WHOIS

Neuseeland erstreitet einstweilige Verfügung gegen die Datensammelei von DomainTools

Im Windschatten der Datenschutzgrundverordnung (DSGVO) hat die neuseeländische Domain Name Commission Limited (DNC) der Sammelei von WHOIS-Daten einen schweren Schlag versetzt: ein US-Gericht hat dem Marktführer DomainTools LLC vorläufig untersagt, WHOIS-Daten für .nz-Domains zu erheben und zu veröffentlichen.

Seit dem Jahr 2002 ist DomainTools, inzwischen Teil der Luxemburger Datacenter Group, geschäftlich mit WHOIS-Daten befasst. Dazu sammelt DomainTools weltweit WHOIS-Daten sowohl für generische als auch für country code Top Level Domains, speichert sie und nutzt sowohl aktuelle als auch historische Datensätze, um Überwachungs- oder Untersuchungsdienstleistungen an private Dritte zu verkaufen. Hierzu gehören unter anderem »WHOIS and Reverse WHOIS services« und »WHOIS history«; damit lässt sich beispielsweise herausfinden, ob ein mutmaßlicher Cybersquatter weitere rechtsverletzende Domain hält oder gehalten hat; auch kurzfristige Änderungen rund um eine Domain lassen sich so dokumentieren. Nach einer Änderungen der Vergaberegelungen Mitte des Jahres 2016 störte sich die DNC jedoch an der kommerziellen Verwertung der Daten ihrer rund 710.000 .nz-Domains; deshalb hatte man vor dem »United States District Court Western District of Washington At Seattle« einen Antrag auf Erlass einer einstweiligen Verfügung gestellt (No. C18-0874RSL). Unter Berufung auf eine Verletzung sowohl des »Computer Fraud and Abuse Act« als auch des »Washington Consumer Protection Act« sollte es DomainTools untersagt werden, seine Praktiken zumindest bei .nz fortzusetzen.

Das Gericht unter Vorsitz von Robert S. Lasnik folgte der juristischen Argumentation der DNC und erließ am 12. September 2018 eine einstweilige Verfügung, wonach es DomainTools bis auf weiteres untersagt ist, auf die WHOIS-Daten für .nz-Domains zuzugreifen, diese Informationen in eigenen Datenbanken herunterzuladen und sie einschließlich aller historischen Daten zu veröffentlichen. Die dafür notwendigen vier Tatbestandsvoraussetzungen sind nach Ansicht des Gerichts alle erfüllt: es besteht eine überwiegende Erfolgsaussicht, es droht ohne den Erlass der Verfügung irreparabler Schaden, die Abwägung der berechtigten Interessen beider Parteien spricht für die Antragstellerin und der Erlass der einstweiligen Verfügung liegt schließlich im öffentlichen Interesse. Insbesondere sah das Gericht einen Verstoß gegen die »terms of use« (TOU) für .nz, die es untersagen, durch massenhafte Abfragen eine Art »Schatten«-WHOIS zu erstellen. Vor allem ein Einwand von DomainTools schien Lasnik verärgert zu haben. So hatte DomainTools geltend gemacht, eine Lawine von Prozessen befürchten zu müssen, wenn die einstweilige Verfügung erlassen wird und sich andere Registries bestärkt sehen, sich dem Vorgehen von DNC anzuschließen, um die WHOIS-Daten ihrer Kunden zu schützen. Doch damit stieß man bei Lasnik auf kein Gehör, im Gegenteil:

It would be ironic, however, if a plaintiff who has shown a likelihood of success and irreparable injury were deprived of preliminary relief simply because defendant may have acted wrongfully toward others as well.

Besonders schwer wiegen dürfte, dass sich die einstweilige Verfügung nicht nur gegen DomainTools selbst, sondern auch alle »officers, agents, servants, employees, and all others acting in active concert with them« richtet.

In einer ersten Stellungnahme zeigte sich die DNC hocherfreut. Domain Name Commissioner Brent Carey bezeichnete die Entscheidung als wichtigen Sieg für .nz und die Privatsphäre der Inhaber von .nz-Domains; seiner Ansicht nach würden die Verwalter anderer Länderdomain-Endungen diese Entwicklung genau beobachten und nun ebenfalls überlegen, vor Gericht zu ziehen. Für DomainTools ist diese Entscheidung hingegen der zweite schwere Schlag innerhalb kürzester Zeit. So hat im Mai 2018 die Datenschutzgrundverordnung dafür gesorgt, dass die Menge an öffentlich zugänglichen WHOIS-Informationen drastisch reduziert wurde. Kann nun auch eine ccTLD-Registry vertraglich verbieten, dass WHOIS-Daten gespeichert und im geschäftlichen Verkehr verwertet werden, droht DomainTools der Datenfluss für sämtliche WHOIS-Daten zu versiegen.

