Domaininhaber-Daten: ICANN treibt neuen Whois-Code RDAP voran
Das künftige Whois wird weiterhin datenschutzrechtlich ausgelotet, das technische Nachfolgesystem RDAP steht aber bereits in den Startlöchern.
Eine neue technische Arbeitsgruppe der Internet Corporation for Assigned Names and Numbers (ICANN) soll eine zentralisierte Abfrage privater Daten von Domaininhabern bei der ICANN erkunden. Die Aufgabe könnte direkt von dieser Arbeitsgruppe oder einer "erweiterten Variante dieser Gruppe" übernommen werden, sagte ICANN-Vizepräsidentin Theresa Swinehart im Gespräch mit heise online. Bei Registries und Registraren nährt das die Befürchtung, dass die Möglichkeiten der Technik bestimmen, wie künftig Domaininhaberdaten von Dritten genutzt werden dürfen.
ICANN-CEO Göran Marby hatte in einer Sitzung zur EU-Datenschutzgrundverordnung auf dem 63. ICANN-Treffen in Barcelona angeboten, die Selbstverwaltungsgremien, Registries, Registrare und andere "Stakeholder" könnten in einer "technischen Arbeitsgruppe" selbst das zentralisierte Whois erkunden. Die ICANN würde dann die eingehenden Anfragen von Strafverfolgern, Markenanwälten und Security-Forschern aus aller Welt validieren.
Konkret kümmert sich die Arbeitsgruppe, die sich aus Registries, Registraren und ICANN-Angestellten zusammensetzt, darum, die Implementierung des Registry Data Access Protocol (RDAP) voranzutreiben. RDAP soll das das veraltete, textbasierte Whois ablösen, die ICANN will schon seit zwei Jahren Domainanbieter vertraglich zum Umstieg verpflichten. Die Unternehmen hatten der ICANN nach einer ersten Fristsetzung noch einmal Gespräche über Details abgetrotzt.
Nach Rechten differenzierter Zugriff auf private Daten
RDAP bringt einige Veränderungen gegenüber dem aktuellen Whois mit. So nutzt es das Webprotokoll http für den Transport und erlaubt Verschlüsselung via https. Es vereinheitlicht die Frage- und Antwortsemantik und ermöglicht dadurch eine bessere Automatisierung. Außerdem lassen sich nicht-lateinische Buchstaben integrieren, inzwischen im DNS ein Standard.
Als Vorteile werden überdies Flexibilität und Erweiterbarkeit gesehen, neue Datenelemente lassen sich nach Belieben hinzufügen und schließlich kann ein nach Rechten differenzierter Zugriff realisiert werden. Ob die Autorisierung, wie von VeriSign vorgeschlagen, mittels OpenID oder, wie Afilias es im Rahmen des laufenden Pilots erprobt, mit Zertifikaten geregelt werden soll, ist noch nicht ausgemacht. Das laufende Pilotprojekt hat nicht zuletzt auch an Clientlösungen gearbeitet, um die Maschinen-lesbaren Antworten in JSON wieder etwas Menschen-lesbarer zu machen.
Weil RDAP die "Whois-Kunden" mit unterschiedlich vielen Daten zu einer Domain versorgen kann, steht das Protokoll nun hoch im Kurs bei all denen, die trotz DSGVO kĂĽnftig gerne weiter auf private Domaininhaberdaten zugreifen wollen. Der zentralisierte Zugriff auf Domaininhaberdaten muss vorangetrieben werden, auch wenn die Datenschutzregeln fĂĽr die Domainregistrierung noch nicht fertig sind, fordern Markenrechtsvertreter und Regierungsvertreter.
Fakten schaffen mit dem Code?
Vertreter der nicht-kommerziellen Domainnutzer (Non-Commercial Stakeholder Group, NGSG), der Registries und Registrare und der ISPs warnten jüngst auf dem RIPE-Treffen in Amsterdam davor, dass durch das Festlegen technischer Details datenschutzrechtliche Weichenstellungen vorgenommen werden. Die Hauptamtlichen der ICANN wollen in RDAP beispielsweise gleich eine im alten Whois nicht mögliche Reverssuche verankern und vertraglich festlegen, dass nur große Zertifikatsanbieter zur Authentifizierung genutzt werden dürfen.
Marbys Vorstoß nähre bei einigen die Hoffnung, dass das alte Whois samt seines ungehinderten Zugang zu Domaininhaberdaten wiederauferstehen könne, kritisiert Milton Mueller vom Georgia Technology Institute. Er ist Mitglied einer Arbeitsgruppe, die die Datenschutzregeln fürs Whois erneuern soll. Die Express-Policy Arbeitsgruppe (EPDP WG) hat bislang aber noch nicht einmal entschieden, welche Daten für die Domainregistrierung überhaupt zwingend erhoben werden müssen. Erst im zweiten Schritt kann RDAP sinnvoll konfektioniert und der Zugriff für berechtigte Interessen geregelt werden, plädiert auch Thomas Rickert, Anwalt des eco Verbands und EPDP-Mitglied.
Eine Datenerhebung allein zum Zweck der späteren Beauskunftung Dritter hält Rickert für abwegig. Die Verpflichtung zur Beauskunftung von Anfragen, die mit der eigentlichen Aufgabe der ICANN als Domainverwaltung gar nichts zu tun haben – etwa zur Verletzung von Urheberrechtsverletzungen – würde sogar die ICANN-Satzung verletzten, meint Rickert und er erinnert: "In der Vorweihnachtszeit schreibt jeder was in seine Wunschliste. Aber die Datenschutzgrundverordnung regelt eben nicht, wie sich die Wünsche einzelner Interessengruppen befrieden lassen, sondern fragt, welche Daten unverzichtbar sind, um bestimmte Verarbeitungsprozesse zu bedienen." (anw)