DNS

CENTR kritisiert EU-Initiative zur Bekämpfung von Online-Betrug

Das Council of European National Top-Level Domain Registries (CENTR) hat Widerstand gegen den EU-Aktionsplan zur Bekämpfung von Online-Betrug angekündigt: Zusätzliche oder strengere Betrugspräventionsauflagen seien nicht mehr notwendig.

Ende Januar 2026 hat die EU-Kommission die Initiative Bekämpfung von Online-Betrug – Aktionsplan gestartet und die Öffentlichkeit dazu aufgerufen, bis 13. März 2026 Stellung zu nehmen. Der Aktionsplan zielt darauf ab, Online-Betrugsfälle und deren Auswirkungen in der gesamten EU erheblich zu verringern. Geplant sind eine stärkere Koordinierung von Maßnahmen, eine bessere Unterstützung der Opfer und eine intensivere grenzüberschreitende Zusammenarbeit, um einen stärker integrierten Ansatz zu gewährleisten. Auch die Domain Name Industry hat man dabei im Visier; so heißt es in der Aufforderung zur Stellungnahme:

Für Online-Betrug wird häufig das Domain-Namen-System (DNS) missbraucht.

Der Aktionsplan zur Bekämpfung von Online-Betrug soll sich daher auch auf Betrug erstrecken, der durch den Einsatz von Technologie (online oder telefonisch) begangen wird. Damit rief die EU-Kommission CENTR auf den Plan; in einer ausführlichen Stellungnahme erläuterte das Bündnis die Sichtweise der europäischen ccTLD-Registries auf den EU-Aktionsplan. In seinem Beitrag betont CENTR die Notwendigkeit verhältnismäßiger, technisch realisierbarer und evidenzbasierter Maßnahmen, die der dezentralen Struktur des Internet-Ökosystems Rechnung tragen. Die Stellungnahme hebt zudem hervor, dass europäische ccTLDs bereits einem breiten, sich stetig weiterentwickelnden Regulierungsrahmen unterliegen; die EU-Kommission sei daher gehalten, sicherzustellen, dass künftige Maßnahmen auf bestehenden Regeln aufbauen, Doppelarbeit vermieden wird und die technische Rolle und die Grenzen der DNS-Betreiber anerkannt werden.

Laut CENTR ist es schwierig, zwischen DNS-Missbrauch und Missbrauch durch dessen Nutzung zu unterscheiden, da jede Online-Aktivität, ob legal oder illegal, in der Regel eine Domain und die Einrichtung der übrigen DNS-Infrastruktur erfordert, bevor sie Endnutzer erreichen kann. DNS-Missbrauch dürfe daher nicht mit jeglicher Cyberkriminalität gleichgesetzt werden. Es empfehle sich ein pragmatischerer Ansatz, bei dem man ermittelt, welche Maßnahmen für die verschiedenen Vermittler und Betreiber der technischen Infrastruktur zur Verfügung stehen. ccTLDs verfügen demnach nicht über die technischen Möglichkeiten, rechtswidrige Inhalte oder Verhaltensweisen im Internet direkt zu bekämpfen. Sie können lediglich die zugrundeliegende technische Infrastruktur, also den Domain-Namen sperren, was die Funktionsfähigkeit aller Dienste beeinträchtigen würde. Grundsätzlich gelte bei der Bekämpfung von Missbrauch, der vorwiegend über Inhalte und mit einem Domain-Namen verbundene Vermittlungsdienste erfolgt, dass Vermittler, die näher am Inhalt sind (z.B. Hosting-Anbieter), besser in der Lage seien, unerwünschtes Verhalten zu unterbinden und unerwünschte Inhalte dauerhaft zu entfernen. Da der Missbrauch von Inhalten nicht über die von einer ccTLD-Registry verwaltete Infrastruktur erfolge, könne man von Registries nicht erwarten, dass sie proaktiv nach Fehlverhalten suchen. Erst wenn andere Vermittler nicht handeln und der erhebliche Schaden für Endnutzer fortbesteht, könnten zuständige Behörden die ccTLD-Registries kontaktieren und auf Grundlage einer rechtmäßigen Anordnung Maßnahmen ergreifen. Maßnahmen zur Bekämpfung von Online-Betrug auf Domain-Ebene über zugehörige Dienste können von zuständigen Behörden daher nur in Ausnahmefällen in Betracht gezogen werden, wenn keine anderen wirksamen Mittel zur Verfügung stehen.

