Whois-Daten werden schleichend zentralisiert
Auch auf ihrer 51. ICANN-Konferenz in Los Angeles streiten die Teilnehmer über den Umgang mit persönlichen Daten von Domain-Inhabern. Die neue zentrale Whois der ICANN verstößt dabei mindestens gegen deutsches Datenschutzrecht.
Art und Umfang der Sammlung, Speicherung und Weitergabe persönlicher Daten von Domain-Inhabern sind erneut ein Streitthema auf der 51. Konferenz der Internet Corporation for Assigned Names and Numbers (ICANN) in Los Angeles. Unter dem Druck von Strafverfolgungsbehörden und Regierungen fährt die Netzverwaltung derzeit zweigleisig: Sie arbeitet an einer Reform des alten Whois-Systems und einer zentralisierten Megadatenbank für Domain-Inhaberdaten, dem Registration Data Service.
Regierungsvertreter kritisieren das Vorgehen der ICANN als nicht mehr überschaubar. Jüngstes Beispiel: Die private Netzverwaltung veröffentlicht jetzt private Domain-Inhaberdaten aus aller Welt selbst. Das hauseigene zentrale Whois verstößt dabei mindestens gegen die Vorgaben deutscher Datenschützer. Seit 2003 versuchen Europas Datenschutzbehörden, der in den USA ansässigen Netzverwaltung nahezubringen, dass die Kontaktdaten privater Internetnutzer nicht ohne weiteres gespeichert, veröffentlicht oder weitergegeben werden können. Deutsche Datenschützer erlegten der .de-Registry Denic auf, keine privaten Rufnummern oder E-Mail-Adressen zu veröffentlichen. Genau diese Daten finden sich jetzt in der zentralen neuen Whois der ICANN.
Ausnahmen fĂĽr EU-Registrare wenig genutzt
Schützenhilfe leisten dabei die Registrare selbst, die EU-Datenschutzrecht eigentlich besser kennen müssten. 2006 hatten sich EU-Registrare erstmals eine Ausnahmeregelung für die Weitergabe privater Whois-Daten an die ICANN erstritten. Doch kein Unternehmen machte davon jemals Gebrauch. Die Beantragung sei einfach zu aufwändig, klagten die Registrare.
Erst der Start einer weitergehenden Vorratsdatenspeicherung fĂĽr Domain-Inhaber-, -kommunikations- und Kontodaten im neuesten Registrar-Vertrag (2013) brachte Bewegung in die Angelegenheit. Eine kleine Zahl von Registraren aus Deutschland, Frankreich und Irland haben sich inzwischen unter Verweis auf das jeweils geltende nationale Recht Ausnahmegenehmigungen erteilen lassen: Sie mĂĽssen Whois-Daten nicht bevorraten.
Megadatenbank
Längst aber dreht die privaten Netzverwaltung weiter am Rad einer umfassenderen zentralen Datensammlung. Abgesehen vom Testballon des zentralen ICANN-Whois lässt die private Netzverwaltung das Nachfolgesystem diskutieren. Damit Strafverfolger und andere "berechtigte Stellen" aus aller Welt einen "geprüften" Zugriff auf umfassende Domain-Inhaberdaten erhalten können, schlug eine von ICANN-Präsident Fadi Chehade eingesetzte Expert Working Group (EWG) im Juni die neuen Registration Directory Services (RDS) vor – eine zentrale Datensammlung mit abgestufter Zugriffskontrolle. Das hoch komplexe System soll laut EWG-Bericht mehr Schutz vor unberechtigten Zugriffen bieten.
Die einzige Datenschutzexpertin der EWG wandte allerdings auch ein, dass die Nutzung der in der Megadatenbank gesammelten Informationen einmal erteilte Einwilligungserklärungen der Domain-Inhaber sehr leicht sprengten. Trotz vieler Bedenken tritt nun in Los Angeles eine kleine Arbeitsgruppe aus Mitgliedern des ICANN-Vorstands und der Generic Name Supporting Organisation (GNSO) zusammen, um über die nächsten Schritte auf dem Weg zu einer Einführung zu beraten.
Am Donnerstag will auch eine Gruppe zusammenkommen, die über die Implementierung des RDAP-Standards Registration Data Access Protocol als technisches Nachfolgeprotokoll beraten soll. Als reine Technikimplementierung ohne große politsche Beratungen umgesetzt, könnte RDAP das Werkzeug für den geplanten mächtigen Registry Data Service werden.
Arbeitsgruppen-Wirrwarr
Die Regierungsvertreter bei der ICANN fordern jetzt dringend eine Whois-Roadmap, damit überhaupt noch in dem Wirrwarr aus Arbeitsgruppen und Konsultationen durchgeblickt werden kann. Die Registrare der ICANN fordern lautstark Statistiken über die Erfolge bisheriger Verschärfungen der Whois-Bestimmungen, bevor die ICANN weitere Sanktionen durchdrückt. Die wenigen noch verbliebenen Domainregistries, die selbst keine Domain-Inhaberdaten speichern – sie bleiben beim lokalen Domainverkäufer/Domainregistrar – zögern bei der Einführung eines "thick whois", solange unklar ist, ob es ein ganz neues System geben wird. Die ICANN müsse erst einmal einen Gang herunterschalten und abklären, ob wirklich ein neues Whois gewollt ist und welcher Preis dafür zu bezahlbar sei, sagte die US-Anwältin Kathy Kleinman in Los Angeles. (anw)