URS

Streit um codesys.xyz dreht eine Extrarunde

Die 3S-Smart Software Solutions GmbH hatte in einem URS-Verfahren die ihre Marke verletzende Domain codesys.xyz suspendieren lassen. Kurze Zeit später legte die Domain-Inhaberin Beschwerde gegen die Entscheidung ein. Die Sache wurde erneut geprüft.

Die 3S-Smart Software Solutions GmbH aus Kempten hatte ein Problem mit der Domain codesys.xyz, die sich in chinesischer Hand befindet. Unter dem Namen »Codesys« vertreibt 3S-Smart eine Automatisierungssoftware zur Projektierung von Steuerungssystemen. Für dieses Produkt hat sie bereits seit Anfang 2003 eine deutsche Marke und in zahlreichen anderen Ländern Marken eingetragen. In der Registrierung der Domain codesys.xyz sieht sie eine Verletzung ihrer Marken. Sie startete ein Uniform Rapid Suspension (URS) Verfahren, um die Domain zu suspendieren. Am 09. Juli 2018 erging durch die Expertin Anne M. Wallace, eine in Kanada niedergelassene Juristin, eine URS-Entscheidung zugunsten der Beschwerdeführerin. Die chinesische Gegnerin hatte sich zum Verfahren nicht gemeldet, die Domain codesys.xyz wurde suspendiert. Kurze Zeit später legte die Domain-Inhaberin allerdings Rechtsmittel gegen die Suspendierung ein und erklärte, sie habe die Nachricht, dass ein Verfahren anhängig ist, nicht erhalten und man habe ihr so die Möglichkeit einer Stellungnahme genommen. Die URS lässt, anders als die UDRP, eine Wiederaufnahme des Verfahrens zu. Demgemäß wurde das Verfahren nochmals aufgegriffen. Diesmal war der in chinesischer Sprache bewanderte Jurist David J. Kreidler als Fachmann bestellt.

Kreidler prüfte die nun vorgelegten Einwendungen der Gegnerin eingehend, kam aber zu dem Ergebnis, die vorgebrachten Argumente seien völlig wertlos und bestätigte die Suspendierung der Domain codesys.xyz (NAF-Case FA1806001793177). Er stellte nochmals fest, dass Domain und Marke identisch seien, abgesehen von der Endung. Die Beschwerdeführerin habe den Anscheinsbeweis erbracht, dass die Gegnerin nicht Lizenznehmerin sei und unter dem Namen »Codesys« nicht bekannt sei, weshalb sie auch kein Recht oder rechtliches Interesse an der Domain habe. Weiter stellte Kreisler fest, dass die Gegnerin um die Marke der Beschwerdeführerin wusste, da sie bei Registrierung der Domain den Hinweis auf die Marke der Beschwerdeführerin erhalten und das durch Anklicken des »Acknowledge Claim« bestätigt hatte. Der Beschwerdeführer hat seine Marke im Trademark Clearinghouse eingetragen, welches unter anderem dafür sorgt, dass bei Registrierung einer markenidentischen Domain unter einer der neuen Domain-Endungen ein Hinweis auf den Markeninhaber angezeigt wird. Die Gegnerin wandte im Übrigen ein, die Marke der Beschwerdeführerin unterliege nicht der chinesischen Jurisdiktion und werde dort nicht akzeptiert. Mit der Domain codesys.xyz wolle man eine Plattform aufbauen, auf der Technologie gefördert und ausgetauscht wird. Man lade auf der Seite ein, Codesys-relevante Entwicklungssoftware herunterzuladen und versprach »einen sicheren Hafen in einer lauten Welt«.

Für Kreidler ergab sich daraus, dass die Gegnerin um die Rechte der Beschwerdeführerin an der Marke »Codesys« wusste, als sie die Domain registrierte, und dass sie diese registrierte und nutzte, um das Geschäft der Beschwerdeführerin zu schädigen. Die Gegnerin hatte, um die Unrechtmäßigkeit der Beschwerde nachzuweisen, auch einen unscharfen Screenshot mit unlesbaren chinesischen Zeichen vorgelegt, der einen abgewiesenen Markenantrag für die Marke »Codesys« aus dem Jahr 2010 darstellen soll. Doch Kreidler verwies auf die deutsche Marke, die schon seit 2003 besteht, und weitere Marken der Beschwerdeführerin, die in zahlreichen anderen Ländern eingetragen sind. Die Behauptungen der Gegnerin, die Beschwerdeführerin missbrauche das URS-Verfahren und habe gefälschte Belege vorgelegt, sieht Kreidler als unbegründet an. In der Folge habe die Beschwerdeführerin die drei Elemente der URS erfüllt; ein Missbrauch ihrerseits sei nicht erkennbar, weshalb er entschied, die Domain codesys.xyz auch weiterhin, bis zum Ablauf der Registrierungsperiode, zu suspendieren. Darüber hinaus merkte Kreidler an, dass die Gegnerin das URS-Verfahren missbrauchte und gefälschtes Material vorgelegt hätte.

