DSGVO

WHOIS-Reform macht Web nicht unsicher

Die Frage der zukünftig über das WHOIS abrufbaren Daten ist nicht nur verwirrend, sondern führt mittlerweile zu Verzerrungen im Zeitkontinuum: Hatten wir vergangene Woche noch über den Artikel von Sicherheitsfachmann Brian Krebs berichtet, der sich mit einem Artikel des Georgia Institute of Technology auseinandersetzte und darlegte, weshalb die Anwendung der Datenschutzgrundverordnung auf das WHOIS aus sicherheitstechnischer Sicht problematisch ist, so zeigt sich heute, dass dieser Artikel erst sieben Tage nach Veröffentlichung von Krebs Artikel geposted wurde. Kein Grund, sich die Ansichten des vom Georgia Institute of Technology betriebenen Internet Government Project zu verschließen.

Für Sicherheitsforscher Brian Krebs bedeutet – kurz gesagt – der Gewinn an Datenschutz, der mit der Reform des WHOIS-Verzeichnisses einhergeht, einen Verlust an Sicherheit. Dr. Farzaneh Badiei, Rafik Dammak und Ayden Férdeline, letztere Mitglied der »Generic Names Supporting Organization« (GNSO) bei ICANN sehen dies in ihrem Artikel auf internetgovernmentproject.org, in dem sie auf frühere Äusserungen Krebs‘ eingehen, anders. Sie vertreten die Ansicht, die DSGVO bringe lediglich einige kleinere Änderungen mit sich. Für alle drei steht an erster Stelle »WHOIS won’t go dark, and it won’t go away.« Das WHOIS-System verschwinde nicht und an den Daten, die gesammelt werden, ändere sich mit der DSGVO nichts. Es werde lediglich ein Teil der gesammelten Daten künftig nicht mehr veröffentlicht. Die Felder, die wie die Nameserver-Daten oder das Auslaufdatum wichtig für das Domain Name System sind, bleiben frei abrufbar. Sicherheitsforscher könnten für ihre Untersuchungen beispielsweise weiterhin auf die Zone Files zugreifen, da sie keine personenbezogenen Daten enthalten. Und ICANN arbeite überdies an einem Akkreditierungsmechanismus, der für solche Studien zumindest einen Teil der geschützten Daten wieder zugänglich macht.

Zum Beleg für ihre Ansicht führen sie weiter aus: »Privacy/proxy services didn’t break the Internet«. So sei es seit Jahren möglich, Domains anonym zu registrieren. Gleichwohl sei das Internet nicht zum Erliegen gekommen. Wer ein berechtigtes Interesse glaubhaft machen könne, werde auch in Zukunft alle nötigen Kontaktdaten erhalten. Und sie betonen einen bisher wenig beachteten Effekt: die Menschen registrieren Domains, um Wissen zu teilen. Die Möglichkeit, in Zukunft anonym die Meinung äußern zu können, schütze die Menschen und helfe, unpopuläre, aber rechtmäßige Meinungen zu verbreiten, ohne sogleich fürchten zu müssen, dafür zur Verantwortung gezogen zu werden. Wer dagegen Domains nutze, um illegale Aktivitäten zu entfalten, der wird ohnehin falsche Kontaktdaten verwenden. Und schließlich: »The GDPR is an evolution, not a revolution«. Sie beziehen sich dabei auf eine Äußerung von Gregory Mounier (Europol), der kritisierte, dass es schwierig sei, Botnets zu bekämpfen, wenn es bei Inkrafttreten der DSGVO keinen Akkreditierungsmechnismus für WHOIS-Daten gäbe. Dies sei falsch, da sich der Datenschutz nur auf personenbezogene Daten beziehe; für Botnets wichtige Informationen blieben verfügbar. Im Rahmen der Spam-Bekämpfung würden die geschützten Daten ebenso keine entscheidende Rolle spielen; hier seien »schwarze Listen« mit IP-Adressen viel wichtiger.

In ihrer Einschätzung, dass die DSGVO keine Revolution bringt, können sich die drei Autoren auf prominente Unterstützung berufen. Nach Ansicht von Prof. Niko Härting bekommt der Daten­schutz durch drako­nische Bußgelder Zähne, was vom Gesetz­geber beabsichtigt sei. Das materielle Daten­schutz­recht habe sich dagegen nicht so sehr verändert; an den Grund­struk­turen des Daten­schutz­rechts habe der Gesetz­geber nichts ändern wollen. »Ein großer Wurf ist das nicht.«, hält Härting fest. Die Praxis warte nun nervös darauf, was die Daten­schutzbehörden aus dem neuen Daten­schutzrecht machen werden. Und wir warten ebenso gespannt, welches WHOIS-Modell uns ICANN präsentieren wird.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Episerver GmbH, Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top