DSGVO: ICANN debattiert zentrales Whois und schon den Zugriff darauf

Markenrechtsinhaber und kommerzielle Internetnutzer wollen auch nach Wirksamwerden der EU-Datenschutz-Grundverordnung Zugang zu privaten Whois-Daten haben und werden dabei von den Regierungen bei der Internet Corporation for Assigned Names and Numbers (ICANN) klar unterstützt. Damit sehen sie sich nun fast am Ziel. Allein die Vertreter von Universitäten und nicht-kommerziellen Domaininhabern mahnen auf dem laufenden Treffen der ICANN in Barcelona, dass das Whois nicht für Markenrecherchen und strafrechtliche Ermittlungen angelegt wurde.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

• c't wissen DSGVO im heise shop

Noch kurz vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai hatte die private Netzverwaltung die Notbremse gezogen, die Publikation von Kontaktinformationen für Domaininhaber wurde schnell auf Eis gelegt. Aktuell werden private E-Mail- und Postadressen sowie Rufnummern zwar noch gesammelt, aber nicht mehr publiziert. Die Veröffentlichung der privaten Daten war Datenschützern in Europa seit Jahren ein Dorn im Auge und widersprach in weiten Teilen auch schon der Datenschutzrichtlinie aus dem Jahr 1995.

Besorgnis über entwischte Vergewaltiger

Erst die hohen Bußgeldandrohungen der DSGVO brachten Bewegung in das Geschäft mit den Whois-Daten. Einen Erfolg des aktuellen Verfahrens ist laut dem Registrar EPAG etwa, dass Spammails deutlich abgenommen haben. Gegen EPAG führt die ICANN derzeit einen Rechtsstreit, weil die Tucows-Tochter auch den Umfang der Whois-Datenerhebung eingeschränkt hat.

In Barcelona beklagten Strafverfolger, gerade auch aus Europa nun, die Einschränkungen beim Zugriff auf die Domaininhaberdaten behindere ihre Ermittlungen bei Onlinebetrug, sexueller Ausbeutung von Kindern und Terrorbekämpfung. Ein schwedischer Beamter bat bei der ersten Plenumssitzung der sechs Tage laufenden Mammutveranstaltung: "Wir bräuchten schnellen Zugriff auf das Whois. Gäbe es vielleicht eine Möglichkeit, rasch dieses Uniform Access Modell (UAM) bereitzustellen? Jeden Tag, den wir hier sitzen, werden nämlich Kinder vergewaltigt; wir als Beamte müssen die Schuldigen finden und brauchen alle Werkzeuge, die wir nur kriegen können."

Zahlen zu Einschränkungen ihrer Arbeit bei der Verfolgung von Markenfälschern lieferten auch verschiedene Firmen. Manche der Zahlen waren allerdings selbst gefälscht oder zumindest geschönt, wie Tucows Chef Elliot Noss in einem Brandbrief zu den Anschuldigungen des Unternehmens Appdetex zu Protokoll gab. Automatisiert waren 1200 Anfragen zu Domains bei Tucows eingegangen. Die Nachfragen nach der jeweiligen Grundlage für die Anfrage lieferte Appdetex aber erst ganz kurz vor dem ICANN-Treffen.

Auch Europäer fordern umfangreichen Zugriff

Solchen Diskussionen zum Trotz fordern die bei der ICANN vertretenen Regierungen ebenfalls den möglichst raschen Einstieg in ein UAM. Dass auch Europas Regierungen einen umfänglichen Zugriff auf die Daten – natürlich im Rahmen der Gesetze – gemeinsam mit den besonders aktiven US-Behörden befürworten, wundert manche Datenschutzexperten. "Das ist ein bisschen beängstigend", sagte Stephanie Perrin, ehemalige kanadische Datenschutzbeamtin und Vorsitzende der Stakeholder-Gruppe der nicht-kommerziellen Domaininhaber.

Aus Sicht der Datenschutzexperten ist nicht zuletzt die Idee eines zentralen Zugriffs auf die Whois-Daten, die ICANN-CEO Göran Marby prüfen möchte, heikel. Einerseits zäumt Marby das Pferd nach Ansicht einiger Experten von hinten auf. Bevor über den Zugriff gesprochen werden kann, müsse erst eine im August eigens eingesetzte Arbeitsgruppe datenschutzrechtliche Zusatzfragen klären: Was ist der Zweck des Whois, welche Daten dürfen überhaupt gesammelt und von wem bei der Domainregistrierung verarbeitet werden?

Obwohl die Arbeitsgruppe unter dem Titel Expedited Policy Development Process (EPDP) arbeitet, kommt sie wegen der schwierigen Fragen nur langsam voran. Schon jetzt über den Zugang zu reden, halten daher manche für verfrüht und zudem beim ICANN-Chef falsch angesiedelt.

Einige Registries und Registraren sehen allerdings auch Vorteile. Das zentrale Whois-Portal würde ihnen die Arbeit abnehmen, die künftig von Strafverfolgern und – geht es nach dem Willen der Regierungen – auch von Markeninhabern und Securityexperten einlaufenden Anfragen zu validieren und auf ihre Rechtmäßigkeit zu klären. Mindestens einen Teil der Verantwortlichkeit und das Risiko teurer Klagen wären sie vielleicht los. Würde damit aber nicht die ICANN zum Ziel von allerlei Klagen. Doch, räumt Marby ein, und die Datenschutzaktivisten weisen darauf hin, dass ihre Datenschutzbemühungen die ICANN nicht gerade für eine solche Rolle empfehlen. (mho)