Nicht einmal ein Jahr dauert es noch, dann wird EU-weit die Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Anlässlich des ICANN-Meetings in Johannesburg wurde deutlich, dass die Internet-Verwaltung ICANN bisher noch keine Lösung gefunden hat, um der eigenen Datensammelwut etwas entgegenzusetzen.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. So lautet zumindest § 3a Bundesdatenschutzgesetz (BDSG) und normiert damit den Grundsatz der Datensparsamkeit. Die Praxis hält es mit diesem Grundsatz aber häufig nicht ganz so genau; 60 einzelne Datenpunkte sammeln zum Beispiel Registries wie Neustar zu einer einzigen registrierten Domain. Für ICANN wird die Sammelei immer mehr zu einem Problem, da sie nicht nur mit nationalen Gesetzen, sondern auch mit der DSGVO (englisch „General Data Protection Regulation“, kurz GDPR) kollidiert, die ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten gilt. Hatten Verstöße bisher praktisch keine Folge, sieht die DSGVO ein Recht auf Schadenersatz sowie die Verhängung von Geldbußen vor, die bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen können. Und spätestens beim Geld hört auch bei ICANN die Freundschaft auf.
Für Abhilfe soll eine „GDPR Task Force“ sorgen, die gemeinsam mit Registries und Registraren sicherstellen möchte, dass die einschlägigen Normen in Zukunft eingehalten werden. Dabei ist auch geplant, sich mit der Artikel-29-Datenschutzgruppe (G29), ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, abzustimmen. Wie und was genau man machen möchte, bleibt allerdings offen. Monika Ermert, die für das Online-Magazin heise.de vom ICANN-Meeting in Johannesburg berichtet, merkt an, dass Registries und Registrare bisher stillschweigend die Zustimmung ihrer Kunden zur Datenweitergabe angenommen haben, wenn diese nicht ausdrücklich widersprachen; statt dieser Opt-Out-Lösung müssten Domain-Inhaber künftig aber ausdrücklich zustimmen, und das bei maximaler Information über die gesammelten Daten und deren Verwendung. Eine konkrete Lösung für dieses Problem gibt es noch nicht. Zudem dürfte damit der Streit um das WHOIS-System neu entbrennen, der ebenfalls zahlreiche ungelöste Fragen aufwirft: wer soll auf WHOIS-Daten zugreifen dürfen? Wie soll die Datengenauigkeit verbessert werden? Welche Daten sollen überhaupt gespeichert werden? Am Ende soll ein neuer „gTLD Registration Directory Service“ (RDS) stehen, der das WHOIS in seiner bisherigen Form ersetzen soll.
Verärgert über die fehlenden Fortschritte bei ICANN gibt sich Milton Mueller, Professor am Georgia Institute of Technology School of Public Policy. Er kritisierte nicht nur scharf, dass den Domain-Inhabern in dieser Diskussion keine Stimme gewährt würde. Darüber hinaus könne ICANN nicht weiter den Kopf in den Sand stecken und so tun, als gäbe es keine Fürsprecher für mehr Privatheit und Datenschutz. Bei alldem darf man nicht vergessen, dass ICANN nur die Kontrolle über generische Endungen wie .com, .net und die zahlreichen nTLDs hält; ob sich auch hunderte von Länderendungen neuen Regelungen unterwerfen, ist derzeit noch gänzlich ungewiss.