutzbestimmungen der deutschen Registry. Eine Forderung der Artikel-29-Datenschutz-Gruppe der EU aus dem Jahr 2003, Privatnutzer eine Registrierung zu ermöglichen, ohne die Veröffentlichung ihrer persönlichen Daten zu erlauben, sei eher eine rechtspolitische Forderung und insbesondere bei den Registries in den USA kaum durchzusetzen, so Menger.

Noch macht offenbar kein europäischer Registrar Gebrauch vom Zugeständnis der privaten Netzverwaltung ICANN, entsprechend eigener Datenschutzgesetze weniger Daten zu veröffentlichen. Wer eine .com- oder .info-Domain hält, kann daher über Google und Domaintools zusätzlich zu Namen und Privatadressen auch die Rufnummer und E-Mail-Adresse aus seinem Whois-Eintrag auffinden. Sparsamer ist dagegen die britische Registry Nominet. Bei .co.uk-Adressen findet sich im Datensatz von Google/Domaintools mitunter der Hinweis: "Der Inhaber dieser Domain nutzt sie nicht-kommerziell und hat sich entschieden, seine Adresse aus dem Whois streichen zu lassen." Auch Captcha-Verfahren wie bei Eurid stellen offenbar einen Schutz dar, .eu-Whois-Daten bei Domaintools liefern häufig keine Inhaberdaten.

Für besorgte Nutzer hierzulande empfiehlt sich derzeit ein Treuhänder-Service und eventuell eine kritische Nachfrage beim com-, net-, info- oder org-Registrar. Die Mehrzahl der Nutzer in Deutschland seien ohnehin weniger um den Schutz ihrer Daten besorgt als um den Verlust ihrer Domain im Falle falscher Angaben, versichern allerdings Registrare. (Monika Ermert) / (anw)