WHOIS: Domain-Datenbank kommt Grundsatz der Datensparsamkeit nicht nach
Die Domain-Registrierungsdatenbank WHOIS kommt den Grundsätzen der Datensparsamkeit der DSGVO nicht nach. Registratoren einer Domain erheben zu viele personenbezogenen Daten. Zuletzt wurde deshalb ein Gerichtsverfahren eröffnet. Die EPAG (der hierzulande tätige Registrar der ICANN als WHOIS-Betreiber) sah sich einer einstweiligen Anordnung gegenüber, die ICANN musste jedoch eine Niederlage einstecken.
Was ist die WHOIS-Datenbank?
Hinter WHOIS verbirgt sich ein Protokoll, das es ermöglicht, Informationen von einem verteilten Datenbanksystem zu Domains sowie IP-Adressen und den jeweiligen Eigentümern abzufragen. Schon seit Ende der 2000er Jahre können Inhaber von .de-Domains nicht mehr übers WHOIS-Protokoll abgefragt werden. Dafür muss man die DENIC-Website besuchen. Mittels Captcha ist die Website seit Mitte der 2010er Jahre gegen automatisierte Zugriffe gesichert.
WHOIS-Abfrage der Datenbank: Eigentümer der Domain herausfinden
Stellt man eine WHOIS-Abfrage, erhält man die Daten des Eigentümers der Website sowie die des Admin-C (Administrative Contact) aus der WHOIS-Datenbank. Dieser fungiert als technischer Betreuer einer Website. Anfragen geschehen aus unterschiedlichen Gründen: Es haben sich technische Probleme mit der Seite ergeben, die Seite könnte bestimmte Rechte (z. B. Urheberrechte) verletzen oder ein Käufer interessiert sich für die Domain und möchte den richtigen Ansprechpartner ermitteln.
Seit Beginn der Datenschutz-Grundverordnung (DSGVO) wurden die Daten etwas reduziert: Dritte können nur noch technische Informationen zu Nameserver und Mailadressen zum Aufnehmen des Kontakts abfragen. Inhaber selbst können die eingetragenen Daten zeitbegrenzt über einen Link abrufen. Gesonderte Formulare erlauben es Dritten, weitere Informationen anzufordern, jedoch funktioniert das nur als Behörde oder wenn Rechtsstreitigkeiten vorliegen.
Warum die WHOIS-Datenbank datenschutzrechtlich problematisch ist
Die WHOIS-Abfrage sieht also seit Beginn der DSGVO im Mai 2018 recht mager aus. So sind auch Daten weiterer Personen wie Tech-C und Admin-C nicht mehr in der WHOIS-Datenbank abfragbar. Häufig sind das jedoch dieselben Personen, sodass eine Datensammlung dieser Art tatsächlich unnötig ist. Erfragt wurden verschiedene Daten wie Namen, Anschriften, E-Mail-Adressen, Telefon- sowie Fax-Nummern sämtlicher beteiligter Personen. Die Daten wurden im Ausland gespeichert und durch die WHOIS-Abfrage öffentlich zugänglich gemacht. Die Gefahr des Datenmissbrauchs stieg dadurch extrem.
Quo Vadis WHOIS-Datenbank
Die zuständige Internet Corporation for Assigned Names and Numbers (ICANN) hatte – wie jedes Unternehmen – zwei Jahre Zeit, die Domaindatenbank an die DSGVO anzupassen. Jedoch hat sie diese Zeit ungenutzt verstreichen lassen. Erst ein halbes Jahr vor Inkrafttreten der DSGVO begann die ICANN, immerhin die Basis für eine DSGVO-konforme WHOIS-Abfrage zu schaffen.
Die ICANN war der Überzeugung, dass alle bisherigen Daten trotz Inkrafttreten der DSGVO abgefragt werden sollen. Die EPAG jedoch, der in Deutschland beheimatete Registrar, teilte in einem Blogbeitrag mit, keine personenbezogenen Daten von Personen zu verarbeiten, „zu denen wir nicht einmal einen direkten Bezug haben – die Admin- und Tech-Kontakte.“
Daraufhin klagte die ICANN vor dem Landgericht Bonn. Man wollte mit einer einstweiligen Anordnung erreichen, dass EPAG die Daten weiterhin zur Verfügung stellt. Das Bonner Landgericht jedoch wies den Antrag auf einstweilige Anordnung gegen EPAG ab. In der Entscheidung (PDF) wird erklärt, dass die ICANN nicht glaubhaft darlegen konnte, dass Datenspeicherungen, die über den Domaininhaber hinausgehen, für ihre Zwecke erforderlich seien. Wenngleich „ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen“ lässt, müsse der Domaininhaber nicht zwangsläufig personenverschieden vom Admin-C und Tech-C sein, er könne „all jene Funktionen auf sich vereinigen“, heißt es in der Begründung.
Es sei vor dem Grundsatz der Datensparsamkeit nicht erkennbar, warum die zusätzlichen Datensätze von der WHOIS-Datenbank erhoben werden. Die ICANN habe zudem eingeräumt, dass Domains auch registriert werden können, wenn die drei Datensätze identisch seien. Wenngleich die ICANN die schnelle Entscheidung begrüßt, sei jedoch nicht die rechtliche Klarstellung zum Umsetzen der DSGVO geschaffen. Die Organisation wird also auch künftig mit der EU-Kommission und den europäischen Datenschutzbeauftragten diskutieren.
Schreibe einen Kommentar