Adacor - Domains

EU-DSGVO: Was sich im Domain Management ändert

6. September 2022 von Jörg Dürrmeier

Die neue europäische Datenschutzgrundverordnung (EU-DSGVO) stellt nicht nur unseren bisherigen Datenschutz auf den Kopf, sondern hat auch Auswirkungen auf das Thema Domain Management. In diesem Bereich gab es bislang viele Unklarheiten, inwieweit Registries und Registrare die neuen Richtlinien korrekt umsetzen können. Mittlerweile haben die Internetverwaltungen jedoch verschiedene klärende Bestimmungen entwickelt.

Die Frist zur Umsetzung der neuen europäischen Datenschutzrichtlinie ist bereits 2018 abgelaufen. Seitdem gelten EU-weit einheitliche Regelungen zur Verarbeitung personenbezogener Daten (das heißt alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen wie Name, Anschrift, personenbezogene E-Mail-Adressen oder eine nicht-anonymisierte IP-Adresse). Solche Daten werden auch im Rahmen des Domain Management verarbeitet. Bisher unterlag die Domainregistrierung dem folgenden Prozess: Wer eine Adresse eintragen wollte, musste bei der zuständigen Registry Informationen zu seiner Person sowie Kontaktmöglichkeiten angeben. Diese wurden anschließend im Whois-Verzeichnis (das Whois enthält öffentlich zugängliche Informationen zu allen registrierten Domains) veröffentlicht. Diese Daten zu erheben, machte bisher durchaus Sinn, da man sie im Rahmen der Ahndung von Rechtsverstößen und für den Handel und Transfer von Domains gebraucht hat.

EU-DSGVO gibt Anonymisierung der Daten vor

So standen die Domainanbieter bis jetzt vor der Frage, wie sie die Anforderung, personenbezogene Daten weitgehend zu anonymisieren, korrekt umsetzen können. Speziell die Internetverwaltungen waren gefordert, klärende Bestimmungen für die von ihnen vergebenen Domains zu entwickeln: Das ist zum einen die ICANN (Internet Corporation for Assigned Names and Numbers), die für die generischen Top Level Domains zuständig ist (gTLDs, wie zum Beispiel .biz, .com, .info, .net und .org). Dazu zählen ebenso die neuen Top Level Domains (nTLDs wie zum Beispiel .berlin, .immobilien). Zum anderen sind das die länderspezifischen Vergabestellen für die country-code Top-Level-Domainnamen (ccTLDs). Für die Domain „.de“ ist das Deutsche Network Information Center (DENIC) zuständig und für die „.eu“-Domain das European Registry of Internet Domain Names (EURid).

EU-DSGVO gibt Anonymisierung der Daten vor

EU-DSGVO gibt Anonymisierung der Daten vor

ICANN reformiert Whois: Was ändert sich?

Erst im Mai 2018 – und damit kurz vor Fristablauf – hat die ICANN schließlich ihre Vorgaben zur Umsetzung der EU-DSGVO als Reform des Whois-Systems verabschiedet. Die „Temporary Specification for gTLD Registration Data“ ist vorerst ein Übergangsmodell und lässt viele Fragen offen. Die Übergangsregelungen, die innerhalb von einem Jahr durch endgültige Vorschriften ersetzt werden sollen, betreffen alle generischen Top Level Domains (gTLDs). An das ICANN-Modell müssen sich alle Registries für gTLDs halten, ganz gleich in welchem Land die Registry ihren Sitz hat. Dazu zählen zum Beispiel deutsche Registries, wie der ADAC mit der Top Level Domain „.adac“.

Umsetzung der EU-DSGVO als Reform des Whois-Systems

Umsetzung der EU-DSGVO als Reform des Whois-Systems

Laut Temporary Specification for gTLD Registration Data dürfen die betroffenen Registries weiterhin die bislang erhobenen Inhaberdaten erfassen. Sie müssen jedoch künftig auf die bisher standardmäßige Veröffentlichung von Name, Adresse, Telefonnummer, Faxnummer und einer personenbezogenen E-Mail-Adresse des Domaininhabers im Whois verzichten. Diese Regel gilt, unabhängig davon, ob der Inhaber eine natürliche Person, ein Unternehmen oder eine Organisation ist. Stattdessen soll jeweils der Eintrag „Redacted for Privacy“ oder eine entsprechende Formulierung erscheinen, und es werden nur die Angaben „Registrant Country“ und „Registrant Organization“ veröffentlicht. Ebenfalls sichtbar bleiben der zuständige Registrar sowie ausgewählte Name-Server-Einträge. Wer in Zukunft die für eine Domain verantwortliche Personen kontaktieren möchte, kann dies in der Regel über einen Link zum Kontaktformular oder über eine E-Mail-Adresse tun. Letztere darf jedoch keinen Rückschluss auf die dahinterstehende Person zulassen. Das heißt, sie könnte zum Beispiel das Format „info@domain.com“ haben. Domaininhaber sowie administrative und technische Ansprechpartner können jedoch freiwillig in die Veröffentlichung ihrer personenbezogenen Whois-Daten einwilligen.

Strittig ist derzeit noch, ob die ICANN von den Registries verlangen darf, neben den Inhaberdaten auch personenbezogene Daten des administrativen oder des technischen Kontakts zu erheben. Einen ersten Rechtsstreit mit dem deutschen Domain-Registrar EPAG Domainservices GmbH hat die ICANN vor dem Landgericht Bonn verloren. Allerdings hat die ICANN hat eine sofortige Beschwerde eingelegt. Das Ergebnis ist jedoch noch offen.

