Dieser Artikel erschien am 24. August 2017 auf domain-recht.de – Das Domain-Blog. Reproduktion mit freundlicher Genehmigung von RA Florian Hitzelberger und RA Daniel Dingeldey <http://www.domain-recht.de>
Stirbt im Mai 2018 das WHOIS-System, wie wir es kennen? Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) stellt die Domain Name Industry weltweit vor neue Herausforderungen – und wirft neue Fragen auf.
Am 25. Mai 2018 tritt in allen Mitgliedsländern der EU die Datenschutz-Grundverordnung (englisch: “General Data Protection Regulation”, kurz GDPR) in Kraft. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten, denn der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht: Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der EU sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Räumlich gilt sie auch für solche Unternehmen, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Damit werden neben der Internet-Verwaltung ICANN auch zahlreiche Registrare von der DSGVO erfasst. Gefürchtet sind vor allem die Sanktionen bei datenschutzrechtlichen Verstößen, da die DSGVO ein Recht auf Schadenersatz sowie die Verhängung von Geldbußen vorsieht, die bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen können.
Für die Domain-Branche bedeutet die DSGVO vor allem einschneidende Änderungen im WHOIS-System, aber nicht nur dort: die Internet-Verwaltung ICANN hat am 15. August 2017 eigens eine Matrix veröffentlicht, aus der hervorgeht, welche Daten bei welchem Stakeholder anfallen. Dabei wurden rund 700 Datenelemente identifiziert. Im nächsten Schritt muss ICANN nun erarbeiten, wie mit diesen Daten DSGVO-konform umzugehen ist. Der in Bonn ansässige Rechtsanwalt Thomas Rickert, Vorsitzender des »Names & Numbers«-Forum bei eco, dem Verband der deutschen Internetwirtschaft eV, betont:
»Da ICANN die Regeln definiert, welche Daten erhoben werden und wie mit ihnen umgegangen wird, kann man sicherlich festhalten, dass ICANN auch als verantwortliche Stelle im Sinne der DSGVO anzusehen und daher bei Verstössen deren Sanktionen ausgesetzt ist.«
So mag es zwar so sein, dass weiterhin Daten erhoben werden; es stellt sich aber die Frage, ob diese Daten veröffentlicht oder an die Registry weitergegeben werden dürfen, da der Grundsatz der Datensparsamkeit zu beachten ist. Damit wäre das von den Registries verwaltete und veröffentlichte WHOIS in seiner bisherigen Form praktisch tot.
»Mit hoher Wahrscheinlichkeit wird das WHOIS-System künftig anders aussehen als heute,« so Rickert. Eine Lösung für dieses Dilemma gibt es noch nicht; vor allem aus der Ecke der Strafverfolger und der Markenlobby ist Widerstand gegen eine Reduzierung der Daten zu erwarten.
Blogger Andrew Allemann spekuliert, dass der Zugang zum WHOIS künftig nur in abgestufter Form möglich ist. So könnten Strafverfolger auf Daten zugreifen, die der Öffentlichkeit verborgen bleiben. Der von ICANN diskutierte Registration Directory Service (RDS) könnte in diese Richtung weisen. Zudem geht er davon aus, dass sich der Wechsel vom »thin WHOIS« zum »thick WHOIS« bei den generischen TLDs .com und .net verzögern wird. Ausserdem könnte ICANN der Registry VeriSign eine zusätzliche Preiserhöhung zugestehen, um den neuen Anforderungen der DSGVO gerecht zu werden.
