DSGVO und Domain-Daten: ICANN klagt gegen abgespecktes Whois
Angriff ist die beste Verteidigung, dachte sich wohl der Chef der Internet Corporation for Assigned Names and Numers und zog am ersten Geltungstag der Datenschutzgrundverordnung vor Gericht gegen die Tucows Tochter EPAG.
(Bild: TheDigitalArtist)
Die Internet Corporation for Assigned Names and Numbers (ICANN) zieht vor Gericht, um zu verhindern, dass bei der Domainregistrierung künftig weniger Daten erhoben werden. Erwischt hat es den Bonner Registrar EPAG, Tochter des kanadischen Unternehmens Tucows.
Tucows hatte angekündigt, künftig keine Daten zum Tech-C ("Technical Contact" ) und Admin-C ("Administrative Contact") zu erheben. Dazu sieht sich das Unternehmen durch die EU-Datenschutzgrundverordnung (DSGVO) verpflichtet. Die ICANN will das nun per einstweiliger Verfügung verbieten lassen.
Traditionellere Datenfelder
Seit dem 25. Mai veröffentlichen ICANN-Registrare wie EPAG einen deutlich abgespeckten Datensatz zu den über sie registrierten Domains. Völlig getilgt hat die EPAG nicht nur die persönlichen Daten des Domaininhabers, sondern auch die des Tech-C und Admin-C. Dass EPAG die Daten aber künftig nicht einmal mehr erheben und die bislang gesammelten Admin- und Tech-C-Daten löschen will, will die ICANN nicht hinnehmen. In der beim Landgericht Bonn beantragten einstweiligen Verfügung warnen die Anwälte der privaten Netzverwaltung, ohne sofortigen Stopp dieser Praxis durch das Gericht seien die entsprechenden Daten "verloren".
Die Angaben zum Tech-C und zum Admin-C gehören zu den traditionelleren Datenfeldern des in den vergangenen Jahren aufgeblähten Whois. Der Tech-C galt ursprünglich als erster Anlaufpunkt im Fall der Nichterreichbarkeit einer Domain, der Admin-C als Zugriffsberechtigter. Gerade bei privat genutzten Domains, die aus Sicht der DSGVO besonders schutzwürdig sind, wurden früher für beide Felder häufig der eigentliche Domaininhaber eingetragen.Heute dagegen sind meist die Kontaktdaten des Domainregistrars hier verzeichnet. Nicht nur Tucows, sondern auch andere Unternehmen wie etwa die Denic halten beide Felder daher letztlich für verzichtbar. Über den Registrar und dessen Abuse-Mailbox sei die Erreichbarkeit sowohl für den Fall technischer Probleme als auch für etwaige Missbrauchsfragen realisierbar.
Bei der ICANN sieht man das ganz anders. Zwar hatte die private Netzverwaltung kurz vor Torschluss am 17. Mai vorläufige Bestimmungen zur Umsetzung der DSGVO verabschiedet und darin selbst zugestimmt, dass Registries und Registrare tatsächlich alle persönlichen Daten als "redacted" eintragen. Auf die Erhebung der Daten von Tech-C und Admin-C zu verzichten, würde aber, so argumentiert die ICANN, die Strafverfolgung, die Missbrauchsbekämpfung und die Durchsetzung von Markenrechten im Domain Name System behindern. Warum die Erhebung und Speicherung von Inhaberdaten und der Kontakt über die Registrare nicht ausreicht, etwa um den Domaininhaber zu identifizieren, über den Missbrauch seiner Domain zu identifizieren oder selbst wegen Vergehen zu belangen, wird in dem Schriftsatz allerdings nicht klar. Die Eintragung von Marken, die ja eigentlich ähnlich sei wie die Eintragung von Domains, sei übrigens auch nicht von der DSGVO berührt, schreiben die Anwälte der ICANN. Eine Präzedenzentscheidung, die der ICANN das zusagt, käme der privaten Netzverwaltung sehr gelegen.
Nun sollen die Gerichte entscheiden
Nicht zuletzt dient die exemplarische Klage wohl auch dazu, sich etwas Zeit zu verschaffen. Bis zuletzt hatte die Organisation versucht, sich von der zum EU Privacy Board mutierten Artikel-29-Gruppe der EU-Datenschützer eine Art Durchsetzungsmoratorium zu bekommen. Dem erteilten die Datenschützer mit Brief vom Sonntag eine endgültige Absage. Durchsetzungsmoratorien seien nicht vorgesehen. Weil die ICANN durch die Umsetzung der DSGVO unter Beschuss von der US-Regierung, aber durchaus auch einem Teil der EU-Kommission kommt, geht man mit der Klage jetzt in die Offensive.
Tucows und die EPAG entsprechen mit ihrem datensparsameren Whois in der Tat nicht den vorläufigen Bestimmungen der ICANN, teilte Tucows CEO Elliot Noss auf Anfrage von heise online mit. Doch die vorläufige Politik der ICANN stimme seiner Auffassung nach auch noch nicht mit der DSGVO überein, so Noss, "aber die DSGVO ist kompliziert und die Gerichte können nun entscheiden." (mho)
