Die General Data Protection Regulation (GDPR), in Deutschland (DSGVO), bringt die größte Herausforderung bezüglich dem Umgang von personenbezogenen Daten im Internet, in den letzten 20 Jahren, mit sich. GDPR Compliance, die Erfüllung der rechtlichen Voraussetzungen für jede Webseite, die von EU- Bürgern genutzt wird, zwingt die Domain Industrie dazu sich damit auseinander zu setzen, wie die WHOIS Daten genutzt werden sollen.
Was sind eigentlich WHOIS Daten?
Geschaffen von der ICANN in den 80er Jahren, stellt WHOIS eine Datenbank dar, die es ermöglich die Namen und Kontaktinformationen von Domaininhabern einzusehen. WHOIS gehört somit zu den ältesten Onlinetools, die es ermöglichen diese Daten zu verifizieren.
WHOIS war für eine lange Zeit eine wertvolle und wichtige Quelle zur Recherche von Anwälten und Online Sicherheits-Experten. Die Daten waren öffentlich zugänglich und somit oft die erste Anlaufstelle, wenn es um Verfahren zur Bekämpfung von möglichen kriminellen Aktivitäten ging. Bis dato gab es ein Einvernehmen aller Registrare die WHOIS Daten zu veröffentlichen, Namen, E-Mail Adressen, Telefonnummern.
Im Zuge der Neuregelung des Datenschutzes muss auch das WHOIS System an die GDPR Compliance angepasst werden. In Zeiten von GDPR ist die Veröffentlichung privater Daten nicht mehr erlaubt, ohne eindeutige Zustimmung des jeweiligen Registranten.
Seit Juni 2018 ist eine vorläufige Regelung in Kraft getreten, die die verfügbaren Informationen im WHOIS System stark einschränkt. Die sog. „Temporary Specification for gTLD Registration Data“ ist eine der vielen Maßnahmen, die die ICANN ergriffen hat, damit die Domain Industrie die Anforderungen der GDPR Compliance erfüllt. Nichtsdestotrotz gibt es noch viel Verwirrung und offene Fragen, rund um die Zukunft des WHOIS Systems. In Folge wollen wir einige Fragen versuchen zu beantworten.
Sind WHOIS Daten weiterhin einsehbar?
Im Rahmen der “Temporary Specification for gTLD Registration Data” sind die WHOIS Daten noch einsehbar. Das bedeutet allerdings nicht, dass alle Informationen, wie sie in der Vergangenheit verfügbar waren, ersichtlich sind. Bestimmte Grundinformationen, wie technische Angaben über den Registrar, Status der Domain-Registrierung, Registrierungsdatum und Auslaufdatum der Domain werden nach wie vor angezeigt. Aber, wie bereits ausgeführt, personenbezogene Daten können, ohne ausdrückliche Erlaubnis des Registranten, nicht mehr veröffentlicht werden.
Die Diskussionen, welche Daten in Zeiten der GDPR veröffentlicht werden dürfen und welche nicht, halten noch immer an. Die Bemühungen der ICANN eine dauerhafte Regelung, zur Wahrung des Datenschutzes personenbezogener Daten, zu finden, muss berücksichtigen wie die redigierten Daten von Dritten eingesehen werden können, die ein berechtigtes Interesse (nachweislich) haben. Hier sind ausdrücklich die Interessen von Markeninhabern, Anwälten und anderen rechtlichen Organen zu erwähnen.
Wie ist der Zugriff auf WHOIS Daten möglich?
Inhaber von Markenrechten, die ein Domainrechtsverfahren oder andere Maßnahmen, im Zusammenhang mit der Durchsetzung ihres geistigen Eigentums im Internet, durchführen, können ins Feld führen, dass sie Dritte mit einem berechtigten Interesse für eine solche Anfrage sind. Die Übergangsregelung der ICANN besagt, dass bei einem solchen Sachverhalt eine Anfragemöglichkeit besteht, die personenbezogenen Daten zu erhalten, und der jeweilige Registrar dazu verpflichtet ist innerhalb einer angemessenen Zeit diese Anfrage zu beantworten. Gemäß der ICANN kann im Fall einer nicht erfolgten Antwort eine offizielle Beschwerde bei ICANN´s Contractual Compliance Department eingereicht werden.
