Artikel-29-Datenschutzgruppe und Domainverwaltung ICANN streiten ĂĽber Datenschutzumsetzung
Die Umsetzung der Datenschutzgrundverordnung im Domaingeschäft sei nicht ausreichend, sagt die Artikel-29-Datenschutzgruppe. Die private Domainnamensverwaltung ICANN müsse noch erheblich nacharbeiten.
Eine zu vage Zweckbestimmung für das Sammeln von Daten über Domaininhaber bescheinigt die Artikel-29-Gruppe der europäischen Datenschützer der Internet Corporation for Assigned Names and Numbers (ICANN). Bei der privaten Selbstverwaltung fürs Domaingeschäft zeigt man sich in einer ersten Reaktion empört. Eine Balance zwischen Vertraulichkeit und Auskunftsansprüchen sei wichtig, schreibt das ICANN-Management. Allerdings schütze ein uneinheitlichen Whois-System Kriminelle und behindere Verbraucherschützer, Markenrechtsinhaber und den Kampf gegen Fake News.
Die Datenverarbeitung im Domaingeschäft stand auf der vollgepackten und vom Facebook-Skandal dominierten Agenda der EU-Datenschützer am Dienstag und Mittwoch dieser Woche in Brüssel. Eine technische Unterarbeitsgruppe hatte das von der ICANN vorgelegte Interimsmodel für Datenverarbeitung durch Domain Registries und Registrare genau unter die Lupe genommen und war dabei zum Schluss gekommen, dass ICANN noch nacharbeiten muss, um der Datenschutzgrundverordnung (DSGVO) zu entsprechen.
Streit um Domaininhaberdaten
Durchgefallen ist vor allem ICANNs Vorschlag zur Zweckbestimmung für das Sammeln und Weitergeben von Domaininhaberdaten. Im Interimsmodell steht der "legitime Zugang zu korrekten, verlässlichen und einheitlichen" Daten über Domain und Inhaber. Das ist nach Ansicht der Datenschützer in dieser Form viel zu allgemein gehalten. ICANN dürfe auch bei der rechtlichen Grundlage, auf der die Daten gesammelt werden, nicht alles durcheinanderwerfen.
Mehr Zielgenauigkeit fordern die Datenschützer schließlich beim Zugriff auf die künftig nicht mehr veröffentlichten Domaininhaberdaten. Die ICANN müsse die besonderen Zugriffsrechte gegen die Gefahr des "Beifangs" absichern. Zugriffsrechte auf die gesamte Datenbank – sogenannte Bulk-Zugriffsrechte – wie sie sowohl Strafverfolger als auch Markeninhaber fordern, lehnt die Artikel-29-Gruppe ab. Die Realisierung des Zugriffs über eine Whitelist von IP-Adressen von Berechtigten sei überdies nicht sicher genug.
Weitere Kritikpunkte betreffen die Vorratsdatenspeicherung – ein alter Streitpunkt zwischen Datenschützern und ICANN – und die Transfers von Domaininhaberdaten in andere Jurisdiktionen. Der nach wie vor von ICANN geforderte Umzug aller Domaininhaberdaten von .com- und .net-Domains in die USA zu VeriSign Global Registries steht damit unter einem großen Fragezeichen, auch weil das solche Transfers erleichternde Privacy Shield gerade erheblich wackelt.
Drohende Fragmentierung
Bei der ICANN sieht man angesichts der Antwort der Datenschützer die Chance auf eine einheitliche Durchsetzung der eigenen Whois-Politik ab dem 25. Mai schwinden. Der CEO der ICANN, Göran Marby, nörgelt: "Wir sind enttäuscht, dass unsere Bitte um ein Moratorium nicht angesprochen wird, das uns die Umsetzung eines einheitlichen Modells ermöglichen würde." Marby drohte, das Ergebnis werde eine Fragmentierung der Datenverarbeitung im Domaingeschäft sein. Er kündigte an, dass die ICANN nun auch über mögliche rechtliche Schritte nachdenke, um "unsere Möglichkeiten zu klären, diese wichtige globale Informationsquelle angemessen zu kooridinieren". Bevor man vor einen Richter zieht, trifft man sich aber am 23. April dann doch noch einmal mit Vertretern der Artikel-29-Gruppe in Brüssel. (olb)