Der WHOIS-Nachfolger »Registration Data Request Service« (RDRS) entwickelt sich zum Rohrkrepierer: Der freiwillige Rückzug des kanadischen Domain-Registrars Tucows unterstreicht die fehlende Akzeptanz in der Domain Name Industry.
Mit Anwendung der Datenschutz-Grundverordnung (DSGVO) mussten viele Domain-Registrare personenbezogene Daten, die zuvor im WHOIS-Verzeichnis innerhalb von wenigen Sekunden für jedermann öffentlich verfügbar waren, entfernen. Gleichwohl bestand die Notwendigkeit zum Beispiel für Strafverfolgungsbehörden und zur Geltendmachung zivilrechtlicher Ansprüche, auf den nicht-öffentlichen Teil der WHOIS-Daten zuzugreifen. Die Lösung von ICANN lautete RDRS; dahinter verbirgt sich ein kostenloses Ticketsystem, das alle Anfragen für nicht-öffentliche gTLD-Registrierungsdaten bearbeitet. Der RDRS verbindet den Anfragenden mit dem für eine Domain unter generischer Endung zuständigen ICANN-akkreditierten Registrar, sofern letzterer an diesem Service teilnimmt. Die gesamte Kommunikation und Datenweitergabe zwischen dem Anfragenden und dem für eine Domain zuständigen Domain-Registrar erfolgt außerhalb des RDRS-Systems. ICANN hält die nicht-öffentlichen WHOIS-Daten also nicht zentral vor, sondern ermöglicht über den RDRS lediglich das Senden und Empfangen von Anfragen zu einer Domain mit generischer Top Level Domain über eine einzige Plattform. Der Dienst garantiert keinen Zugriff, dass man die angeforderten Registrierungsdaten auch wirklich erhält. Letztlich liegt die Entscheidung damit beim Registrar, der unter Beachtung der für ihn geltenden Datenschutzgesetze der Anfrage entspricht oder sie ablehnt.
Die fehlende rechtliche Verpflichtung und der hohe Arbeitsaufwand macht die Teilnahme am RDRS für viele Domain-Registrare unattraktiv. So führt ICANN im aktuellen Bericht für März 2025 auf, dass lediglich 87 Registrare mitwirken – von insgesamt rund 2.500 ICANN-akkreditierten Unternehmen. Darunter befinden sich zwar auch namhafte Branchenvertreter wie Alibaba, Amazon, GoDaddy und die Deutsche Telekom AG; allerdings bleibt insbesondere für Cyberkriminelle damit mehr als genug Auswahl an Registraren, die nicht teilnehmen. Dazu gehört seit kurzem auch das kanadische Unternehmen Tucows, das geschätzt rund 10 Mio. Domain-Namen mit generischer Endung in Verwaltung hat. Im März 2025 gab Tucows bekannt, dass man sich zwar von Beginn an am RDRS-Pilotprogramm beteiligt habe, um ICANN beim Aufbau eines »Standardized System for Access and Disclosure« (SSAD) mit ausreichend Daten zu unterstützen. »Misdirected disclosure requests« hätten die Nutzbarkeit aber erheblich beeinträchtigt, die RDRS-Warteschlange gefüllt und die von ICANN öffentlich gemeldeten Zahlen durch ungültige Anfragen verfälscht. Daher ziehe man sich nun zurück:
Given that the RDRS Standing Committee has enough data to complete its report, as well as the customer experience challenges and data privacy concerns we’ve outlined above, Tucows Domains has decided to end our participation in the RDRS.
Wer gleichwohl Anfragen an Tucows stellen möchte oder muss, kann das über den unternehmenseigenen TACO-Service (Tiered Access Compliance and Operations, kurz TACO) erledigen; jedoch kostet dort das Anlegen eines Kundenkontos CAD 500,–, umgerechnet ca. EUR 320,–. Dazu kommt eine Monatsgebühr von CAD 250,–, in die fünf Anfragen eingeschlossen sind. Allerdings weist Tucows auch darauf hin, dass man bei »single-use and non-commercial requestors« auf die Gebühren in der Regel verzichte.
Wenig verwunderlich, dass die Zahl der RDRS-Anfragen im März 2025 mit 91 ein neues Allzeittief erreicht hat. Der vorherige Tiefstwert stammt aus dem November 2024 und lag bei 103. 26 der Anfragen stammten von IP-Rechteinhabern, weitere 18 von Strafverfolgungsbehörden. Erfolg hatten lediglich 23 der 91 Anfragen; 51 wurden abgelehnt, bei weiteren 12 waren die Daten ohnehin öffentlich verfügbar. Allerdings liegt das häufig auch an den Anfragen selbst;
request is incomplete/more information is required before the request can be processed/requestor did not respond to request for additional information
war der Hauptgrund für die Ablehnung. Ob ICANN die RDRS-Testphase von zwei Jahren vollumfänglich aufrechterhält, bleibt weiter abzuwarten.