Vorschlag für DSGVO-konformes Whois umstritten

Die ICANN ringt um ein Whois-System, das mit der DSGVO kompatibel ist. Ein aktueller Vorschlag ist teuer und wird von den potenziellen Nutzern abgelehnt.

In Pocket speichern vorlesen Druckansicht 157 Kommentare lesen
Logo der ICANN

(Bild: Gorodenkoff / Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Neun Millionen Dollar soll der Aufbau eines neuen Abfragesystems für private Domaininhaberdaten bei der Internet Corporation for Assigned Names and Numbers (ICANN) kosten, und der Betrieb weitere neun Millionen pro Jahr. Das neue System wurde am vergangenen Donnerstag mehrheitlich vom Domain Selbstverwaltungsgremium der ICANN, dem GNSO-Rat, angenommen. Das Problem: der kostspielige Nachfolger des von der Datenschutzgrundverordnung (DSGVO) beendeten Whois-Systems gefällt den intendierten Nutzern überhaupt nicht. Strafverfolger und Markenrechtsnutzer bestehen darauf, dass ihre Anfragen nach persönlichen Daten vollständig zentralisiert abgearbeitet werden.

Über Jahrzehnte wurden private Adressen, Rufnummern und E-Mail-Adressen von Domaininhabern im Netz veröffentlicht, entgegen der Warnungen europäischer Datenschutzbehörden. Erst die empfindlichen Bußgeldandrohungen der DSGVO hatten die ICANN im Frühjahr 2018 zu einer Aufgabe der Publikationspflicht genötigt. Die persönlichen Daten verschwanden aus den für jedermann zugänglichen Whois-Datenbanken. Seitdem hatte die Arbeitsgruppe "Expedited Policy Development Process" (EPDP) fieberhaft daran gearbeitet, wie künftig berechtigten Informationsansprüchen Folge geleistet werden kann, ohne Datenschutzgrundrechte zu verletzen.

Mit ihrem im Ende Juli veröffentlichten Vorschlag eines "hybriden" Systems hoffte die EPDP-Gruppe, der Lösung ein gutes Stück näher gekommen zu sein. Die Anfragen nach Domaininhaberdaten sollen laut diesem Vorschlag zentral über die ICANN eingeliefert werden. Zuvor müssten sich die verschiedenen Anfragesteller – etwa Behörden, Markenrechtskanzleien oder Security-Forscher – offiziell bei der ICANN akkreditieren. Für Strafverfolger aus aller Welt sollten Akkreditierungsverfahren national oder via einer internationalen Organisation, beispielsweise Interpol, erledigt werden.

Ob dann Daten an die anfragende Stelle übertragen werden, würde aber auch künftig dezentral entschieden. Die Entscheidung bliebe Sache des lokalen Vertragspartners des Domaininhabers, in der Regel also des Domainregistrars. Einzelne Ausnahmen sollen dabei durchaus automatisierte Verfahren erlauben, beispielsweise für Anfragen von Strafverfolgern in der jeweils eigenen Jurisdiktion.

Als realitätsnahe Lösung bezeichneten die Domainregistrys diese hybride Lösung, bilde sie doch die Praxis ab, dass über Zugriffsrechte je nach lokalen Gegebenheiten und Rechtsansprüchen entschieden werden müsse.

Die in der ICANN vertretenen Regierungen und die EU-Kommission wollen dagegen ein komplett zentralisiertes System. Das würde bedeuten, dass entweder die ICANN oder ein anderer zentraler "Provider" über die Rechtmäßigkeit von Zugriffen durch Strafverfolger, Markenrechtsinhaber oder Verbraucherschützer entscheidet, quer durch alle Jurisdiktionen.

In ihren Sondervoten zum EPDP-Vorschlag beklagen die Regierungen daher, dass es einen "fragmentierten, anstelle eines zentralisierten Datenzugriffs" gebe. Zudem fehle es an Durchsetzungsmaßnahmen innerhalb des ICANN-Systems für ihre Ansprüche.

Auch eine Reihe weiterer Kritikpunkte listen die Regierungen auf, und stimmen in vielem überein mit den Vertretern großer Unternehmen und den Markenschützern in der ICANN. Letztere ließen bereits vor der Verabschiedung des EPDP-Berichts schon mal wissen, dass sie nun wohl die Regierungen anrufen werden, um ihre Zugriffsrechte durch nationale Gesetzgebung wieder zu erhalten.

Im Grunde wollten Markenschützer und Strafverfolger gerne das alte Whois zurück, meint Michele Neylon. Der Chef des irischen Registrars Blacknight hat den aufwändigen EPDP-Prozess für die Registrar-Gruppe in der ICANN begleitet. Das ist unter den Bedingungen der DSGVO – und anderer Datenschutzgesetze – aber nicht möglich.

Das von Markenschützern und Regierungen favorisierte, komplett zentralisierte System verbietet sich aus Sicht der Registrare vor allem auch deshalb, weil sie rechtlich gesehen verantwortlich für die Datenbeauskunftungen bleiben. Die Entscheidung über Auskünfte an eine zentrale Instanz, etwa die ICANN, abzugeben, während die rechtliche Verantwortung bei den Registraren verbleibt, sei aber eine Aussicht, die kein verantwortungsvolles Unternehmen akzeptieren könne.

Neylon versichert zugleich, dass die Befürchtungen bezüglich des abgeschalteten Whois sich bislang kaum bewahrheitet hätten. Von ICANN in einer Studie befragte Strafverfolger bewerteten zuletzt Whois-Abfragen zwar nur noch zu 20 Prozent als nützlich, gegenüber 80 Prozent vor dem Mai 2018. Doch Neylon verweist darauf, dass die Zahl der Anfragen, die nun direkt bei den Registraren eingehen, überschaubar sei. Zudem habe die Compliance-Abteilung der ICANN gerade mal ein Dutzend Beschwerden bezüglich nicht erteilter Auskünfte erhalten.

Angesichts dieser Zahl erscheint der Preis für das hybride Abfragesystem – immerhin 18 Millionen Dollar im ersten Jahr – allerdings hoch, vor allem, wenn die erklärten Nutzer das System nun auch noch ablehnen, so Neylon. Die GNSO hat den an Vorschlag daher an eine Bedingung geknüpft, als sie ihn an den ICANN-Vorstand zur Umsetzung weitergereicht hat: Bevor der Vorstand das System aufbaut, bedürfe es einer erneuten Diskussion über die Abschätzung von Kosten und Nutzen. Die Whois-Debatte geht also weiter.

(syt)