Internet-Domains und Whois: Transfer von Registrierungsdaten in die USA trotz fehlendem Datenschutz?

Wieder einmal sollen Bestandsdaten von Domainkunden en gros in die USA geliefert werden. Ausgerechnet US-Provider VeriSign fragte beim 56. Treffen der Internet-Verwaltung ICANN nach: Dürfen wir das überhaupt, ohne Safe Harbour und Privacy Shield?

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Server, Rechenzentrum, Vorratsdatenspeicherung
Lesezeit: 7 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Eine Arbeitsgruppe der Internet-Verwaltung Corporation for Assigned Names and Numbers (ICANN) bereitet aktuell die Übergabe von Bestandsdaten von .com- und .net-Nutzern aus aller Welt an VeriSign in den USA vor. Das Problem dabei liegt in der Registrierungs- und Abfragedatenbank Whois: Beim "thin Whois" mit relativ wenigen Domaininhaber-Daten behält ein deutscher Registrar die Kundendaten, auch für Adressen in einer US-Registry wie .com. Bei der fetten Variante ("thick Whois"), die zahlreiche zusätzliche Informationen wie Telefonnummern und Adressen enthält, muss der Registrar die Kundendaten an die Registry weiterreichen, im Zweifel auch über den großen Teich.

Bislang mussten also die .com- und .net-Registries als sogenannte "schlanke" (thin) Registries keine persönlichen Daten von den Domainregistraren in Europa oder anderswo einfordern. Die nachträglichen Transfers widersprechen aber möglicherweise aktuellem EU-Recht: Das Safe-Harbour-Abkommen, das Datenschutzstandards für europäische Daten in den USA garantieren sollte, ist nach dem Urteil des EuGH hinfällig, ein Ersatz durch das sogenannte Privacy Shield steckt im Entwurfsstadium – und wird von Datenschützern scharf kritisiert, während die EU-Kommission aufs Tempo drückt.

Das Thema bessere, zahlreichere und zentraler vorgehaltene Whois-Daten beschäftigt die ICANN, die für die Spielregeln im Domaingeschäft zuständig ist, seit mehr als 15 Jahren. Mit der Übertragung der Domaininhaberdaten von .com und .net an die Registry VeriSign soll der letzte Rest eines dezentralen Whois vollends getilgt werden.

Für die neu von der ICANN eingeführten TLDs (etwa .bayern) hat die Organisation von Beginn an auf zentrale Whois-Datenbanken gepocht. Dafür müssen alle persönlichen Daten auch an die Registry weitergeleitet werden. Hatte das dezentrale Modell Domainkunden noch erlaubt, persönliche Daten einem Registrar im eigenen Land anzuvertrauen, übersieht er beim fetten Modell nicht mehr wirklich, wo seine Daten landen.

Das stößt nun selbst dem US-Providern auf: Dürfen Registrare angesichts der Debatten um Privacy Shield und lokale Datenschutz- oder Datenlokalisierungsgesetze die Datensätze ohne weiteres in die USA übergeben? Das fragte in Helsinki Joe Waldron von VeriSign.

Die Frage werde jetzt in der für die praktische Umsetzung verantwortlichen Arbeitsgruppe diskutiert, teilte Christian Müller vom deutschen Registrar Strato mit. "Vor allem vor dem Hintergrund einer fehlenden Safe-Harbour-Regelung halte ich das für schwierig", betonte Müller. Solange Privacy Shield nicht in trockenen Tüchern ist, gilt die Frage auch für andere Datenverarbeitungsprozeduren der ICANN, etwa die obligatorische Sicherung aller Registrydaten beim US Escrow-Provider Iron Mountain.

Zwar will sich dafür die Denic eG künftig als europäische Alternative anbieten. Dafür hat die Frankfurter .de-Registry inzwischen eine ICANN-Akkreditierung, ist aber teurer als der per ICANN-Vertrag als Standardprovider eingesetzte US-Anbieter.

Um eine intensive Diskussion über die Folgen der Safe-Harbour/Privacy-Shield-Situation kommt die ICANN wohl nicht mehr herum. Zusätzlich zur Whois-Zentralisierung arbeitet eine neue Arbeitsgruppe an einem Whois-Nachfolgesystem. Mit der Einführung des RDAP-Protokolls sollen künftig mehr Datenfelder eingesetzt werden; auch vollständig zentralisierte Datenbank steht wieder einmal zur Debatte.

