zurück zum Artikel

Über Jahre hat die ICANN illegale Datensammlungen veranlasst, warnen Experten. Mit den saftigen Bußgeldandrohungen der EU scheint die private Namensverwaltung jetzt aus ihrem datenschutzrechtlichen Dornröschenschlaf zu erwachen.

Zwei Jahrzehnte lange hat die Internet Corporation for Assigned Names and Numbers (ICANN) Domainregistries und Registrare zum fleißigen Datensammeln angehalten. Jetzt arbeitet die private Namensverwaltung mit Sitz in den USA unter Hochdruck daran, sich selbst und die Unternehmen auf das Inkrafttreten der Datenschutzgrundverordnung (GDPR) vorzubereiten. Eine interne "Task Force" soll die vertragliche Regeln der ICANN prüfen und auch die Folgen der Datenschutzgrundverordnung für ICANN als Datenverarbeiter abschätzen, sagte Vizepräsidentin Theresa Swinehart beim Treffen der ICANN in Johannesburg [1].

Datenpunkte zur Domainregistrierung

Über 60 einzelne Datenpunkte sammeln Registries zu einer einzigen Domainregistrierung, erklärte Becky Burr, Juristin und Datenschutzbeauftragte der US-Registry Neustar. "Wir sammeln, speichern und veröffentlichen einen Teil", fasste Burr zusammen. All diese Datenpunkte müssen jetzt auf den Prüfstand. Braucht die Registry die Daten und gibt es eine rechtliche Grundlage für deren Erhebung und Sammlung? Bislang haben Registries und Registrare stillschweigend die Zustimmung der Kunden angenommen, wenn diese nicht ausdrücklich widersprachen.

Statt dieser Opt-Out-Lösung müssen Domaininhaber künftig aber explizit zustimmen und das bei maximaler Information über die gesammelten Daten und deren Verwendung. Bei der Vielzahl an Datenpunkten könnte die Lösung über den "informed consent" durchaus schwierig sein. Die Weitergabe ganzer Datensätze an Dritte gehört zum Standard.

Whois – Verstoß gegen Datenschutzbestimmungen

Außerdem sind im Lauf der Jahre immer mehr Anforderungen an Datenerfassung und Speicherpflichten für Registrare und Registries hinzugekommen und nicht immer haben sie mit dem eigentlichen Betrieb der Domains zu tun. Groß war nicht zuletzt die Nachfrage von Trittbrettfahrern wie Strafverfolgern und Rechteinhabern, die stets auch auf die Veröffentlichung persönlicher Daten drängten.

Das heutige Whois sollte dabei eigentlich bereits jetzt der Vergangenheit angehören, sagte Volker Greimann, Chefjurist beim deutschen Registrar KeySystems. Schon jetzt verletze es Datenschutzbestimmungen durch die Publikation privater Daten, "nur wurde das bislang nicht verfolgt", so Greimann. Er riet, die Veröffentlichung von persönlichen Daten via Whois, mindestens für Privatpersonen, ganz abzuschaffen.

Basteln am neuen Whois-Standard

Die Vorarbeiten für künftige Registry Directory Services (RDS) – so heißt der Nachfolger des alten Whois – gehen trotz des Zähneklapperns über die Datenschutzgrundverordnung in der ICANN dabei weiter. RDS bringt einerseits viele technische Neuerungen, beispielsweise die Möglichkeit, auch nicht-lateinische Zeichensätze bei den Whoisdaten zu verwenden.

Andererseits bringt es aber eben auch die Chance, mehr Datenpunkte zu verarbeiten und diese zu unterschiedlichen Konditionen wieder an verschiedene "Kunden" herauszugeben. Die Datenschutzgrundverordnung wirft auch da ihre Schatten voraus. Die Arbeitsgruppe Next Generation RDS [2] räumte beispielsweise im Rahmen ihrer Konsultation durchaus ein, dass sich Registry und Registrare bereits aktuell herrschende Datenschutzgesetze verletzen. Bislang wagte sich die Arbeitsgruppe dabei nur an einen "Minimaldatensatz" heran – und selbst bei diesem melden manche Teilnehmer der Arbeitsgruppe und auch des Plenums in Südafrika Bedenken an, dass es sich um personenbezogene Daten handeln kann.

Datensammlung begründen

Eine Vertreterin er US-Regierung rief in Johannesburg dazu auf, den Schutz der Verbraucher als Anlass für das Sammeln der Registrierdaten zu betonen. Damit lasse sich eine rechtliche Basis für das Sammeln der Daten begründen. Neustar-Juristin Burr riet, die verschiedenen Nutzergruppen – auch Strafverfolger, Cybercrime-Jäger, Rechteinhaber – nach deren Gebrauch der Daten zu fragen, um die Notwendigkeit der Speicherung darzulegen. Doch dadurch würde man die Datenspeicherung mit den Ansprüchen Dritter begründen. Ob die neu ermächtigten Datenschützer damit zufrieden gestellt werden können, bleibt abzuwarten. Der oberste EU-Datenschützer, Giovanni Buttarelli, hatte mit Kollegen der UN und des Europarates bereits angekündigt, dass sie die Datenverarbeitung im Domaingeschäft genau beobachten [3] wollen.

Beispiel eines Minimaldatensatzes

Domain Name: EXAMPLE.TLD

WHOIS Server: whois.example.tld

Referral URL: http://www.example.tld

Updated Date: 2009-05-29T20:13:00Z

Creation Date: 2000-10-08T00:45:00Z

Registry Expiry Date: 2010-10-08T00:44:59Z

Sponsoring Registrar: EXAMPLE REGISTRAR LLC

Sponsoring Registrar IANA ID: 5555555

Domain Status: clientDeleteProhibited

Name Server: NS01.EXAMPLEREGISTRAR.TLD

Name Server: NS02.EXAMPLEREGISTRAR.TLD

DNSSEC: signedDelegation

(kbe [4])

URL dieses Artikels:
https://www.heise.de/-3757415

Links in diesem Artikel:
[1] https://meetings.icann.org/en/johannesburg59
[2] https://community.icann.org/display/gTLDRDS/Next-Generation+gTLD+Registration+Directory+Services+to+Replace+Whois
[3] https://www.heise.de/news/Datenschuetzer-knoepfen-sich-die-Internet-Verwaltung-ICANN-vor-3651700.html
[4] mailto:kbe@heise.de

Copyright © 2017 Heise Medien