ICANN: Datenschutz stellt Domain-Branche vor Herausforderung

Die Domainbranche wird zunehmend nervös. Der Grund dafür ist das EU-weite Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018. Räumlich gilt die DS-GVO auch für Unternehmen, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Damit werden neben der Internet-Verwaltung ICANN auch zahlreiche Registrare von der DS-GVO erfasst. Gefürchtet sind vor allem die Sanktionen bei datenschutzrechtlichen Verstößen, da die DS-GVO die Verhängung von Geldbußen bis zu 20 Mio. Euro vorsieht.

Für die Domain-Branche bedeutet die DS-GVO vor allem einschneidende Änderungen im WHOIS-System. Das WHOIS-System ist ein Protokoll, mit dem von einem verteilten Datenbanksystem Informationen zu Internet-Domains und IP-Adressen und deren Eigentümern abgefragt werden können.

Aber nicht nur beim WHOIS-System ergeben sich Herausforderungen: Die Internet-Verwaltung ICANN hat am 15. August 2017 eigens eine Matrix veröffentlicht, aus der hervorgeht, welche Daten bei welchem Stakeholder anfallen. Dabei wurden rund 700 Datenelemente identifiziert. Im nächsten Schritt muss ICANN nun erarbeiten, wie mit diesen Daten DSGVO-konform umzugehen ist.

Besonders problematisch ist dabei der Konflikt zwischen dem öffentlichen WHOIS-System und der DS-GVO, die sowohl ICANN als auch die Domain-Registries und -Registrare dazu verpflichtet, die ausdrückliche Zustimmung der Domain-Inhaber einzuholen, wenn Daten gesammelt, gespeichert oder veröffentlicht werden. Zudem schreibt die DS-GVO vor, dass die einmal erteilte Zustimmung jederzeit widerrufen werden kann.

Anlässlich des 60. Meetings in Abu Dhabi zeigte sich ICANN jedoch kompromissbereit. Zwar sei noch unklar, welchen Einfluss die Einführung der DS-GVO auf die vertraglichen Verpflichtungen von Registries und Registraren habe. ICANN geht derzeit aber nicht davon aus, dass das WHOIS-System abgeschafft werden müsse. Gleichzeitig nimmt ICANN zur Kenntnis, dass die Branchenvertreter verschiedenste eigene Lösungen suchen, um das Problem zu lösen:

“During this period of uncertainty, and under the conditions noted below, ICANN Contractual Compliance will defer taking action against any registry or registrar for noncompliance with contractual obligations related to the handling of registration data.”

Allerdings bedeutet das keinen Freibrief - Registries und Registrare müsse ICANN stattdessen auf vertraulicher Basis offenlegen, wie sie konkret das Problem lösen wollen.

Im Rahmen des 60. ICANN-Meetings hat eco jetzt eine Initiative zur Abfassung eines "GDPR Domain Industry Playbook" präsentiert, denn ohne ein gemeinsam mit Vertretern aus den Registry- und Registrargremien entwickeltes kohärentes Modell müssten ICANN und ihre Vertragspartner mit enormen Bußgeldern rechnen.