Die Richter am Landgericht Bonn haben eine erste Entscheidung entlang der EU-Datenschutzgrundverordnung (DSGVO) getroffen und der zentralen Vergabestelle für Internetadressen eine Abfuhr erteilt. Zwar wird die DSGVO erst seit einer Woche angewendet. Die Entscheidung aus Bonn könnte aber bereits Einfluss darauf haben, welche persönlichen Daten ein Nutzer bei der Anmeldung einer Domain künftig noch angeben muss.

RÜCKSCHLAG FÜR DIE ICANN

Für die Internet Corporation for Assigned Names and Numbers (Icann) ist das ein Rückschlag. Das Non-Profit-Unternehmen kümmert sich darum, dass Website-Namen im Netz nicht doppelt vergeben werden und alle IP-Adressen zur richtigen Internetseite führen. Das Problem: Die Icann will nicht nur wissen, wer die Seite betreibt. Das US-Unternehmen will auch Namen, Adressen und Telefonnummern von der Person mit vollen Zugriffsrechten auf die Website (Admin-C) und einem technischen Verantwortlichen (Tech-C). Diese Datensammlung geht einigen Vertragspartnern zu weit.

RÜCKBLICK: ICANN STELLTE EILANTRAG

ICANN hat am Freitag, den 25. Mai 2018, ein Gerichtsverfahren gegen die EPAG Domainservices GmbH, ein zur Tucows-Gruppe gehörender Registrar mit Sitz in Bonn, eingeleitet. Dieser Schritt ist Folge unterschiedlicher Einschätzungen von Tucows und ICANN hinsichtlich der Auslegung der Datenschutz-Grundverordnung (DS-GVO) im Hinblick auf die zwischen beiden Parteien bestehenden Verträge. Wir werden unsere Position in dieser Angelegenheit zu gegebener Zeit vor Gericht begründen und verteidigen, möchten jedoch zwischenzeitlich mit dieser Stellungnahme Einblick in die Hintergründe dieser Auseinandersetzung geben.
Mit einer einstweiligen Verfügung versuchte die Icann diesen Vorstoß vor einer Woche zu verhindern ein. Doch Richter am Landgericht Bonn haben den Eilantrag nun abgewiesen und begründeten ihre Entscheidung damit, dass personenbezogene Daten nach Artikel 5 der DSGVO nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden dürfen. Der Admin-C und Tech-C sind demnach unnötig. Es genüge, wenn der Domain-Inhaber bekannt ist, um bei Verstößen kontaktiert zu werden.

DATENSCHUTZDISKUSSION LÄNGST POLITISCH

Die Domainvergabe ist laut Eco-Verband in Bezug auf den Datenschutz längst zu einem politischen Thema geworden. Die ICANN sammelt die Daten aufgrund der vielen vorherrschenden Interessen. Strafverfolgungsbehörden und Markenrechtsvertreter würden hier am meisten Interesse zeigen. Die vielen Interessen sind auch der Grund, warum eine Reform bisher gescheitert ist und keine Richtlinie vorhanden bezüglich der DS-GVO vorhanden ist. Das führt die Vertragspartner unweigerlich in eine Zwickmühle: Registrare wie Epag würden vor die Wahl gestellt, ob sie gegen den Vertrag mit der Icann oder gegen die DS-GVO verstoßen.

REAKTION VON DENIC

Die Denic hatte bereits im Februar dieses Jahres mit einer radikalen Änderung auf die DSGVO reagiert. Auch Admin-C und Tech-C werden nicht mehr abgefragt. Außerdem erfährt man dort nicht mehr öffentlich, wer eine Website mit der Endung „.de“ betreibt.
Diese sogenannte Whois-Abfrage ist bei der Denic und auch bei anderen Firmen wie GoDaddy nicht länger möglich: Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic, GoDaddy und andere jetzt nur noch an Nutzer heraus, die per Formular ein berechtigtes Interesse nachweisen. Das gilt etwa für den Betreiber einer Website, der wissen möchte, was alles über ihn selbst gespeichert wird. Außerdem gibt die Denic auch dann Daten weiter, wenn Strafverfolger oder Finanzbehörden den Domain-Inhaber ermitteln wollen.
Die eingeschränkte Whois-Abfrage erschwert zudem Journalisten und IT-Sicherheitsforschern die Arbeit im Netz. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, Hintermänner solcher Netzwerke ausfindig zu machen und aufzudecken, wer sich hinter zwielichtigen Seiten verbirgt.
Das Thema Whois treibt auch die Icann um. Justiziar Jeffrey sagte nach dem Urteilsspruch, man werde weiter mit der EU im Gespräch bleiben, um zu klären, wie sich die DS-GVO auf so genannte Whois-Abfragen auswirkt. Die Organisation gibt seit Kurzem auch nicht mehr uneingeschränkt alle Daten eines Domain-Inhabers heraus, bezeichnet das aber als „Zwischenlösung“.