Als Unternehmen für Premium Business-Hosting gilt es für Adacor bei den aktuellen Entwicklungen im Domain Management stets up to date zu sein. Auf dem Stammtisch der Domainbranche in Bonn habe ich mir einen Überblick der aktuellen Entwicklungen verschafft.
Veranstalter des Stammtisches ist der Verband der Internetwirtschaft eco e.V. Adacor war erstmals dabei, als sich Juristen, Mitarbeiter und Führungskräfte am 28. November 2017 im Restaurant Sudhaus in Bonn trafen. In lockerer Runde hatten die Teilnehmer Gelegenheit, aktuelle Brancheninfos auszutauschen, über Trends und Entwicklungen zu sprechen und sich untereinander zu vernetzen.
Dafür eine Plattform zu bieten, ist eines der Anliegen von eco e.V. Mit 1.000 Mitgliedsunternehmen, darunter Experten und Entscheidungsträger, ist er nach eigenen Angaben der größte Verband der Internetwirtschaft in Europa. Seit seiner Gründung 1995 ist es sein Ziel, die Entwicklung des Internets in Deutschland und die Rahmenbedingungen maßgeblich mitzugestalten sowie neue Technologien, Märkte und Infrastrukturen zu fördern.
EU-Datenschutz-Grundverordnung stellt Domainbranche vor Herausforderung
Ein Thema, das die Runde beim 2. Domain stammtisch.nrw besonders beschäftigte, ist die Umsetzung der neuen europäischen Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR). Vor allem der Umgang mit Kundendaten im Registrierungsverfahren sorgt für große Verunsicherung in der Branche. Dazu zählt auch die Verwaltung der WHOIS-Daten. Wer bislang eine Domain registrieren wollte, musste auf Anforderung der Registries umfangreiche Inhaber-Daten erheben, aufbewahren und öffentlich zugänglich machen. Nach Auffassung der Experten verstößt dies allerdings gegen die neue DSGVO. Sie ist ab Mai 2018 in allen EU-Mitgliedsstaaten anzuwenden. Dann sind die nationalen Datenschutzbehörden gefordert. Bislang gibt es von diesen noch keine Handlungsempfehlungen zur neuen rechtskonformen Datenverarbeitung.
Auch die amerikanische Internet Corporation for Assigned Names and Numbers (ICANN) gibt sich zögerlich, was die Umsetzung der neuen DSGVO angeht. Als zentrale Internetadressveraltung hat sie bis jetzt noch kein Modell vorgelegt, das die eigenen Verfahren und Auflagen für betroffene Registries und Registrare beschreibt.
Der Council of European National Top-Level Domain Registries (CENTR) hat bereits angekündigt, dass zahlreiche Vergabestellen von Länderdomains (Country-Code-Top-Level-Domain-Betreiber, kurz: ccTLDs) die öffentlichen WHOIS-Informationen einschränken werden. Hintergrund ist eine von CENTR im Juni 2017 durchgeführte nicht repräsentative Umfrage unter 28 Registries. Die ccTLD-Betreiber wurden gefragt, welche Maßnahmen sie bezüglich DSGVO-Konformität planen:
- 46,4% planen, einige WHOIS-Datenfelder zu verbergen
- 21,4% planen, WHOIS-Abrufe zu limitieren
- 3,6% wollen den Zugriff auf eigene Daten zu beschränken, zum Beispiel eines Registrars
- 28,6% planen, ihre Vereinbarungen mit Registraren zu überarbeiten
- 32,1% planen, ihre Vereinbarungen mit sonstigen Dritten zu überarbeiten
- 10,7% machten keine näheren Angaben
- 25 Prozent machten gar keine Angaben
Das Fazit ist: WHOIS-Daten werden bereits in kurzer Zeit weniger zugänglich sein. Betroffen davon sind unter anderem Registrare und Registries, die über das WHOIS-Verzeichnis die Daten von Domain-Inhabern weltweit zugänglich machen. Momentan ist noch unklar, wie diese rechtskonform damit umgehen können.
Eine Orientierungshilfe könnte das von eco e.V. beauftragte „GDPR Domain Industry Playbook“ sein, das am 11. Dezember 2017 in Brüssel vorgestellt wurde. Es soll ein sauberes Datenmodell liefern und einen Überblick darüber geben, welche Daten für Domainregistrierungen verzichtbar sind, welche unbedingt gebraucht werden und welche noch strittig sind. Das Datenmodell basiert auf:
- Beratungen mit Vertragspartnern
- rechtlichen Bewertungen
- politischer Arbeit, dirigiert von der ICANN-Gemeinschaft
- von ICANN veröffentlichten Fällen-Matrix, basierend auf öffentlichen Anhörungen
DENIC erhält ICANN-Akkreditierung als New gTLD Data Escrow Agent
Ein weiteres Thema, dass in der Runde in Bonn diskutiert wurde, war die im Juni 2017 wirksam gewordene Akkreditierung des Deutschen Network Information Center (DENIC) als Escrow Agent im Rahmen des New gTLD-Programms der zentralen Internet-Adressverwaltung ICANN. Das Programm ist eine Initiative zur Einführung neuer Top Level Domains ins Domain Name System (DNS). Als Betreiberorganisation der deutschen Länderendung .de im Internet ist DENIC damit jetzt offiziell autorisiert, Geschäftsdaten von Domain-Registrierungsstellen (Registry Data Escrow, RyDE) zu sichern.
