Datenschutz: Eco-Verband springt für ICANN in die Bresche

Inhaltsverzeichnis

Bei der laufenden Jahrestagung der Internet Corporation for Assigned Names and Numbers (ICANN) in Abu Dhabi kündigten Vertreter des Eco, des Verbands der deutschen Internet-Wirtschaft, eine Initiative zur Abfassung eines "GDPR Domain Industry Playbook" an. Die großzügigen Sammel-, Aufbewahrungs- und Veröffentlichungspflichten für Domaininhaberdaten, die die private Netzverwaltung den Registries und den Domainverkäufern, den Registraren, auferlegt, verstößt nach Auffassung der Experten gegen die Datenschutzgrundverordnung (General Data Protection Regulation).

Die Zeit läuft

Nach dem 20. Mai kommenden Jahres könnte die ICANN sich möglicherweise "illegal verhalten", hatte der CEO der ICANN, Göran Marby, in Abu Dhabi offen eingeräumt. Der ehemalige schwedische Telekom-Regulierungschef unterstrich, man habe die EU-Datenschutzbeauftragten zwar bereits um Aufklärung gebeten, wie man sich doch noch rechtskonform verhalten kann. Allerdings hat die ICANN selbst noch keinerlei Modell vorgelegt, wie sie die eigenen Verfahren und die Auflagen für betroffene Registries und Registrare eigentlich gestalten will. Und die Zeit drängt.

"Wir müssen wirklich Gas geben", sagt Thomas Rickert, der die Initiative für den Eco-Verband in Abu Dhabi vorstellte. Ohne ein gemeinsam mit Vertretern aus den Registry- und Registrargremien entwickeltes kohärentes Modell müssen ICANN und ihre Vertragspartner, soweit sie EU-Kunden bedienen, mit Bußgeldern rechnen.

Einseitige Umsetzung

Um dem zu entgehen, werden viele Unternehmen einseitig die Bestimmungen umsetzen, hört man in der Branche. "Wir werden ab Mai wohl alle mit den ICANN Verträgen inkompatibel sein", sagte der Vertreter eines deutschen Registrars gegenüber heise online. Abgesehen davon, dass sich die Unternehmen dann Vertragsverletzungsverfahren von Seiten der ICANN gegenübersehen, so wie sie gerade die Registry von .amsterdam und .frl (Friesland) erlebt, folgt daraus auch noch ein Flickenteppich "inkompatibler Einzellösungen", warnt Rickert. "Der eine wird sagen,ich brauche diese Daten für die Registrierung und der andere sagt, die erhebe ich aber nicht," beschreibt Rickert das Szenario.

Erste Aufgabe für das Playbook-Autorenteam werde es sein, ein sauberes Datenmodell zu erstellen. ICANNs Interesse beschränkt sich nach Rickerts Ansicht ohnehin zu einseitig auf die Veröffentlichung der Domaininhaberdaten im so genannten Whois. Die GDPR gehe darüber hinaus und betreffe auch den erzwungenen Datentransfers in die USA zu Sicherungszwecken. In einem umfassenden Datenmodell müssen zudem auch weitere Datenverarbeiter berücksichtigt werden, etwa die nicht mit der ICANN verbundenen Domainreseller.

Sobald die ICANN-Jahrestagung zu Ende ist, soll ein erster Entwurf des Datenmodells entstehen, verspricht Rickert, und ein Überblick darüber, welche Daten für die Domain Registrierungen verzichtbar, welche unverzichtbar und bei welchen es darüber Streit gibt.

GDPR verletzt Handelsverträge

Ein mittleres Endzeitszenario malte in Abu Dhabi eine Vertreterin der US-Regierung ihren Kollegen im Regierungsbeirat der ICANN aus. Die EU Datenschutzgrundverordnung gefährde den Zugang zu Whois Informationen, der für die Sicherheit, den Verbraucherschutz und den Schutz des geistigen Eigentums wichtig sei. Im Kampf der Strafverfolgungsbehörden gegen Botnets, Malware und Phising sei der unbehinderte Zugang zum Whois unverzichtbar. Außerdem sei die GDPR inkompatibel mit Handelsverträgen, in denen der offene Whois-Zugang festgelegt worden sei, fügte sie hinzu und kritisierte zuletzt auch das "extraterritoriale Ausgreifen" des EU-Datenschutzes.

Eine Vertreterin der EU-Kommission erinnerte demgegenüber daran, dass die grundlegenden in der GDPR enthaltenen Bestimmungen schon seit Jahren geltendes Recht in der EU und in einer wachsenden Zahl anderer Länder seien. Die Umsetzung biete eine Gelegenheit, so die Kommissionsvertreterin, die Datenschutzfragen, die letztlich Fragen des sauberen Datenmanagements seien, in der ICANN zu adressieren. (kbe)