Auf das Domain-Recht spezialisierte Anwälte findet man auf Domain-Anwalt.de, einem Projekt der united-domains AG.

Berlin

Termin für @Kit-Kongress 2019 ist fix

Der renommierte »@kit-Kongress« des Bayreuther Vereins @kit eV kehrt im März 2019 zurück nach Berlin. @kit veranstaltet den Kongress wie immer in den vergangenen Jahren zusammen mit der Fachzeitschrift »Kommunikation & Recht«. Die Themenpalette für diese gerade erst angekündigte Veranstaltung steht leider noch nicht fest.

Alle Jahre findet zumindest ein Kongress des in Bayreuth ansässigen Arbeitskreises für Informationstechnologie – Neue Medien – Recht eV (AKIT) und der juristischen Fachzeitschrift »Kommunikation & Recht« der Deutscher Fachverlag GmbH statt. Vor wenigen Tagen wurde der Termin für den 18. @kit-Kongress und das 8. Forum »Kommunikation & Recht« bekanntgegeben. Interessierte können sich schon einmal den 28. und 29. März 2019 freihalten, an denen der Kongress wieder nach Berlin kommt. Die Veranstaltung findet dann im Presse- und Informationsamt der Bundesregierung statt. Sobald wir weitere Informationen erhalten, werden wir auch über Inhalte des Kongresses berichten.

Der 18. @kit-Kongress und das 8. Forum »Kommunikation & Recht« finden am 28. und 29. März 2019 im Presse- und Informationsamt der Bundesregierung, Dorotheenstraße 84 in 10117 Berlin, statt. Sicher wird es am Vorabend wieder ein Get-together geben. Die Teilnahmegebühren sind noch nicht bekannt, aber klar ist schon jetzt: @kit-Mitglieder, Studenten und Referendare zahlen deutlich weniger.

Weitere Informationen zu @kit finden Sie hier.

nTLDs

Sandvik Konzern stellt auf die eigene Domain-Endung .sandvik um

Das schwedische Industrieunternehmen Sandvik AB rückt seine eigene Marken-Endung .sandvik ins Licht der Öffentlichkeit.

Der Engineering-Konzern, der vor allem in den Bereichen Berg- und Tiefbau, Zerspanung und Materialtechnologie tätig ist, hat damit begonnen, Teile seines Webangebots auf .sandvik umzuziehen. Im ersten Schritt wurde die bisherige Website der Sandvik-Gruppe sandvik.com auf home.sandvik umgestellt. Wer die »alte« Domain aufruft, wird automatisch auf home.sandvik weitergeleitet. Im nächsten Schritt sind die zahlreichen Länder-Webseiten auf .sandvik umgestellt worden, wie beispielsweise sandvik.se, die nun unter home.sandvik/se erreichbar ist. Der Unternehmenssprecher Pär Altan teilte mit:

Für Sandvik war der Antrag und der Betrieb von .sandvik entscheidend, um das Vertrauen der Kunden in Webangebote von Sandvik zu erhöhen. Mit .sandvik als Ende jeder Webadresse machen wir noch deutlicher, dass nur Sandvik für den Inhalt verantwortlich ist.

Aktuell sind 17 Domain-Namen unter .sandvik registriert; daneben betreibt Sandvik auch noch die beiden Endungen .sandvikcoromant und .walter.

DSGVO

Verschiedene Quellen zeigen ein Sinken des Spams nach Anwendung der Datenschutzgrundverordnung

90 Tage nach Anwendung der Datenschutzgrundverordnung (DSGVO) mehren sich Artikel, die auf Grundlage vorhandener Daten darüber spekulieren, welche Auswirkungen die DSGVO auf die Sicherheit im Internet hat. Alle konstatieren, dass es weniger Spam gibt und weniger spamrelevante Domains registriert wurden.

