eco-Konzept fĂĽr Domain-Daten: Das offene Whois vor dem Aus
20 Jahre lang hat die Internetverwaltung ICANN Daten über Domaininhaber angehäuft. Für die neue EU-Datenschutzverordnung muss jetzt radikal umgedacht werden, wie ein erstes Konzept des eco-Verbands nahelegt.
Die Internet Corporation for Assigned Names and Numbers (ICANN) sowie Domainregistries und -registrare müssen die Prozesse der Registrierung von Domains grundlegend umbauen. Die vom deutschen Provider-Verband eco beauftragten Anwaltskanzleien Rickert und Fieldfisher haben am Montag in Brüssel einen ersten Entwurf dafür vorgestellt, welche Daten Registries und Registrare noch sammeln und veröffentlichen können, wenn die neue europäische Datenschutzgrundverordnung (EU-DSGVO) greift. Dabei wurde klar: Das offene Whois wird fallen, aber längst nicht nur das.
Methode Datensparsamkeit
Ein Domain-Registrar brauche die Kontaktdaten eines AdminC, TechC oder BillingC nicht, um eine Domain zu betreiben, schreiben die beiden Kanzleien. Statt darauf zu setzen, die Einwilligung betroffenen Personen einzuholen, raten die Juristen zur Datensparsamkeit, weil das weniger riskant sei. Name und Kontaktdaten des Domaininhabers, Start und Laufzeit der Registrierung und Daten zum Ansprechpartner im eigenen Haus sowie technische Daten wie Nameserver oder DNSSEC Status – das reicht dem Registrar, also dem Domainverkäufer, um sein Geschäft zu machen. Schon die Registries, die Betreiber der Zonen wie .com, .org, .info, brauchen die privaten Kundendaten streng genommen nicht, heißt es in dem von Rechtsanwalt Thomas Rickert vorgestellten DSGVO-Papier.
Kein Stein bleibt auf dem anderen
Die bislang durch ICANN-Regeln erzwungene Speicherung von privaten Daten in der öffentlich einsehbaren Whois-Datenbank und die viel gescholtene Vorratsdatenspeicherung für Domaininhaberdaten seien nicht mit der DSGVO vereinbar, meinen die Juristen weiter. "Das offene Whois wird fallen", meint Rickert. Der Whois-Umbau gehöre dabei noch zu den kleineren Updates, auf die sich Registries und Registrare in den kommenden Monaten vorbereiten müssen. "Die technischen Systeme müssen angefasst werden, Registries und Registrare müssen ihre Verträge neu fassen, die Bestellprozesse sind anzupassen und die Nutzer müssen anders informiert werden", sagte Rickert gegenüber heise online.
Rickert hat sogar fast ein wenig Mitleid mit den Strafverfolgern, die zu den eifrigsten Nachfragern der immer reichhaltigeren Datensammlungen gehörten. "Sie fallen praktisch von 100 auf Null", sagte Rickert. Der künftige Datenzugriff für die Behörden könnte laute dem eco-Papier entweder durch gezielte, juristisch abgesicherte Abfragen oder durch privilegierte Zugriffsrechte besonderer, zertifizierter Nutzergruppen organisiert werden. Für letzteres könnte das neue Protokoll RDAP zum Einsatz kommen. Ein konservativerer Ansatz, der nur individualisierte Zugriffe erlaubt, würde dabei der Rasterfahndung nach Domainsündern quer durch die aggregierten Zonendaten den Garaus machen.
Ungelöste Fragen
Einige Fragen gilt es auf dem Weg zur datenschutzfreundlichen Domainregistrierung noch zu klären, von den Chancen fürs Thick Whois über Details der Transfers zwischen Registraren bis hin zur Weitergabe der Daten von Europa in weniger datenschutzfreundliche Jurisdiktionen, allen voran die USA. Langfristig seien vor allem die Gesetzgeber gefragt, den grenzüberschreitenden Datenzugriff von Behörden zu regeln, meinte Rickert. Das sei nicht die Aufgabe der Domainunternehmen und auch nicht der ICANN.
Vertreter von Registries und Registraren haben den eco-Vorschlag als Zwischenlösung begrüßt. "Die Lösung ist bis zum 25. Mai umsetzbar", meint Volker Greimann, Justiziar der Key-Systems GmbH. Das Papier könne vor allem dazu beitragen, "dass es kein Chaos gibt, was wohl zunächst der Fall wäre, wenn jeder ICANN-Vertragspartner Individuallösungen vornehmen würde".
Von der ICANN erwarten die am Montag versammelten Vertreter jetzt, dass die private Netzverwaltung ein Einsehen hat und ihnen erlaubt, auf der Basis des eco-Vorschlags ihre Systeme umzubauen. Damit verstoßen sie zwar zunächst gegen ihre ICANN-Verträge, aber sie bewahren die ICANN doch auch vor möglichen Strafen der Datenschützer. Diese würden auf jeden Fall auch die ICANN treffen. (anw)