Am 25. Mai 2018 ist die Datenschutzgrundverordnung (GDPR) in Kraft getreten, die jede Entität betrifft, die personenbezogene Daten von EU-Bürgern handhabt. Das WHOIS-System, ein öffentliches Verzeichnis, das mit personenbezogenen Daten gefüllt ist, scheint auf ersten Blick inkompatibel mit dieser neuen gesetzlichen Bestimmung zu sein. Welche Auswirkungen hat die Datenschutzgrundverordnung in der Praxis auf den Kampf gegen Online-Piraterie und -Missbrauch?
Damit wir uns ein besseres Bild machen können, haben wir Luc Seufer zum Interview gebeten, seines Zeichens Vorstand der Rechtsabteilung der EBRAND Group.
Könnten Sie uns zuallererst sagen, ob EBRAND von der DSGVO (Datenschutzgrundverordnung) betroffen ist?
Luc Seufer: Aufgrund der Art unseres Klientels und der Dienstleistungen, die wir anbieten, weiß EBRAND aus erster Hand, welche Probleme die Datenschutzgrundverordnung für die Domainnamenindustrie mit sich bringt.
Als Domainregistrar ist der Schutz der personenbezogenen Daten unserer Kunden von zentraler Bedeutung, das heißt wir haben uns seit jeher an alle diesbezüglich geltenden Gesetze gehalten. Abgesehen von der Redigierung bestimmter Daten in unseren WHOIS-Datenbanken hat die Verordnung keine drastischen Veränderungen mit sich gebracht in Bezug auf unsere Art zu arbeiten, jedoch schon eine umfassendere Dokumentation.
Für uns als Markenschutzdienstleister bedeutet die zuvor erwähnte Redigierung jedoch eine Behinderung, die unsere Arbeit definitiv nicht einfacher macht.
In den letzten paar Monaten wurden fortlaufend Artikel von Organisationen und Vereinigungen für den Schutz von geistigem Eigentum veröffentlicht, um die Öffentlichkeit und die Gesetzgeber vor den katastrophalen Folgen der „WHOIS-Stilllegung“ zu warnen, wie dies von ihnen bezeichnet wird. Können Sie uns mehr davon erzählen?
Luc Seufer: Um den aktuellen Stand der Dinge richtig verstehen zu können, muss ich, wenn Sie mir gestatten, kurz ausholen, um ein paar Eckdaten zu Datenschutz und ICANN zu erläutern. Viele Jahre lang wurde die ICANN auf formellem und informellem Wege von Datenschutzspezialisten darüber in Kenntnis gesetzt, dass bestimmte Richtlinien gegen europäische Datenschutzgesetze verstoßen würden.
Die ehemalige Arbeitsgruppe Artikel 29, die jetzt umbenannt wurde auf Europäische Datenschutzbehörde, verschickte immer wieder Briefe an jeden neuen CEO bei ICANN. Leider nahm jedoch keiner von ihnen diese Warnungen ernst und die erforderlichen Neuordnungen wurden niemals in die Wege geleitet.
Goran Marby, der aktuelle CEO der Organisation, musste Druck auf den ICANN-Vorstand ausüben, um eine temporäre Richtlinie auf den Weg zu bringen, die es Registrys und Registraren ermöglicht, die ihres Erachtens nach erforderlichen Maßnahmen zu ergreifen, um der Datenschutzgrundverordnung Folge zu leisten.
Der Wortlaut dieser Richtlinie es jedoch so vage, dass jede Registry und jeder Registrar seine bzw. ihre eigenen Regelungen getroffen hat. Bestimmte Registrare erstellen zum Beispiel die einzelnen WHOIS-Datensätze in ihrer Datenbank ohne Berücksichtigung des Standorts des Registranten oder sogar der Tatsache, dass es sich um eine juristische Person handelt, die demzufolge nicht von der Verordnung betroffen ist.
Andere, wie EBRAND, haben einen pragmatischeren Ansatz gewählt und geben nur die Daten natürlicher Personen an, wohingegen für jene Registranten als Kontaktadresse eine anonymisierte E-Mail-Adresse angezeigt wird. Andere haben sich für die Option entschieden, ein Online-Kontaktformular auf Ihrer Homepage bereitzustellen. Und manche haben sogar den Versuch gestartet, ein Zugangsmodell mit einer Art Pseudoakkreditierungssystem zu schaffen.
