Trockenlegung

Die Uhr tickt erbarmungslos. Bis zum 25. Mai müssen auch Domain-Registrare und Registries, die europäische Nutzer mit Domain-Namen versorgen, die Bestimmungen der Datenschutzgrundverordnung umsetzen (DSGVO). Dabei geht es um die Frage, wer auf welche der detaillierten Informationen zugreifen darf, die Kunden bei der Registrierung ihrer Domains angeben. Die Registrierungsdaten lagern auf diversen Servern, etwa auf denen der Registry-Betreiber und viele lassen sich bisher ohne Weiteres von jedermann per Whois-Protokoll abfragen und verwerten.

Zu Beginn der Internet-Ära sammelte man in den Whois-Datenbanken beispielsweise Post- und Mail-Adressen sowie Telefonnummern von Administratoren einzig für das Trouble-Shooting – als kurzen Dienstweg zum Admin einer gerade nicht erreichbaren oder Spam-verschickenden Domain. Heute stehen in den Whois-Datenbanken aber Adressen und Rufnummern von Eignern der Domains, oftmals also Privatadressen – und die sind für Spammer, Adressverkäufer und Strafverfolger nützlich. Mit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai dürfen diese Daten in Europa nicht mehr öffentlich sichtbar sein.

Doch Unternehmen, die Rechte an zum Beispiel .com-, .berlin- oder .bmw-Domains verkaufen, sind nicht nur der DSGVO verpflichtet, sondern als Vertragspartner auch der Internet Corporation for Assigned Names and Numbers (ICANN). Die ICANN sitzt in den USA und hatte bisher einen Hang zu fetteren Datensammlungen.

Mit dem Inkrafttreten der DSGVO kommen nun strengere Bestimmungen zur Erhebung, Aufbewahrung und Weitergabe auf die ICANN und ihre europäischen Vertragspartner zu – und nicht nur auf die. Auch große US-Registrare wie GoDaddy, der kanadische Anbieter Tucows oder Registries wie die von VeriSign könnten ins Visier der EU-Datenschutzaufsicht kommen und bei Zuwiderhandlungen hohe Strafen aufgebrummt bekommen. Je nach Schwere der Verstöße werden laut Paragraph 83 und 84 der DSGVO bis zu vier Prozent des weltweiten Jahresumsatzes fällig.

ICANN als Data-Controller

Die ICANN haben erst die möglichen Strafen dazu bewegt, ihre Praktiken der Datenverarbeitung zu überdenken. Inzwischen erkennt sie an, dass nicht nur Registries und Registrare, sondern auch sie selbst „eine Art Data Controller“ ist. Das räumte kürzlich der CEO und ehemalige schwedische Telecom-Regulierungsbeamte Göran Marby widerwillig ein.

Die ICANN legt fest, welche Daten über Domain-Inhaber zu erheben, zu sammeln sind, und wer diese Daten zu bekommen hat – von Backup-Providern für den Katastrophenfall bis hin zu Datenkäufern, die die Zonendaten einer TLD en bloc kaufen. Zudem betreibt die ICANN eine eigene, per Web abfragbare Whois-Datenbank mit Namen, privaten Adressen, Rufnummern und E-Mail-Adressen von Domain-Inhabern aus aller Welt. Nun gelobt sie Besserung.

Ringen um ein Provisorium

Anfang März legte sie nach hektischen Diskussionen mit den Selbstverwaltungsgremien – den Registries, Registraren, Markenschützern, Nutzervertretern, Strafverfolgern und Regierungen – ein „vorläufig finales“ Interimsmodell für eine neue Whois-Politik vor.

Künftig soll einzig eine unpersönliche Mail-Adresse – etwa admin@ct.de – oder ein Webformular sicherstellen, dass der Inhaber für Anfragen erreichbar bleibt. Falls die Daten nicht auf einer Webseite veröffentlicht sind, müssen Dritte künftig bei Anfragen an Registrare oder Registries angeben, warum sie die Kontaktdaten eines Domain-Inhabers brauchen.

Dabei ist ein abgestufter Zugang vorgesehen, bei dem etwa Strafverfolger Zugriff auf Daten verdächtiger Domain-Inhaber bekommen. Markenrechtsanwälte sollen für ihre Klienten gegen Domain-Grabber vorgehen können. Und Sicherheitsforscher sollen Gaunereien weiter aufdecken können, vielleicht über anonymisierte Datensätze.

Den abgestuften Zugang technisch und organisatorisch umzusetzen, ist eine Herausforderung. Auch sind noch rechtliche Fragen offen. Darf beispielsweise eine Strafverfolgungsbehörde aus einem Nicht-EU-Land, die weniger strengen rechtlichen Auflagen bei ihren Ermittlungen unterliegt, leichter und mehr Daten abgreifen? Das fragt beispielsweise Anwalt Thomas Rickert vom Verband der deutschen Internetwirtschaft.

Vielstimmiger Widerspruch

Doch Strafverfolger und Markenanwälte wollen nicht zurückstecken. Seit Wochen laufen sie zusammen mit Domain-Auskunfteien Sturm gegen die geplanten Einschränkungen. Gegen GoDaddy hat eine vom US-Markenrechtsanwalt Brian Winterfeldt vertretene Gruppe schon mal Beschwerde bei der ICANN eingelegt. Der US-Registrar hatte schon im Januar den Zugriff auf Whois-Daten in Eigenregie eingeschränkt. Zu den Gegnern der Einschränkung gehört auch der neue Chef der US-Telekommunikationsaufsichtsbehörde, National Telecommunications and Information Administration, David Redl.