DENIC ist damit einer von weltweit neun Dienstleistern mit ICANN-Akkreditierung. Drei davon, einschließlich DENIC, sind in Europa ansässig. Allerdings kann DENIC als einziger dieser drei Dienstleister den Datensicherungs-Service
- rechtskonform mit den geltenden europäischen Datenschutzbestimmungen anbieten und
- so, dass im Rechtsverhältnis zwischen Kunde und DENIC die Parteien den Gerichtsstand frei wählen können. Der Vertrag regelt nicht das anwendbare Recht. Deutsche Kunden können davon ausgehen, dass deutsches Recht auf den Vertrag angewendet wird.
Was ist eigentlich
… eine Registry?
Die Domain Name Registry, auch als Network Information Center (NIC) bezeichnet, verwaltet eine oder mehrere Top Level Domains im Domain Name System. Das heißt, sie betreibt die Name- und WHOIS-Server. Außerdem verwaltet sie über die Top-Level-Domains wie .de hinaus alle damit zusammenhängenden Domain-Namen auf verschiedenen Ebenen: beispiel.de, test.beispiel.de, mail.test.beispiel.de etc.
… ein Registrar?
Unternehmen, die Domains unterhalb einer Top Level Domain (TLD) vergeben, werden als Registrare bezeichnet. Sie vermitteln zwischen Registry und Endkunde und sind unter anderem für die Abrechnung der Domain zuständig. Registrare bieten oft auch Webhosting an.
… ein WHOIS-Server?
Auf diesem sind die Kontaktdaten der Domaininhaber gespeichert. Eine Domain Name Registry muss einen solchen Server betreiben und der Eintrag ist bei jeder Domain-Registrierung verpflichtend. Diese Datenbanken sind öffentlich zugänglich und enthalten Informationen, wem eine Domain gehört, wer sie technisch beziehungsweise administrativ verwaltet.
… die DENIC?
Eine unabhängige, nicht-gewinn-orientierte Genossenschaft und neutrale Instanz. Die DENIC betreibt mit .de eine der größten TLD-Zonen der Welt mit heute mehr 16 Millionen Domains zählen. Damit gehört sie zu den international führenden Domainspezialisten. Modernste kryptografische Verfahren und mehrfache Redundanzen garantieren das sichere Übermitteln und Speichern aller Registrierungsdaten. Diese liegen ausschließlich in deutschen Rechenzentren. Verschiedene ISO-Zertifizierungen gewährleisten zudem höchste Informationssicherheit und Verfügbarkeit.
… Data Escrow?
Damit wird die Hinterlegung von Daten und Informationen bei einem Dritten bezeichnet. Das ermöglicht im Fehlerfall oder bei einer Insolvenz des Anbieters einer unabhängigen Partei das Fortführen der Geschäftstätigkeiten. Dazu zählen auch Domaindaten. Alle bei ICANN akkreditierten Registrare und Registries sind verpflichtet, die Datensätze der von ihnen verwalteten generischen Domains (gTLD) regelmäßig bei einem unabhängigen Escrow Agent zu hinterlegen. Im Fall, dass ein Registrar oder eine Registry nicht mehr in der Lage sind, ihre Dienstleistungen zu erbringen, können die Daten an einen Partner übergeben werden. Und Inhaber von Domains können ihre Inhaberschaft nachweisen. Deutsche und europäische Registrierungsstellen möchten in Anbetracht der strengeren deutschen und europäischen Datenschutzgesetzgebung die Daten ihrer Kunden nicht in die USA oder außerhalb des deutschen/europäischen Rechtsraumes übertragen.
Fazit
Die Vertreter der Domain-Branche, die sich beim 2. Domain stammtisch.nrw des eco e.V. im vergangenen November trafen, beschäftige vor allem die europaweite Anwendung der Datenschutzgrundverordnung (DSGVO) ab Mai 2018. Große Verunsicherung herrscht besonders bezüglich der rechtskonformen Datenverarbeitung bei Registrierungsverfahren, zu denen auch die Speicherung der WHOIS-Daten zählen. Die von den Registries erhobenen Anforderungen bezüglich Kundendaten bei einer Domainregistrierung verstoßen laut Meinung der Experten in vielen Fällen gegen die neue DSGVO. Während sich die ICANN zögerlich verhält, arbeitet der Verband der Internetwirtschaft eco, an einem Lösungsvorschlag. Ein weiteres Thema der Runde war die Akkreditierung der DENIC als Escrow Agent im Rahmen des New gTLD-Programms der zentralen Internet-Adressverwaltung ICANN. Erstmalig ist damit ein in Europa ansässiger Dienstleister vollkommen konform mit geltenden europäischen Datenschutzbestimmungen. Außerdem kann DENIC den Datensicherungs-Service so anbieten, dass im Gerichtsfall der Gerichtsstand frei wählbar ist. Deutsche Kunden können sich damit zukünftig auf deutsches Recht berufen.