Datenschützer: Vorratsdaten für Domainregistrierungen widersprechen deutschem Recht
Für die Speicherung von Kommunikationsvorgängen rund um Domain-Registrierungen gibt es laut Bundesdatenschutzbeauftragten keine gesetzliche Grundlage.
Kommunikationsvorgänge zu speichern, die bei der Registrierung von Domains bei der Internet Corporation for Assigned Names and Numbers (ICANN) anfallen, ist nach deutschem Datenschutzrecht nicht zulässig. Das teilte das Büro des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) auf Anfrage von heise online mit. Im Rahmen der Neuverhandlung von Verträgen mit den Registraren von generischen Top Level Domains wollen Strafverfolger eine umfassende Sammlung und langfristige Speicherung von Bestands- und Verkehrsdaten zu registrierten Domains durchsetzen. Die ICANN und das Bundeswirtschaftsministerium wollten das Ansinnen auf Anfrage bislang nicht kommentieren.
Insgesamt beurteilt das BfDI kritisch, dass privatwirtschaftliche Stellen vertraglich zu einer Vorratsdatenspeicherung für Stafverfolgungszwecke verpflichtet werden sollen, die nach deutschem Recht nicht zulässig sei. "Das deutsche Rechtssystem erlaubt aber keine Umgehung oder Aushebelung der Gesetze durch Vertrag", erläutert das zuständige Fachreferat des BfDI.
"Eine Erhebung und Speicherung der Daten über die Kommunikation, die im Zusammenhang mit der registrierten Domain steht, ist – soweit sie durch direkten Zugriff via Internet erfolgt, somit also Nutzungsdaten nach dem Telemediengesetz betroffen sind – unzulässig", heißt es in der BfDI-Stellungnahme. Das Telemediengesetz sehe "eine Datenspeicherung für Strafverfolgungszwecke nicht vor".
Registrare dürften auch nicht Kommunikationsvorfälle via E-Mail oder Telefon speichern, denn weder bestehe hier ein geschäftliches Interesse noch sei das gesetzlich geregelt. Bankdaten dürften laut Bundesdatenschutzgesetz nur in einem Einzugsverfahren gespeichert werden. Für ihre Forderung, nicht nur Kreditkarten-, sondern auch den dreistelligen Sicherheitscode zu speichern, ernten die Strafverfolger von den Datenschützern Kopfschütteln.
Schon im Fall der Veröffentlichung von Whois-Daten sahen sich deutsche Registrare einmal gezwungen, bei der ICANN für eine Ausnahmeregelung zu streiten, um deutsche Datenschutzbestimmungen einhalten zu können. Die ICANN hatte getrieben von US-Behörden die Veröffentlichung der Kontaktdaten privater Inhaber von Domains im Whois in ihren Verträgen festgeschrieben. Deutsche Datenschützer hatten jedoch die Veröffentlichung privater E-Mail-Adressen und Telefonnummern für nicht zulässig erklärt. Am Ende gewährte die ICANN die Ausnahme, doch kaum ein Registrar nimmt sie heute für sich in Anspruch. (anw)