Können Domain Registranten auch ohne vollständige WHOIS Daten kontaktiert werden?
Dies ist zwar nicht so einfach möglich, wie in der Vergangenheit, da die Kontaktinformationen nicht länger öffentlich zugänglich sind. Registrare sind aber dazu angehalten entweder eine generische E-Mail Adresse dafür anzugeben oder ein Online Formular, um mit dem Registranten in Kontakt zu treten. Anfragen für Kontaktinformationen können auch an die Registrare gestellt werden.
Kann ein UDRP Verfahren ohne Details des Registranten ausgefochten werden?
Uniform Domain-Name Dispute-Resolution Policy (UDRP) Verfahren können eingereicht werden, auch wenn nicht alle Details des Registranten bekannt sind. Es sollten aber alle öffentlich verfügbaren Daten – selbst wenn nur angegeben wird „Name redacted“ (im deutschen etwa: Der Name wird nicht angezeigt)“, angegeben werden. Die WIPO hat dazu häufig gestellte Fragen veröffentlicht, die Sie hier abrufen können.
Ist es möglich die Registranten Informationen nach Durchführung eines UDRP Verfahrens einzusehen?
Gemäß den vorläufigen Bestimmungen der ICANN müssen Registrare die Registranten Informationen dem UDRP Schiedsgericht zur Verfügung stellen, sobald sie Kenntnis über das Verfahren erlangen. Die WIPO (World Intellectual Property Organisation) kann bei der Durchführung eines solchen Verfahrens erlauben, dass der Fall unter Nutzung von Privacy Services so geführt wird, dass die personenbezogenen Daten des Registranten geschützt sind.
Erhalten Dritte mit einem berechtigten Interesse vollen WHOIS Zugriff?
Ein ICANN Vorschlag, veröffentlicht am 18. Juni 2018, fordert die Möglichkeit, für eine bestimmte Gruppe von Personen, vollen Zugriff auf die WHOIS Daten zu gewähren. Der Vorschlag benennt zwei verschiedene Personengruppen:
- Strafvollzugsbehörden und öffentliche Einrichtungen.
- Privatwirtschaftliche Dritte, die durch einen Verhaltenskodex zum Datenschutz personenbezogener Daten verpflichtet sind.
Die ICANN schlägt als Überlegung vor, dass man einen Token oder eine Autorisierung über einen Authentifizierungsanbieter, der eine entsprechende Berechtigung ausstellt, erhalten könnte.
Der Zugriff auf die spezifischen Daten könnte über WHOIS Daten Zugriffslevel geregelt werden, abhängig von dem jeweiligen berechtigten Interesse. Für einen solchen Zugriff könnten auch Gebühren anfallen. Allerdings müssen alle Vorschläge noch weiter untersucht werden, bevor es zu definitiven Entscheidungen kommen kann.
Die ICANN steckt in der Zwickmühle
Die ICANN befindet sich in einer unangenehmen Situation. Sie befindet sich unter anhaltendem Druck von Sicherheits-Experten, Strafverfolgungsbehörden, Anwälten und Anderen mit berechtigtem Interesse, die WHOIS Daten einsehen zu können. Auf der anderen Seite steht aber die Notwendigkeit der GDPR Compliance zu entsprechen und personenbezogene Daten zu schützen.
Der Artikel erschien zuerst im Blog unserer Muttergesellschaft EuroDNS.
Weiterführende Links:
Im Blog von EuroDNS hat unser Justitiar Luc Seufer über das jüngste ICANN Meeting in Panama berichtet, bei dem ebenfalls die Zukunft des WHOIS Systems diskutiert wurde.
Der stets gut informierte Branchenblog Domain Incite hat zuletzt mehrfach über das Thema berichtet:
- How all 33 European ccTLDs are handling GDPR, vom 25. Mai 2018
- How ICANN thinks YOU could get full Whois access, vom 20. Juni 2018
- Euro-Whois advice still as clear as mud, vom 06. Juli 2018