EU-Datenschutzverordnung trotzt ICANN-Forderungen
Niederländische Datenschützer geben einer kleinen Domain-Verwaltung Recht: Private Daten von Domaininhabern sind privat. Die Umsetzung der EU-Datenschutzgrundverordnung könnte Bewegung in die Whois-Debatte bringen.
Im Dauerstreit um die Veröffentlichung von privaten Domaininhaber-Daten bekommt die Internet Corporation for Assigned Names and Numbers (ICANN) einen ersten ernsthaften Warnschuss. Die niederländischen Datenschutzbehörden stützten am Freitag eine kleine Verwaltungsinstitution (Domain Name Registry) , die der ICANN einseitig den Whois-Vertrag aufgekündigt hat. Die Umsetzung der neuen EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR) zwinge sie zu dem Schritt, lautet die Argumentation der Registry, die für die Top-Level-Domains (TLD) .amsterdam und .frl zuständig ist (PDF).
Einseitig hatten die verbundenen Firmen dotAmsterdam BV und FRLRegistry BVR vor etwa einem Jahr ihre Whois-Policy geändert und begonnen, die Kontaktdaten der Domaininhabers nicht mehr in der sogenannten Whois-Datenbank zu veröffentlichen. Informationen zu privaten Domaininhabern gibt es nur auf Anfrage und bei berechtigtem Interesse, auch für Strafverfolger. Nur so könne man den Bestimmungen der GDPR Rechnung tragen, argumentierte der später von der Stadt Amsterdam und dem FRL-Betreiber engagierte Anwalt.
Den Registries war wegen der Verhaltensweise ein Hinweis der ICANN ins Haus geflattert. Sie verletzten durch das Zurückhalten der privaten Inhaberdaten – dazu gehören mindestens Name, Adresse, Telefonnummer und Emailadresse – den mit der ICANN abgeschlossenen Vertrag. Solche Vertragsverletzungsverfahren können bis zum Entzug der TLDs eskaliert werden. Der Registryprovider und die Stadt Amsterdam wehrten sich und riefen die niederländischen Datenschützer an.
Dort fand man Gehör. Die Datenschutzbehörde gab den beiden Registries Recht. (Eine erste, inoffizielle Übersetzung ist hier nachzulesen.) In ihrer Mitteilung verwies die Behörde vor allem darauf, dass die GDPR eine umfassende Publikation verbiete, vor allem wenn es eine Alternative gebe. Außerdem dürfe niemand zur Einwilligung in die Veröffentlichung gezwungen werden. Die Datenschutzgrundverordnung verbietet solch eine Kopplung „Service gegen Daten“.
Der Bescheid der Niederländer sei für europäische Registries und Registrare alles andere als überraschend, aber er komme zur rechten Zeit, unterstreicht Volker Greimann, Justiziar von Key-Systems, das als Backendprovider für .frl tätig ist. Er hofft, dass viele Registrare und Registries jetzt dem Beispiel der kleinen Registry folgen werden. ICANN Registries und Registrare sind wegen der GDPR im Zugzwang.
ICANN Chef verspricht „ein, zwei oder drei“ Modelle
ICANN-CEO Göran Marby versprach am heutigen Sonntag in Dubai, man werde so schnell wie möglich „ein, zwei oder drei“ Modelle vorschlagen. Diese sollen abgestufte Versionen bieten, gleichzeitig ICANNs Verträge und das EU-Datenschutzrecht zu erfüllen.
„Das neue Gesetz kann sich auf das Whois auswirken“, erklärte Marby. Die ICANN müsse nun einen Mittelweg finden. „Wir werden nicht 100 Prozent behalten, aber es werden auch nicht 0 Prozent sein“, orakelte er.
Seit Monaten drängen Registries und Registrare die ICANN, rasch eine Lösung zu finden. Die ICANN ist nach zahlreichen Diskussionen und mehreren juristischen Gutachten immerhin inzwischen bereit, ihre eigene Rolle als Datenverarbeiter im Sinne des Gesetzes anzuerkennen.
(hps)