In nur wenigen Monaten ist es richtig schwer geworden, an die Kontaktdaten von Domainnamenregistranten (Inhaber einer Domain) ranzukommen.
Ist es nicht Aufgabe der ICANN, die Industriestandards zu definieren und durchzusetzen?
Luc Seufer: Die ICANN verkündete im Rahmen ihrer letzten Tagung in Panama City, an der auch ich teilgenommen habe, dass man mit der Einleitung eines beschleunigten Richtlinienerarbeitungsprozesses beschäftigt sei, um eine dauerhafte globale Lösung zu schaffen. Diese neuen Richtlinien sollen laut ICANN-Planung Ende April 2019 fertiggestellt sein und umgehend in Kraft treten.
Der Allgemeinheit mag dies zwar sehr langsam erscheinen, aber für die ICANN ist das wahrhaftige Lichtgeschwindigkeit. Nur zur Erinnerung: die ICANN benötigte insgesamt 10 Jahre, um das neue (new gTLD) Erweiterungsprogramm herauszubringen.
Mit diesen neuen Richtlinien soll ein gestaffeltes Zugangssystem für die WHOIS-Datenbanken eingeführt werden. Exekutivbehörden sollen zum Beispiel eine bestimmte Art von Zugang haben, Marken- und Urheberrechtsinhaber eine andere, Registrierungsstellen eine andere, Experten für Online-Markenschutz eine andere usw.
Wie bereits zuvor erwähnt haben bestimmte Registrare versucht, der ICANN zuvorzukommen, indem sie ihren eigenen gestaffelten Zugang konzipiert haben. Diese Modelle basieren jedoch auf keinem gemeinsamen Standard und werden nur von den jeweiligen Registraren intern umgesetzt. Auch wenn diese mutmaßlich qualifizierte technische Dienstleister sind, verfügen sie sicherlich nicht über die entsprechende Kompetenz, um über die Rechtmäßigkeit von Zugriffsanfragen auf personenbezogene Kundendaten urteilen zu können. Meiner Meinung nach ist diese Initiative eher gefährlich und inadäquat. Das dringende Verlangen, eine einfache Lösung zu finden, erklärt jedoch warum es dazu gekommen ist.
Heißt das, dass das Domainnamensystem DNS zu einem faktisch gesetzlosen Raum geworden ist?
Luc Seufer: Nicht wirklich. Zusätzlich zu den jeweiligen lokalen Bestimmungen ist jeder ICANN-akkreditierte Registrar im Rahmen derselben Akkreditierungsvereinbarung an die ICANN gebunden. Im Rahmen dieser Vereinbarung sind die Registrare verpflichtet, über eine sogenannte Missbrauchansprechstelle zu verfügen. Jeder Meldung über illegale Aktivitäten im Zusammenhang mit Domainnamen unter ihrer Verwaltung muss nachgegangen werden.
Die Ergebnisse unseres Enforcement-Teams, das für die Durchsetzung der Richtlinien zuständig ist, belegen, dass es nach wie vor möglich ist, die Sperrung von Domainnamen durchzusetzen, die für rechtswidrige Zwecke benutzt werden. Dennoch ist es sehr kompliziert herauszufinden, wer hinter einem Missbrauch steckt.
Es gibt also keine Mittel und Wege mehr, die Identität von Rechtsbrechern festzustellen?
Luc Seufer: Auch hier liegt es an fehlenden standardisierten Prozessen und Richtlinien. Jeder WHOIS-Datenbankbetreiber (Registry oder Registrar) handelt nach seiner eigenen Interpretation der Datenschutzgrundverordnung / GDPR.
Manche beharren darauf, dass sie nur auf richterlichen Beschluss personenbezogene Daten offenlegen dürfen. Andere verlangen nur eine fundierte Beschwerde in Einklang mit den DMCA-Vorgaben. Und andere sind ratlos und reagieren bedauerlicherweise gar nicht.
Wenn der Domainname an sich einen Gesetzesverstoß darstellt, kann die Einleitung eines UDRP oder URS erwägt werden, da der Registrar so gezwungen wird, die Daten des Registranten offen zu legen. Für eine reine Offenlegung ist dieser Weg jedoch ziemlich kostspielig.
Das heißt jedoch nicht, dass Markeneigentümer sich selbst überlassen sind. EBRAND hat über die Jahre hinweg eine Reihe von innovativen technologischen Tools entwickelt, die auch trotz der aktuellen Situation nach wie vor voll funktionstüchtig sind.
Vielen Dank für das interessante Gespräch.