Ferner weist CENTR darauf hin, dass europäische Registries bereits einer Vielzahl von EU-Vorschriften unterliegen, darunter strenge Maßnahmen zum Cybersicherheitsrisikomanagement, Verpflichtungen zur Genauigkeit der WHOIS-Daten mit Identitätsprüfung, ein Rahmenwerk zur Inhaltsmoderation gemäß DSA und Bestimmungen zum Zugriff auf elektronische Beweismittel für grenzüberschreitende Strafverfolgungsmaßnahmen. Da einige Vorschriften relativ neu seien oder sich noch in der Umsetzungsphase befänden, würden ihre langfristigen Auswirkungen erst später sichtbar. Daher bestehe im EU-Aktionsplan gegen Online-Betrug keine Dringlichkeit, die Internetinfrastruktur (einschließlich ccTLDs), zu behandeln, da die meisten DNS-relevanten Vorschriften mit Missbrauchsbekämpfungsaspekten in den letzten Jahren verabschiedet wurden. Strengere oder zusätzliche regulatorische Anforderungen an europäische ccTLDs zur Bekämpfung von Online-Missbrauch seien nicht gerechtfertigt, da die Missbrauchsraten bereits niedrig sind, das regulatorische Umfeld komplex ist und noch keine Chance hatte, richtig umgesetzt zu werden, um bei Akteuren außerhalb der EU Wirkung zu zeigen. Ob CENTR damit Gehör findet, wird sich bald zeigen: die Annahme der Initiative durch die EU-Kommission ist für das zweites Quartal 2026 geplant.

ccTLDs

Cap Verdes Registry für .cv berichtet positiv über seine Premium Domains Verkäufe

Die Agência Reguladora Multissectorial da Economia (ARME), Verwalterin der Landesendung .cv der Kap Verde, hat ihren Bericht »Premium Domain Sales« für das 2. Halbjahr 2025 veröffentlicht.

Danach wurden im Zeitraum 01. Juli bis 31. Dezember 2026 insgesamt 297 Premium-Domains mit der Endung .cv des afrikanischen Inselstaates verkauft. In Summe spülte der Verkauf einen Betrag von US$ 126.307,– (umgerechnet ca. EUR 106.953,–) in die Kassen der Registry. Besonders gefragt waren Domains im Format vorname.cv, wobei gabriel.cv und jasper.cv namentlich genannt werden; hier verzeichnet die Registry eine anhaltend hohe Nachfrage, was den Eindruck bestätige, dass Namen selbst zu wertvollen Identitätsmerkmalen werden und nicht »nur« Marken sind. Ebenfalls begehrt waren einmal mehr Ein-Zeichen-Domains; so haben nun q.cv und y.cv einen neuen Inhaber. Klassischerweise gefragt waren die Wörterbuch-Domains fresh.cv und every.cv, aber auch für Berufs-Domains wie engineer.cv und legal.cv gab es Interessenten. Die günstigste Premium-Domain kostete US$ 100,–, die teuerste, namentlich nicht genannte .cv-Domain US$ 6.500,–.