Spamhaus, eine Nonprofit-Organisation, die Spam und Internetbedrohungen verfolgt, um die dafür Verantwortlichen und die Quellen zu identifizieren, teilt in einem Artikel mit, dass seit Einführung der DSGVO und der damit einhergehenden verminderten WHOIS-Angaben tatsächlich das Spamaufkommen zurückgegangen sei. Aus Sicht von Spamhaus bedeutet dies aber nicht, dass der Rückgang an Spam auf die DSGVO und die fehlenden WHOIS-Daten zurückzuführen sei. Zahlreiche andere Gründe könnten für einen – vermeintlichen – Spam-Rückgang verantwortlich sein:

  • so könnten ordentliche Unternehmen wegen der DSGVO eMail-Listen gelöscht haben, um den Anforderungen der DSGVO Genüge zu tun
  • aufgrund der Verringerung von WHOIS-Daten könnte die Identifizierung von üblen Domains zurückgegangen sein mit der Folge, dass Anti-Spam-Systeme weniger eMails als Spam beurteilen
  • es könnten aber auch die üblichen Schwankungen des Spamaufkommens sein, die schon immer hohe Amplituden aufwiesen weiter gäbe es zahlreiche Möglichkeiten, die nicht auf die DSGVO zurückzuführen sind, etwa dass ein wichtiger Spammer kürzlich verhaftet worden sei und dessen Spambots nicht aktiv sind
  • außerdem seien kriminelle Organisationen eben auch Unternehmen, die auf ihr »return of investment« schauen und deshalb zur Zeit mehr Wert auf wenige, aber erfolgreiche Phishingszenarien bauen als Milliarden von eMails zu versenden.

Es gäbe derzeit keine belastbaren Hinweise, dass das geringe Spamaufkommen unmittelbar auf die DSGVO zurückzuführen ist, resümiert Spamhaus. Wie auch immer, so Spamhaus, die wahren Effekte der Anonymisierung des WHOIS wegen der DSGVO werde noch einige Zeit auf sich warten lassen. Die eigentliche Crux der DSGVO liege darin, dass fehlende WHOIS-Informationen es Organisationen wie Spamhaus erschweren, Cyberkriminelle und unschuldige Menschen effektiv auseinanderzudividieren.

Mit diesem Thema beschäftigt sich auch Redner und Berater John Levine, der Bezug auf einen Artikel von recordedfuture.com (90 Days of GDPR: Minimal Impact on Spam and Domain Registration) nimmt, in dem dessen Autoren proklamieren, dass Spam und Domain-Registrierung von spamrelevanten Endungen wie .men, .fun und anderen seit Anwendung der DSGVO zurückgegangen sind. Für Levine ist die Herangehensweise, Domains und Spam in Zusammenhang zu bringen, schon falsch. Das Ziel von Spam ist nach seiner Einschätzung, Empfänger von Spammails zu etwas zu bewegen, zum Beispiel einen Link anzuklicken, der sie auf eine Seite weiterleitet, auf der sich Phishingware oder Malware befindet. Spammer nutzen Botnetze und IP-Raum, den sie übernommen haben. Spam-Domains sind solche, auf die Spammer die Mail-Empfänger führen wollen. Dazu brauchen sie jedoch nicht zwingend die Domain selbst: in der Regel nutzen sie Domains Dritter, deren Webspace sie gehackt haben. Um Spam zu versenden, braucht es letztlich keine Domains. Mehr Domains bringen Spammern keine Vorteile. Der Rückgang von Registrierungen unter Spamdomains wie .men und .fun ist aus Levines Sicht eher darauf zurückzuführen, dass Werbeangebote, bei denen man solche Domains zu Cent-Preisen registrieren kann, nicht mehr laufen und die Registrierungsperiode solcher Werbeaktionen abgelaufen ist. Die eigentliche Frage zur DSGVO hätten die Autoren nicht gestellt: Wirkt sich die DSGVO negativ aus, weil sie die Entdeckung, das Blockieren und die Rechtsverfolgung erschwert? Aus Sicht von Sicherheitsberatern, zu denen Levine Kontakt hat, behindern fehlende Informationen im WHOIS deren Arbeit. Eine Anforderung von Daten bei Registraren schaffe Hilfe im Einzelfall; aber wenn es um zehntausende Domains geht, seien solche Anfragen nicht umsetzbar und die Daten im WHOIS fehlen. Levine schließt – wie im Grunde alle aktuellen Artikel zum Thema – mit den Worten, dass wir noch nicht die entsprechenden Daten haben, um beurteilen zu können, welche Folgen die DSGVO für die Internetsicherheit mit sich bringt. Aber sicher lasse sich sagen, dass die vorliegenden Daten nicht für die Behauptung ausreichen, die DSGVO habe keinen Effekt.

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Episerver GmbH, Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Seite 1 von 484
Top