Das offene Whois müsse bleiben, forderte Redl: „Die USA werden nichts akzeptieren, was den Zugang zu Whois-Informationen verhindert oder ihn so erschwert, dass es praktisch nutzlos wird, um legitime Zwecke zu erfüllen, die kritisch sind für die fortgesetzte Stabilität und Sicherheit des Internet.“ Zur Not könne der US-Gesetzgeber die ICANN gesetzlich dazu verpflichten. Ein US-Gesetz als Gegenschlag gegen die DSGVO passt zwar zur US-Rhetorik. Doch fürs globale Domain-Geschäft wäre es eine Katastrophe und Domain-Anbieter wären erst recht verunsichert.

Brüsseler Antwort

Vom Säbelrasseln aus den USA, das auch einige EU-Behörden und der gesamte Regierungsbeirat der ICANN stützen, zeigte sich die Artikel-29-Gruppe der europäischen Datenschützer ungerührt; sie wird am 25. Mai zum EU Privacy Board und damit richtungsweisend. Auf die Anfrage der ICANN, ob ihr Interimsmodell akzeptiert sei, antwortete die Gruppe nüchtern: Die ICANN müsse ihre Richtlinien noch nachbearbeiten, weil der Text beim Zweck und der Zweckbindung vage geblieben sei.

Denn laut Artikel 5 (1) der DSGVO dürfen persönliche Daten nur für spezifische, explizite und rechtmäßige Gründe erhoben werden. Doch der von der ICANN aufgeführte Zweck, also der „Zugang zu korrekten, verlässlichen und einheitlichen Registrierungsdaten“ entspreche gerade nicht der DSGVO-Vorschrift. Überdies warnten die Datenschützer davor, sich zum Handlanger für Ansprüche Dritter zu machen, die Ziele der Strafverfolgung oder kommerzielle Ziele verfolgten: „ICANN sollte bei der Festlegung des Zwecks darauf achten, dass dieser mit Auftrag und Aufgabe der Organisation in Einklang steht, also mit der Koordinierung eines stabilen Betriebs des Internet-Namens- und Adresssystems. Zwecke, die andere interessierte Parteien verfolgen, sollten die Zweckbestimmung der ICANN dabei nicht bestimmen.“

Die ICANN müsse für den Zugriff auf die künftig nicht mehr veröffentlichten Domain-Inhaberdaten klare Vorgaben machen, um das Abschöpfen von Daten als „Beifang“ zu verhindern. Zugriffsrechte auf die gesamte Datenbank (Bulk-Zugriffsrechte) wie sie Strafverfolger und Markeninhaber fordern, lehnt die Artikel-29-Gruppe ab und der Zugriff von ausdrücklich dafür autorisierten IP-Adressen aus (Whitelist) sei nicht sicher genug.

Weitere Kritik betrifft die Vorratsdatenspeicherung, ein alter Streitpunkt zwischen Datenschützern und der ICANN, sowie den Datentransfer in andere Jurisdiktionen. Der von der ICANN geforderte Umzug aller Domain-Inhaberdaten von .com- und .net-Domain-Inhabern in die USA, zu VeriSign Global Registries, ist damit sehr fraglich.

ICANN-Boss: Not amused

Der CEO der ICANN, Göran Marby, ließ seinem Ärger über die Antwort aus Brüssel freien Lauf. Besonders verübelte er den Datenschützern, dass sie die Anfrage der ICANN nach einem Moratorium für die Durchsetzung der DSGVO unbeantwortet gelassen hatten. Auf solcher Basis könne man keine einheitliche Politik bei der Verarbeitung von Domain-Inhaberdaten gewährleisten. Die Folge werde ein fragmentiertes Whois sein. Das wiederum werde Kriminellen in die Hände spielen und Verbraucherschützer und Markenrechtsinhaber genauso behindern wie den Kampf gegen Fake News, wetterte Marby.

Game over

Länder-Registries sind hingegen keine direkten Vertragspartner der ICANN und daher nicht an deren Regeln gebunden. Seit Februar kündigten die deutsche DeNIC, die österreichische NIC.at und viele andere neue Whois-Systeme an. Das aktuelle DeNIC-Whois enthält bereits Ansätze zu einem gestuften Zugang. So fragt die DeNIC bereits ab, weshalb man die Daten sehen möchte -– wegen Verdachts auf rechtswidrige Inhalte, wegen Namensverletzungen oder ist man einfach selbst Inhaber? Technische Fragen der Autorisierung und Authentifizierung des Inhabers sind freilich noch nicht vollständig geklärt.

Doch auch einige ICANN-Vertragspartner scheuen das Risiko und bauen ihre Whois-Datenbanken um. Ein eigenes System für den abgestuften Zugang baut etwa der kanadische Anbieter Tucows. Afilias, eine Backend-Registry für viele Top-Level-Domains mit ICANN-Vertrag zaudert noch.

Und Michele Neylon, CEO des irischen Registrars und Hosters Blacknight, schrieb auf die jüngsten Empfehlungen der Artikel-29-Gruppe, der Brief aus Brüssel sei „verdammt klar“. Im Zweifel gehe für ihn wie für alle europäischen Kollegen das Recht vor. Man stelle sich daher darauf ein, ICANNs Verträge zu verletzen.

Vielleicht lässt sich eine juristische Konfrontation wie sie Marby den EU-Datenschützern androht, beim nächsten Gespräch am 23. Mai abwenden. Sicher ist aber eines, meint Neylon: „Das öffentliche Whois, wie wir es kennen, stirbt mit dem 25. Mai. Game over.“ (dz@ct.de)

ICANNs Interimsmodell:ct.de/yfs4