WIPO-Doppelpack – VW erstreitet das-weltauto.eu und Lidl lidl.co

Zwei deutsche Unternehmen waren in Streitbeilegungsverfahren wieder einmal erfolgreich: Lidl erstritt lidl.co und VW die .eu-Domain das-weltauto.eu. Bei letzterer Entscheidung wurden die Gegnerdaten unterdrückt.

lidl.co (WIPO Case No. DCO2026-0003)
Die LIDL Stiftung & Co. KG sah ihre Markenrechte durch die kolumbianische Domain lidl.co verletzt und startete ein UDRP-Verfahren vor der WIPO. Die Domain wurde am 02. September 2010 registriert. Zum Zeitpunkt der Einreichung der Beschwerde leitete die Domain auf eine Parking-Site mit „Pay-per-Click“-Links weiter und wurde zum Verkauf angeboten. Zum Zeitpunkt der Entscheidung leitete die Domain auf eine Website weiter, die sich als a practical guide to finding and applying for Lidl roles across stores, warehouses, and corporate teams ausgab. Die Beschwerdeführerin trägt unter anderem vor, es gäbe keine Hinweise, dass der Gegner die Domain jemals im Zusammenhang mit einem legitimen Geschäft genutzt oder Vorbereitungen für eine solche Nutzung getroffen hat oder dass er unter der Domain bekannt ist. Der Gegner mit Sitz in den USA habe die Domain lange nach diversen Eintragungen der Marke »LIDL« im USPTO (United States Patent and Trademark Office) und Registrierung der Domain lidl.com der Beschwerdeführerin angemeldet. LIDL beantragte die Übertragung der Domain. Der Gegner nahm nicht offiziell zur Beschwerde Stellung, meldete sich aber per eMail und erklärte, er habe die Domain vor einigen Jahren gekauft und sei bereit, sie zu verkaufen:

at a fair price of $2,000 – negotiable.

Der norwegische Rechtsanwalt Mathias Lilleengen entschied als WIPO-Panelist über die Sache und gab der Beschwerde von LIDL statt (WIPO Case No. DCO2026-0003). Marke und Domain-Name stimmen aus seiner Sicht überein, womit das erste Element der UDRP erfüllt war. Der von der Beschwerdeführerin erbrachte Anscheinsbeweis des fehlenden Rechts oder fehlender berechtigter Interessen des Gegners überzeugte ihn. Dem hatte der Gegner nichts entgegengestellt. Was die Bösgläubigkeit betraf, so sah er da auch alle Voraussetzungen erfüllt. Lilleengen fand, dass der Gegner die Domain in erster Linie zum Zweck des Verkaufs, der Verpachtung oder einer sonstigen Übertragung an die Beschwerdeführerin oder einen Wettbewerber registriert oder erworben hat, wobei die Gegenleistung wahrscheinlich über den dokumentierten Auslagenkosten liege. Damit bestätigte er die Beschwerde und entschied auf Übertragung der Domain.

das-weltauto.eu (WIPO Case No. DEU2025-0034)
Die Volkswagen AG sah ihre Markenrechte durch die im Juli 2025 registrierte Domain das-weltauto.eu verletzt. Die Domain leitete auf »dasweltauto.at/aktionen« weiter, die Webseite eines akkreditierten VW-Händlers mit Sitz in Österreich. Im November 2025 mahnte die Volkswagen AG den in Italien ansässigen Domain-Inhaber ab. Im dann gestarteten Alternative Dispute Resolution-Verfahren (ADR) um die .eu-Domain legte die Beschwerdeführerin neben den üblichen Argumenten auch die Beschwerde einer Person bei der italienischen Polizei vom 02. Dezember 2025 vor, in der diese Person behauptet, über die mit dem strittigen Domain-Namen verknüpfte eMail-Adresse »[…]@das-weltauto.eu« und eine Anzeige auf einer Plattform für den Verkauf von Gebrauchtfahrzeugen betrogen worden zu sein. Der Gegner meldete sich in der Sache nicht. Als Entscheider wurde der Brüsseler Rechtsanwalt Flip Jan Claude Petillion berufen.

Petillion bestätigte die Beschwerde der VW AG und entschied auf Übertragung der Domain (WIPO Case No. DEU2025-0034). Er bestätigt die hohe Ähnlichkeit zwischen Domain und Marke, wobei allein der Bindestrich den Unterschied mache. Er geht auch – nach dem Vortrag der Beschwerdeführerin, insbesondere hinsichtlich der betrügerischen Nutzung der eMail-Adresse – davon aus, dass die Domain ohne ein Recht oder berechtigtes Interesse im Besitz des Gegners steht. Auch die Bösgläubigkeit war gegeben, da die Domain eindeutig registriert wurde, um Vorteil aus der mit der Ähnlichkeit zur Marke der Beschwerdeführerin erzeugten Verwirrung zu ziehen. Da der Gegner sich zur Sache nicht meldete und dem überzeugenden Vortrag der Beschwerdeführerin nichts entgegensetzte, ging die Entscheidung zu Gunsten der Beschwerdeführerin aus, und Petillion entschied auf Übertragung der Domain an diese.

