Whois-Politik: Datenschützer aus aller Welt raten zu deutlich mehr Datensparsamkeit
Hätte die ICANN nicht jahrelang die Datenschutzfragen schleifen lassen, wäre die Vorbereitung auf die Umsetzung der Datenschutzgrundverordnung nicht so schwierig, meinen Datenschutzbeauftragte. Sie haben Empfehlungen für die privaten Domainverwalter.
(Bild: vchal/Shutterstock.com)
Passend zum Beginn der 61. Tagung in San Juan, Puerto Rico, hat die von der Berliner Datenschutzbeauftragten Maja Smoltczyk geleitete "Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation" (IWGDPT) ihre Empfehlungen zur Whois-Politik herausgegeben. Im Whois sind – bislang auf Druck der ICANN öffentlich zugänglich – die Namen, Anschriften, Rufnummern und E-Mail-Adressen privater Domaininhaber verzeichnet. Seit vielen Jahren kritisieren die europäischen Datenschützer diese Praxis, aber erst die potenziell hohen Strafen der Datenschutzgrundverordnung brachten Bewegung in die Debatte.
Das ICANN-Management legte in der Nacht zu Freitag ihren endgültigen Vorschlag für eine Interimslösung vor, der mit der Praxis der Publikation der privaten Domaininhaberdaten aufräumt. Ähnlich wie die DeNIC, die kürzlich eine neue Whois-Politik für de-Adressen ankündigte, will nun auch die ICANN auf die Veröffentlichung privater Namen und Adressdetails für .com, .info, .berlin oder .saarland-Domains verzichten. Ein direkter Kontakt zum Domaininhaber soll allerdings, anders als bei der DeNIC, über ein neutrales Webformular oder eine neutrale E-Mail-Adresse möglich sein.
Zu kurz gesprungen
Aus Sicht der Datenschützer ist es mit den Zugeständnissen bei der Veröffentlichungspolitik alleine aber keineswegs getan. In ihren Empfehlungen pochen sie auf eine grundsätzliche Überprüfung von Erhebung, Bevorratung und Transfers der Domaininhaberdaten. Die stetige Aufblähung der gesammelten Daten (bis hin zu Logs) nennen die Datenschützer unverhältnismäßig, die erst 2013 eingeführte Bevorratung persönlicher Daten für bis zu zwei Jahre nach Vertragsende fragwürdig. "Eine Vorratsdatenspeicherung ist möglicherweise nicht rechtmäßig und nicht verhältnismäßig, insbesondere, da eine Reihe von Datenelementen offensichtlich allein zum Zweck künftiger strafrechtlicher Ermittlungen erhoben werden", kritisiert die Berliner Gruppe.
Auch die erzwungenen Datentransfers kreuz und quer über den Globus, von denen die Nutzer meist keine Ahnung haben, halten die Datenschützer für problematisch und überprüfungswürdig. Warum die Registrierung von Domains bei europäischen Registries wie .info oder .berlin über einen deutschen Registrar oder ISP die Weitergabe persönlicher Daten in die USA erzwingt, leuchtet den Datenschützern nicht ein. Wenn es technisch nicht erforderlich ist, sei eine dezentrale Datenhaltung, wie sie früher üblich war, zu bevorzugen, sagte die Sprecherin der Berliner Beauftragten für den Datenschutz.
Dass die ICANN in ihrem jüngsten Interimsvorschlag bei der eigentlichen Erhebung und den Transfers der Daten den bisherigen Status Quo beibehalten will, stößt bei der Berliner Behörde auf Skepsis. Sie verlangt einen umfassenden Ansatz. "Die ICANN muss sich darauf besinnen, was der Zweck der Datenerhebung ist, und dieser Zweck muss legitimiert sein im Rahmen der ICANN-Aufgaben", erläuterte die Sprecherin. Sie bezweifle daher, dass ein bloßer Verzicht auf die Veröffentlichung von persönlichen Daten ausreichend sei, sagte sie gegenüber heise online.
Schlacht um Zugriff
Für die bevorstehende Tagung in San Juan erwarten Beobachter allerdings weniger eine Diskussion über Datensparsamkeit denn eine Schlacht darüber, wie verschiedene Gruppen ihre Datenpfründe sichern. Im Regierungsbeirat der Organisationen stehen die Sorgen der Strafverfolger auf der Tagesordnung, die vor Einschränkungen bei der Ermittlung von Betrügern warnen. Die Datenschützer selbst sind hier in der Regel nicht vertreten.
Damit Strafverfolger künftig Zugriff auf die gesammelten, aber nicht mehr veröffentlichten Daten erhalten können, soll ein System zur Akkreditierung berechtigter Nutzer, darunter der Strafverfolgungsbehörden aus aller Welt und die für Schiedsverfahren zuständigen Stellen, entwickelt werden, heißt es in dem Interimsmodell. Weil das ein ziemlich kompliziertes Unterfangen ist, erwägt die ICANN zunächst eine "Selbstzertifizierung". Neben den Strafverfolgern würden sich darüber auch weitere "Bedarfsträger" freuen, unter anderem auf den Markenschutz spezialisierte Unternehmen oder "Mehrwert"-Dienstleister wie DomainIQ oder Domain Tools. Letztere verdienen mit den aus dem Whois gezogenen Daten gutes Geld. (mho)
