EU-Datenschützer: Domainregistrierung und DSGVO immer noch nicht vereinbar
Der Europäische Datenschutzausschuss wirft der ICANN vor, die DSGVO noch nicht ganz verstanden zu haben und fordert Nachbesserung.
Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) ist noch immer nicht zufrieden mit der Zweckbestimmung für die Sammlung von Domaininhaberdaten. Das haben die Datenschützer der Internet Corporation for Assigned Names and Numbers (ICANN) in einem neuen Brief mitgeteilt. In ihrer Satzung vermische die private Netzverwaltung den Zweck der eigenen Datenerhebung mit durchaus berechtigten Interessen Dritter, warnen die europäischen Datenschützer.
Praktisch um fünf vor zwölf – am 17. Mai 2018 – hatte die ICANN eine Interimsregelung für die Publikation privater Domaininhaberdaten veröffentlicht. Der Umfang und die Dauer der Datenspeicherung sowie die Verwendung der über Domaininhaber in den Whois-Datenbanken gesammelten Daten sind seit Jahren umstritten. Die DSGVO brachte die ICANN in Zugzwang.
Umfang, Zweck und Dauer
Im ihrem neuen Schreiben wiederholt die aus der Artikel-29-Datenschutzgruppe hervorgegangene Datenschutzkommission ihre Bedenken gegenüber einer ausufernden Zweckbestimmung, die letztlich Interessen Dritter gleich mitberücksichtigt. Natürlich können Strafverfolger oder Markenrechtsinhaber Einblick in die bei der ICANN gespeicherten Informationen begehren, heißt es da. Dafür unterlägen sie dann aber eben ihrerseits den gesetzlichen Bestimmungen hinsichtlich Zweck und Umfang des Zugriffs. ICANNs Frage nach zulässigen Höchstspeicherfristen kontert das EDPB mit dem Hinweis, die ICANN habe bislang nie dargelegt, warum Domaininhaberdaten zwei Jahre nach Ende eines Vertragsverhältnisses noch gebraucht würden.
Auch mit Blick darauf, was alles gesammelt werden muss, raten Europas Datenschützer zu Sparsamkeit. Sie geben damit zugleich den Bonner Richtern Recht, die kürzlich einen Antrag der ICANN abgelehnt hatten, die Tucows Tochter EPAG per einstweiliger Verfügung zu verpflichten, auch künftig Daten für einen AdminC und TechC von ihren Kunden einzusammeln. Nutzer sollten selbst entscheiden können, einen AdminC oder TechC zu benennen. Daten derjenigen, die diese Funktionen bekleiden, sollten allerdings auch nicht öffentlich im Whois stehen, ergänzen die Datenschützer. Das gelte auch für Firmen-Accounts.
Weitere Datenschutzfragen offen
Zu der bei ICANN gerade heftig diskutierten Akkreditierung verschiedener Whois-Nutzergruppen bemerkt das EDPB schließlich lapidar, es sei Wurst, ob man externe Nutzer zertifiziert oder Codes of Conducts entwickele. Entscheidend sei nur, dass allein berechtigte Parteien Zugriff auf die Domaininhaberdaten bekommen und dass man den Domaininhabern gegenüber Rechenschaft ablegt, wer Daten abgefragt hat.
Bei ICANN dürfte die Debatte um die Umsetzung der DSGVO damit weiter gehen, denn – so das EDPB – seien längst noch nicht alle Datenschutzfragen geklärt. (olb)