In beiden Entscheidungen verweisen die Panels auf den WIPO Overview. In der Entscheidung vom 20. Februar 2026 um die Domain lidl.co bezieht sich Lilleengen aber bereits auf den WIPO Overview 3.1, was mittlerweile allgemein bei UDRP-Entscheidungen üblich ist. Auch in ADR-Verfahren für .eu-Domains orientieren sich Panels am WIPO Overview; Petillion aber nimmt in seiner Entscheidung vom 03. Februar 2026 noch auf die Version 3.0 Bezug. Interessanterweise sind in der ADR-Entscheidung die Gegnerdaten entfernt. In einer Fußnote geht Petillion darauf ein und legt dar:

The recipient claims it is not the registrant of the Disputed Domain Name. The Respondent also appears to have used the name of a Romanian politician as the registrant’s name. In light of the potential identity theft, the Panel has redacted the Respondent’s name and organisation name from this decision.

Auf das Domain-Recht spezialisierte Anwälte findet man auf Domain-Anwalt.de, einem Projekt der united-domains GmbH.

Statistik

Domain-Registry XYZ.COM legt Missbrauchsbericht vor und gibt Informationen zu den Maßnahmen im Q4-2025

Die in Las Vegas (US-Bundesstaat Nevada) ansässige XYZ.COM LLC hat ihren Missbrauchsbericht für das vierte Quartal 2025 veröffentlicht.

Der vierteljährlich erscheinende Bericht hebt einige der Maßnahmen hervor, die das Missbrauchsteam hat, um DNS-Abuse proaktiv zu bekämpfen. So gab es aus der Kategorie Spam 21 Meldungen, zum Phishing 2.095 Meldungen, in Sachen Malware waren es 240 Meldungen und bei DDoS/Botnetze immerhin fünf; alle anderen Meldungen summieren sich auf 474. Im Gegenzug lieferte XYZ.COM LLC in den letzten drei Monaten des Jahres 2025 insgesamt 2.333 Hinweise an die akkreditierten Registrare aus, also im Durchschnitt 25,7 Hinweise pro Tag. Das Anti-Missbrauchs-Team kennzeichnet zudem verdächtige Registrierungen zur Überprüfung, beispielsweise eine große Anzahl neuer Domains, die innerhalb kurzer Zeit erstellt wurden; insoweit kam es im letzten Quartal 2025 zu fünf Ermittlungsverfahren. Interessant: Wenn Webseiten kompromittiert wurden, reagiert XYZ.COM LLC umgehend und sperrt die betroffenen Domains, um potenzielle Risiken zu minimieren. Wie viele Sperren ausgesprochen wurden, lässt der Bericht offen, aber in immerhin 408 Fällen gab es Anfragen der betroffenen Domain-Inhaber, um die Sperren wieder aufzuheben.

NIS-2

Frist für Unternehmen zur Registrierung beim BSI läuft am 06. März 2026 aus

Sie sind eine wichtige oder gar eine besonders wichtige Einrichtung im Sinne der NIS-2-Richtlinie? Dann haben Sie aktuellen Handlungsbedarf: wie der TÜV SÜD meldet, müssen sich betroffene Unternehmen bis spätestens 06. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik registrieren.

