Verstösst das neue Registrar Accreditation Agreement (RAA) von ICANN gegen deutsches Datenschutzrecht? Ein aktuelles Gutachten der Kanzlei Schollmeyer & Rickert bejaht diese Frage – und soll drei Registraren zu einer Ausnahmeregelung verhelfen.
Nach dem französischen Provider OVH SAS und dem irischen Domain-Registrar Blacknight Internet Solutions Ltd. haben sich mit der 1API GmbH, ingenit GmbH & Co. KG und Registry Gate GmbH erstmals auch drei deutsche Domain-Registrare bei ICANN um eine Verzichtserklärung (»waiver request«) bemüht. Sie wenden sich gegen die zwei Ziffern 1.1 und 1.2 der so genannten »Data Retention Specification«. Sie verpflichtet die Registrare zu einer Art Vorratsdatenspeicherung ihrer Kundendaten; so müssen unter anderem Name, Adresse, eMail sowie Telefonnummer des Kunden für die Dauer von zwei Jahren nach Ende des Vertragsverhältnisses gespeichert werden; die Zahlungsinformationen müssen für mindestens 180 Tage aufbewahrt werden. Der »waiver request« bietet die Möglichkeit, den Registrar von dieser Verpflichtung ganz oder teilweisen zu entbinden, wenn er damit gegen nationales Recht verstossen würde. Laut einer »legal opinion« (438 MB große .pdf) des Rechtsanwalts Marc Brauer aus der Kanzlei Schollmeyer & Rickert ist dies der Fall.
Ausgangspunkt seiner Überlegung ist § 4 Abs. 1 BDSG. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist demnach nur zulässig, soweit das Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Selbst wenn eine Erlaubnis oder Einwilligung vorliegt, schreibt § 3a BDSG den Grundsatz der Datenvermeidung und Datensparsamkeit fest. Sodann stellt Brauer fest, dass das RAA als privatrechtliche Vereinbarung zwischen ICANN und dem Registrar keinen normativen Status hat, also weder Gesetz noch eine Rechtsvorschrift im Sinne von § 4 Abs. 1 BDSG ist. Es stellt sich daher die Frage, ob der Domain-Inhaber gemäß § 4a BDSG in die Datenverwendung einwilligen kann. Demnach ist er insbesondere auf den vorgesehenen Zweck der Datenspeicherung hinzuweisen. Hier verweist Brauer auf das Urteil des Bundesverfassungsgerichts vom 2. März 2010 (Az. 1 BvR 256/08); danach stehe der Zugriff auf die Daten nur den Sicherheitsbehörden offen, nicht jedoch privaten Personen und Unternehmen. Zudem habe das Verfassungsgericht klargestellt, dass eine Vorratsdatenspeicherung nur aufgrund eines verfassungsmäßigen Gesetzes zulässig sei; dies werfe die Frage auf, wie die Domain-Inhaber eine Einwilligung erteilen sollen, wenn mit dem RAA gerade kein Gesetz vorliege. Da die Vorratsdatenspeicherung im RAA verfassungswidrig und ohne ausdrücklichen Zweck erfolge, könne der Domain-Inhaber nicht wirksam einwilligen.
Zudem müsse eine »informierte Einwilligung« vorliegen, der Domain-Inhaber also vorab informiert werden, wer der Empfänger und in welchem Heimatland er ansässig sei. Derzeit sei die Zahl der Empfänger jedoch unbegrenzt. Auf § 28 BDSG, der eine Datenerhebung und -speicherung für eigene Geschäftszwecke erlaube, könne sich kein Registrar stützen, da sich dieser auf Daten beschränke, die für die Vertragsdurchführung notwendig seien; er rechtfertige jedoch nicht den von ICANN gewünschten Datentransfer. Schließlich gestatte § 28 Abs 3a BDSG, dass selbst eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann; dann könne ein Registrar die Verpflichtung im RAA zur Speicherung aber ohnehin nicht mehr umsetzen. Zusammenfassend sei die Speicherpflicht im RAA mit dem deutschen Datenschutzrecht unvereinbar. Würde sie ein Domain-Registrar umsetzen, würde er gegen die Strafvorschrift des § 44 BDSG verstoßen und müsste befürchten, dass die Aufsichtsbehörden gemäß § 38 BDSG einschreiten.
ICANN hat angedeutet, dem Antrag auf Erteilung der Verzichtserklärung stattgeben zu wollen. Vorerst hat jedoch noch die Öffentlichkeit bis zum 22. Juni 2014 Gelegenheit, eine eigene Stellungnahme abzugeben.