Die Internet-Verwaltung ICANN treibt die Reform des WHOIS-Systems voran: am 15. Mai 2019 verabschiedete das Board of Directors auf Empfehlung der Generic Names Supporting Organization (GNSO) die neue »Consensus Policy on gTLD Registration Data“.
Unter dem Eindruck der europäischen Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 anzuwenden ist, verabschiedete ICANN am 17. Mai 2018 ein WHOIS-Kompromissmodell (»Temporary Specification for gTLD Registration Data«). Es stellt den Versuch dar, einerseits das WHOIS-System so weit wie möglich unverändert zu lassen, und andererseits die Sicherheit und Stabilität des Domain Name Systems nicht zu gefährden. Im Juli 2018 nahm sodann die »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe ihre Tätigkeit auf, um das Nachfolgemodell zu erarbeiten. Doch dort hat man nach intensiven, teils von Mediatoren geleiteten Diskussionen zwar die Phase eins abgeschlossen und insgesamt 29 Empfehlungen für die Grundsätze der Erhebung und Verarbeitung von WHOIS-Daten ausgesprochen. Die zweite Phase ist aber unerledigt; erst dort wird geklärt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Das alles dauerte der US-Regierung viel zu lange; im April 2019 drohte die National Telecommunications and Information Administration (NTIA) mit einem Erlass gesetzlicher Regelungen, sollte ICANN bis November 2019 keine erheblichen Fortschritte verzeichnen.
Ein erster Befreiungsschlag ist ICANN nun gelungen. Am 15. Mai 2019 verabschiedete das Board of Directors die neue »Consensus Policy on gTLD Registration Data«. Sie beruht auf insgesamt 29 Empfehlungen der GNSO, wobei ICANN davon 27 umsetzt. So soll die Option zur Löschung im WHOIS-Feld »Organization« nicht umgesetzt werden. Sollte ein Registrar die dort enthaltenen Informationen mangels Zustimmung des Domain-Inhabers löschen, befürchtet ICANN, ihn nicht mehr identifizieren zu können. Zudem streicht ICANN folgenden Grundsatz der Datenerhebung: »Contributing to the maintenance of the security, stability, and resiliency of the Domain Name System in accordance with ICANN’s mission through enabling responses to lawful data disclosure requests.« Hier möchte sich ICANN erst noch mit der EU-Kommission und den Datenschutzbehörden abstimmen, da man die Formulierung für rechtlich unsicher hält. Eine spätere Aufnahme dieser Regelung gilt aber nicht als ausgeschlossen. Damit liegt nun der Ball wieder im Feld der Registries und Registrare, die sich um die praktische Umsetzung der neuen Policy kümmern müssen.
Unverändert offen ist, bis wann Phase zwei abgeschlossen wird, da sich der Beschluss vom 15. Mai 2019 dazu ausschweigt. Allerdings sieht ICANN selbst an verschiedenen Stellen noch Arbeitsbedarf, etwa im Bereich der Datenspeicherung, den Datenschutzvereinbarungen mit all jenen Stellen, die WHOIS-Daten verarbeiten, und gegenteiligen Empfehlungen des Regierungsbeirats GAC (Governmental Advisory Committee). Ebenso ist noch offen, welche finanziellen Auswirkungen die »Consensus Policy on gTLD Registration Data« haben wird; dies soll nun untersucht werden.