Europas Datenschützer warnen vor Domain-Vorratsdatenspeicherung

Die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten wendet sich entschieden gegen eine Vorratsdatenspeicherung für Domaininhaber. In einem jetzt bei der privaten Netzverwaltung Internet Cooperation for Assigned Names and Numbers (ICANN) veröffentlichten Brief bezeichnen die Datenschützer die neuen Bestimmungen für die Whois-Datenbanken als nicht mit dem europäischem Datenschutzrecht vereinbar. Würde die ICANN die von den Strafverfolgern geforderten Bestimmungen unverändert in ihre Verträge mit Domainregistraren aufnehmen, seien europäische Aufsichtsbehörden gezwungen, gegen die Registrare vorzugehen, lautet die Ansage. Auch deutsche Datenschützer hatten sich kürzlich alarmiert gezeigt angesichts der Whois-Pläne.

Seit mehreren Jahren haben vor allem anglo-amerikanische Strafverfolgungsbehörden Druck auf die Domainregistrare ausgeübt, damit diese schärferen Bestimmungen zu den Whois-Daten in ihren Verträgen mit der privaten Netzverwaltung ICANN zustimmen. Die im Jahr 2012 auf Initiative des FBI nachgeschobene Vorratsdatenspeicherung soll Domainanbieter weltweit verpflichten, die Informationen über Domaininhaber dauerhaft und bis zu zwei Jahre nach Vertragsende mit einem Domainkunden aufzubewahren.

Die europäischen Datenschützer kritisieren jetzt, dass die vorgeschlagene Vorratsdatenspeicherung nicht auf Personendaten, die für den Whois-Eintrag erfasst werden, beschränkt sein soll. Vielmehr sollen auch Telefonnummern, Emailadressen und Kreditkartendaten, sowie Kennungen von Kommunikationsdiensten, etwa Skypenamen, Quell- und Ziel-IP-Adressen der Kommunikation zwischen Registrar und Kunde und HTTP-Header gespeichert werden. Für eine solche Datensammelei gebe es aber weder einen legitimen Zweck noch eine Rechtsgrundlage, unterstreichen die Datenschützer.

Als "exzessiv und daher rechtswidrig" beurteilt die Artkel-29-Gruppe auch eine weitere geplante Vertragsklausel, nach der Registrare jährlich die gespeicherten Kontaktdaten überprüfen sollen. Zwar seien korrekte Daten durchaus im Sinn des Datenschutzes. "Die Notwenigkeit persönliche Daten akkurat zu speichern, darf aber eben nicht zu einer uferlosen Sammlung und weiteren Verarbeitung von Daten führen", befinden die Datenschützer. Es sei wichtig, zwischen den von den Registraren gespeicherten Vertragsdaten einerseits und den im öffentlichen Whois zu speichernden Kontaktdaten zu unterschieden.

Grundsätzlich warnen die Datenschützer, die ICANN werde das Problem mit nicht korrekten Whois-Daten – um solche geht es den Strafverfolgern vor allem – nicht lösen, solange es nicht ein Grundproblem anpackt: "die unbegrenzte öffentliche Zugänglichkeit privater Kontaktdaten in der Whois-Datenbank". Diese seien ein Einfallstor für Spammer und alle Arten von Datensammlern. Leider habe sich die ICANN bislang allen Vorschlägen für einen abgestuften Zugang zu den Whois-Daten verschlossen, auch von Seiten der Artikel-29-Gruppe. Man dürfe in der Debatte nicht vergessen, dass die ursprüngliche Zweckbestimmung der Whois-Daten darin bestanden habe, Konfigurationsprobleme mit einer Domain zu lösen. Die Nutzung der Daten für andere Zwecke, auch für Strafverfolgungszwecke, sei daher nicht legitim.

Um die Registrarverträge und die weitere Gestaltung des Whois wird auch beim Ende der Woche in Toronto startenden ICANN-Treffen heftig gerungen werden. ICANNs Sicherheits-Beraterausschuss hat sich kürzlich in ungewöhnlich kritischer Form mit den Empfehlungen des Whois-Review-Teams auseinandergesetzt. Ein einheitliches Whois für alle Jurisdiktionen und Registrare ist nach Ansicht der Experten nicht realisierbar.

Die ICANN macht angesichts der nicht verstummenden Klagen von Strafverfolgern jedoch derzeit auch auf Entwickler bei der Internet Engineering Taskforce Druck. Sie sollen einen neuen und sowohl für Domainregistries als auch IP-Adressregistries einheitlichen Standard für die Whois-Datenbank schaffen. Für die EU-Datenschützer heißt das, dass sie wohl noch viel Aufklärungsarbeit zu leisten haben – denn eine Durchsetzung von EU-Datenschutzstandards gegen einmal geschaffene ICANN-Verträge hat sich schon bislang als wenig realistisch erwiesen. (rek)