Geänderte Whois-Angaben auch bei DENIC und EURid

Die für „.de“-Domains zuständige DENIC hat ihre Bestimmungen zur Umsetzung der EU-DSGVO ebenfalls veröffentlicht. Demnach werden weiterhin Name, E-Mail- und Post-Adresse des Domaininhabers, zwei E-Mail-Adressen zum Zwecke der Kontaktaufnahme sowie die technischen Domaindaten erfasst. Im öffentlichen Whois erscheinen neben dem Domainstatus (registriert/nicht registriert) und den technischen Daten lediglich zwei nicht personalisierte E-Mail-Adressen: eine für allgemeine und technische Anfragen („General Request“) sowie eine, die bei vermutetem rechtswidrigen oder missbräuchlichen Gebrauch einer Domain benutzt werden kann („Abuse“).

Die EURid, welche die Europa-Domain „.eu“ verwaltet, hat ebenfalls geänderte Whois-Regeln verabschiedet. Demnach werden im öffentlichen, webbasierten Whois bei der Abfrage einer .eu-Domain, die auf eine juristische Person registriert ist, die Felder Unternehmen/Organisation, Stadt, Region, Land, Sprache und E-Mail-Adresse angezeigt. Sofern die .eu-Domain auf eine natürliche Person registriert ist, erscheinen lediglich Sprache und E-Mail-Adresse.

Zugang zu nicht-öffentlichen Daten unklar

Offen bleibt, wie der Zugang zu den nicht-öffentlichen Whois-Daten künftig geregelt sein wird. Laut EU-DSGVO muss die Person oder die Institution dafür ein berechtigtes Interesse vorweisen. Dem gegenüber stehen die Interessen, grundlegenden Rechte und Freiheiten des Domaininhabers. Die „Article 29 Working Party/European Data Protection Board“, ein Gericht oder eine gesetzliche Regelung können anordnen, dass Einsicht in die Daten genommen werden soll. Allerdings ist aktuell noch nicht geklärt, wer von diesen Institutionen die verschiedenen Interessen prüft und abwägt. Ebenfalls unklar ist, ob Rechtsanwälte bei einer potenziellen Rechtsverletzung Einsicht in die Daten nehmen dürfen. Hier werden erst konkrete Präzedenzfälle für mehr Klarheit sorgen.

Wann werden die neuen Anforderungen zum Problem?

Die Änderungen durch die EU-DSGVO haben eine allgemeine Anonymisierung des Whois-Verzeichnisses zur Folge. Dieser Sachverhalt wiederum kann beispielsweise bei Markenrechtsverletzungen oder bei der Kriminalitätsverfolgung problematisch werden. So bietet etwa die ICANN seit 1999 mit der „Uniform Domain-Name Dispute-Resolution Policy (UDRP)“ ein Schlichtungsverfahren zur Lösung von Domainstreitigkeiten an. Das Vorgehen wird beispielsweise beim „Cybersquatting“ (unrechtmäßiges Besetzen von Domains) angewendet. Die Voraussetzung für ein UDPR-Verfahren ist jedoch, dass die für eine Domain verantwortlichen Personen bekannt sind. Genau das ist mit Inkrafttreten der EU-DSGVO schwieriger geworden. Zwar gibt es Kontaktformulare und E-Mail-Adressen, aber es eine Person, die Unrechtmäßiges vorhat, wird sich sicherlich nicht zu erkennen geben.

Domain Management: Flexible Full Service Lösung für Unternehmen

Legen Sie das komplette Management Ihrer Domains in unsere zuverlässigen Hände. Wir übernehmen für Sie das Registrieren, Transferieren, Verlängern, Löschen, Abrechnen und Verwalten.

Jetzt über maßgeschneiderte Domainverwaltung informieren!

Fazit: Daten der Domaininhaber sind besser geschützt

Die seit 25. Mai 2018 europaweit verbindliche Datenschutzgrundverordnung (EU-DSGVO) erfordert die weitgehende Anonymisierung personenbezogener Daten. Im Domain Management betrifft das vor allem die Angaben zum Domaininhaber und -administrator im Whois-Verzeichnis. Das gibt es auch weiterhin, allerdings sind die Daten der Domaininhaber durch die EU-DSGVO besser geschützt als vorher. Registries können in eingeschränktem Rahmen weiterhin personenbezogene Daten erheben, sie dürfen diese jedoch nur noch dann im Whois-Verzeichnis veröffentlichen, wenn der jeweilige Inhaber dazu freiwillig eingewilligt hat. Die im Whois frei zugänglichen Informationen beschränken sich je nach Internetverwaltung auf technische Daten, den Domainstatus sowie wenige nicht-personalisierte Angaben und E-Mail-Adressen oder Links zur Kontaktaufnahme. An den technischen Daten, die von den Registries erhoben werden, um beispielsweise das Funktionieren einer Domain zu gewährleisten, ändert sich mit der EU-DSGVO nichts. Wer ein berechtigtes Interesse an Inhaberdaten nachweisen kann, soll auch zukünftig Zugang zu den weiterhin von den Registries erhobenen Kontaktdaten erhalten. Allerdings sind noch viele Fragen offen, wie diese Berechtigung nachgewiesen werden kann. Hier bleibt momentan nur zu hoffen, dass die ersten Präzedenzfälle mehr Klarheit bringen.

Verwandte Artikel