"200 Teilnehmer, ein Riesenstapel an Dokumenten und Anforderungen" hat die Arbeitsgruppe "Next Generation Registry Directory Services" auf dem Tisch liegen, berichtet die kanadische Datenschutz-Expertin Stephanie Perrin. Sie ist froh, dass nun der Chef des Internet Architecture Board, Andrew Sullivan, Alarm geschlagen hat. Sullivan hatte in einer Mail an das Gremium entschieden vor der Idee einer monolithischen Megadatenbank für alle Whois-Informationen bei ICANN gewarnt.

Die Megadatenbank brächte nicht nur wegen der notwendigen Transfers Datenschutzprobleme en masse. Dazu käme, dass das geplante Nachfolgeprotokoll RDAP mehr Informationsfelder vorsieht. Zwar sind diese optional, Strafverfolger und Regierungen innerhalb der ICANN haben ihre Anforderungen in den vergangenen Jahren aber nicht zurück-, sondern stets höher geschraubt.

Jüngstes Beispiel aus den Debatten um die Bedürfnisse der Strafverfolger: In der neuen "Public-Safety"-Arbeitsgruppe (PSWG) argumentierten US-Vertreter für dringende Nachbesserungen bei der Herausgabe persönlicher Daten durch sogenannte "Privacy Proxy"-Treuhänder. Die PSWG müsse darauf drängen, dass die Privacy Provider die Klarnamen ihrer Kunden auch an Strafverfolgungsbehörden außerhalb des eigenen Landes herausgeben. Über rechtmäßige Kanäle dauern die Datenabfragen den Strafverfolgern zu lang.

Dokumentation: Beispiele für thin Whois und thick Whois, die Andrew Sullivan, Chef des Internet Architeture Board, in seiner Warnmail angeführt hat

thin Whois

Domain Name: ANVILWALRUSDEN.COM
Registrar: TUCOWS DOMAINS INC.
Sponsoring Registrar IANA ID: 69
Whois Server: whois.tucows.com
Referral URL: http://www.tucowsdomains.com
Name Server: NS1.SYSTEMDNS.COM
Name Server: NS2.SYSTEMDNS.COM
Name Server: NS3.SYSTEMDNS.COM
Status: ok https://icann.org/epp#ok
Updated Date: 09-jun-2016
Creation Date: 30-jun-2010
Expiration Date: 30-jun-2017

thick Whois

Domain Name: ANVILWALRUSDEN.COM
Domain ID: 1604487787_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://tucowsdomains.com
Updated Date: 2016-06-09T03:51:47Z
Creation Date: 2010-06-30T19:23:14Z
Registrar Registration Expiration Date: 2017-06-30T19:23:14Z
Sponsoring Registrar: TUCOWS, INC.
Sponsoring Registrar IANA ID: 69
Registrar Abuse Contact Email: domainabuse at tucows.com
Registrar Abuse Contact Phone: +1.4165350123
Reseller: 2228447 Ontario Inc.
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID:
Registrant Name: Contact Privacy Inc. Customer 0124230102
Registrant Organization: Contact Privacy Inc. Customer 0124230102
Registrant Street: 96 Mowat Ave
Registrant City: Toronto
Registrant State/Province: ON
Registrant Postal Code: M6K 3M1
Registrant Country: CA
Registrant Phone: +1.4165385457
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: anvilwalrusden.com at contactprivacy.com
Registry Admin ID:
Admin Name: Contact Privacy Inc. Customer 0124230102
Admin Organization: Contact Privacy Inc. Customer 0124230102
Admin Street: 96 Mowat Ave
Admin City: Toronto
Admin State/Province: ON
Admin Postal Code: M6K 3M1
Admin Country: CA
Admin Phone: +1.4165385457
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: anvilwalrusden.com at contactprivacy.com
Registry Tech ID:
Tech Name: Contact Privacy Inc. Customer 0124230102
Tech Organization: Contact Privacy Inc. Customer 0124230102
Tech Street: 96 Mowat Ave
Tech City: Toronto
Tech State/Province: ON
Tech Postal Code: M6K 3M1
Tech Country: CA
Tech Phone: +1.4165385457
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: anvilwalrusden.com at contactprivacy.com
Name Server: NS1.SYSTEMDNS.COM
Name Server: NS2.SYSTEMDNS.COM
Name Server: NS3.SYSTEMDNS.COM
DNSSEC: unsigned

(jk)