Der Ausschuss für Industrie, Forschung und Energie im EU-Parlament hat sich auf einen überarbeiteten Entwurf der Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz „NIS 2“) verständigt. Die Verhandlungen dauern jedoch an.
Im Dezember 2020 hatte die EU-Kommission ihre Pläne öffentlich gemacht, durch die überarbeitete »NIS 2« die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Darin eingeschlossen sind Änderungen im Bereich digitale Infrastrukturen, wie zum Beispiel DNS-Anbieter und Registries. Für erhebliches Aufsehen sorgte daher, als der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 15. Oktober 2021 seine Stellungnahme zur Entwurfsvorlage der EU-Kommission vorlegte. Der Europaabgeordnete Dr. Patrick Breyer, Mitglied der Piratenpartei Deutschland, schlug damals Alarm und warnte davor, dass die EU anonyme Websites verbieten wolle.
Diese Klarnamenspflicht für Domaininhaber ist ein weiterer Schritt in Richtung Abschaffung anonymer Veröffentlichungen und Leaks im Internet. […] Aber eine Klarnamenspflicht für Domaininhaber hat nichts mit Netzwerksicherheit zu tun,
so Breyer. Damit lag der Ball im Feld des federführenden Industrieausschusses ITRE, am 28. Oktober 2021 final über die Position des Europäischen Parlaments abzustimmen.
Mit 70 zu 3 Stimmen bei einer Enthaltung hat der ITRE daraufhin sein bisher nur in englischer Sprache (bei heise.de) vorliegendes »Compromise Amendment 1« verabschiedet. Sie enthält nun eine Klarstellung, die vor allem ICANN aufatmen lassen dürfte: Die »NIS 2« soll demnach zwar für »top–level domain name registries and domain name system (DNS) service providers« gelten; »root name servers« sollen aber ausdrücklich ausgeschlossen sein. Der mutmaßliche Versuch der EU, Einfluss auf die 13 Root-Nameserver zu nehmen, die von verschiedenen, meist im Ausland ansässigen Institutionen wie VeriSign, der NASA, der University of Maryland oder dem gemeinnützigen Internet Systems Consortium (ISC) betrieben werden, wäre damit unterbunden. Keine wesentliche Änderung soll es aber im für die Domain-Branche besonders relevanten Artikel 23 geben. Als einschlägige Angaben zum Domain-Inhaber sollen daher auch nach Ansicht des ITRE der Name, die physische und die eMail-Adresse sowie die Telefonnummer des Domain-Inhabers erfasst und verifiziert werden. Dass dies praktisch kaum umzusetzen ist, hat man erkannt, hält jedoch an diesem Ziel fest. »Using a ‘best efforts’ approach, these verification processes should reflect the current best practices used within the industry«, heisst es in den Erwägungen. Natürliche Personen können aber darauf vertrauen, dass die öffentlich einsehbaren WHOIS-Daten diese Angaben nicht enthalten. Im Falle juristischer Personen sollen die vorgenannten Daten aber das Minimum darstellen, das veröffentlicht wird. Neu ist zudem die Regelung, dass »registries and entities providing domain name registration services« auf begründete Anfragen zur Offenlegung nicht-öffentlicher WHOIS-Daten binnen 72 Stunden antworten müssen.
Beim eco – Verband der Internetwirtschaft e.V. sieht man unverändert Konflikte mit der DSGVO.
Wenn neben DNS-Registraren auch Registries und Reseller, Privacy Dienste oder Broker parallel die Personendaten von Domaininhabern erheben, steht das im Widerspruch zum Gebot der Datensparsamkeit,
so eco-Projektmanager Blockchain & Domains Lars Steffen. Ob er oder andere mit ihrem Bedenken durchdringen, wissen wir frühestens nach dem 10. November 2021; an diesem Tag ist eine Plenarsitzung des EU-Parlaments in Brüssel angesetzt.
Update, 03.11.2021: heise.de als Quelle für das ITRE-Dokument ergänzt.