Nach jahrelanger Verzögerung ist am 06. Dezember 2025 das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten. Mit Inkrafttreten wurde der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) deutlich erweitert und erfasst künftig auch die Domain Name Industry. Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Systems zu leisten, haben Registries und Registry-Dienstleister genaue und vollständige Domain-Registrierungsdaten in einer eigenen Datenbank mit der gebotenen Sorgfalt zu sammeln und zu pflegen. Doch das Gesetz reicht weit darüber hinaus und macht für etliche Unternehmen rasches Handeln zur Pflicht. So macht die TÜV SÜD AG darauf aufmerksam, dass Unternehmen, die als sogenannte wichtige und besonders wichtige Einrichtungen in den Geltungsbereich des Gesetzes fallen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen müssen. In zahlreichen Sektoren wie Energie, Gesundheit, Transport, digitale Infrastruktur oder öffentliche Verwaltung fallen Unternehmen ab 50 Mitarbeitenden oder mit mehr als EUR 10 Mio. Umsatz unter die NIS-2. Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD, meint:

Allein in Deutschland sind rund 29.000 Organisationen von den neuen NIS-2-Pflichten betroffen. Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen.

Seit Anfang des Jahres 2026 stellt das BSI das neue BSI‑Portal bereit. Es soll zur zentralen Plattform für die Erfüllung der NIS‑2‑Pflichten werden. Über das Portal erfolgt die Erstregistrierung, die alle meldepflichtigen Unternehmen spätestens drei Monate nach Eintritt ihrer gesetzlichen Pflicht durchführen müssen. Da das Gesetz am 06. Dezember 2025 in Kraft getreten ist, müssen nun viele Unternehmen bis zum 06. März aktiv werden. Bei der fristgerechten Registrierung sollte nach Ansicht des TÜV SÜD unbedingt berücksichtigt werden, dass Unternehmen zunächst ein ELSTER‑Organisationszertifikat erzeugen müssen; bis die Aktivierungs‑ID dafür per Post eintrifft, können fünf bis zehn Werktage vergehen. Für die Registrierung im BSI‑Portal selbst sind Unternehmensangaben wie Größe und Rechtsform sowie Informationen zur NIS‑2‑Kontaktstelle erforderlich. Zudem müssen der jeweilige Sektor und die zuständige Bundesbehörde über ein Dropdown‑Menü ausgewählt werden. Unternehmen sind verpflichtet, diese Angaben aktuell zu halten und spätestens zwei Wochen nach jeder Änderung im Portal zu aktualisieren. Auch die Meldung erheblicher Sicherheitsvorfälle erfolgt verpflichtend über das BSI‑Portal als zentrale Anlaufstelle. Ganz uneigennützig sind diese Hinweise nicht; die TÜD SÜD AG bietet mehrere Dienstleistungen rund um die NIS-2, darunter Unterstützung bei der Umsetzung eines strategischen Cybersicherheitsprogramms und Schulungen sowie Trainings für Mitarbeiter, um menschliches Versagen zu minimieren.

Auch die Domain-Branche sollte den 06. März 2026 dick im Kalender angestrichen haben. Bis dahin haben Registries und Registry-Dienstleister Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten, mit denen sichergestellt wird, dass die WHOIS-Datenbank genaue und vollständige Angaben enthält; die entsprechenden Vorgaben und Verfahren sind bis zum 06. März 2026 öffentlich zugänglich zu machen. Dafür können Geschäftsleitungen wohl vorerst aufatmen. Zwar verlangt § 38 BSIG, dass die Geschäftsleitungen der wichtigen und besonders wichtigen Einrichtungen verpflichtet sind, die Risikomanagementmaßnahmen des § 30 BSIG umzusetzen und die Umsetzung zu überwachen haben; es wird jedoch vertreten (Dittrich/Kipker: Die Umsetzung der NIS-2-Richtlinie in nationales Recht, NJW 2026, 193), dass es sich dabei nur um eine Leitungs- und Koordinierungsfunktion bezüglich der einzelnen Maßnahmen eines Risikomanagement-Systems zur Cybersicherheit handelt, da die Geschäftsleitung typischerweise nicht die notwendigen technischen Kenntnisse und Kapazitäten für die Umsetzung von Risikomanagementmaßnahmen hat. Gerichtliche Entscheidungen dazu gibt es bisher nicht.

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Seite 1 von 781
Top