Unter dem Druck der im Mai 2018 geplanten Einführung der Datenschutzgrundverordnung (DSGVO) reagieren die ersten Registries: sowohl die .com/.net-Verwalterin VeriSign als auch das .info-Pendant Afilias haben ihre öffentliche Pilotversuche für einen WHOIS-Nachfolger gestartet.
Am 25. Mai 2018 tritt in den Mitgliedsländern der EU die Datenschutz-Grundverordnung (englisch: »General Data Protection Regulation«, kurz GDPR) in Kraft. Sie verpflichtet, grob vereinfacht ausgedrückt, jedes Unternehmen dazu, die Zustimmung einzuholen, wenn Daten gesammelt, gespeichert oder veröffentlicht werden. Räumlich gilt sie auch für solche Unternehmen, die ihren Sitz außerhalb der EU haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Das stellt sowohl ICANN als auch das gesamte WHOIS-System vor neue Herausforderungen. Die Internetverwaltung hat daher die Kanzlei Hamilton um eine juristische Analyse gebeten; der erste Teil liegt seit Mitte Oktober 2017 vor. Sie kommt zu dem Ergebnis, dass das öffentliche WHOIS in seiner bisherigen Form nur dann beibehalten werden kann, wenn die Zustimmung aller Beteiligten vorliegt; dies stellt das System jedoch aufgrund des Umfangs der Daten vor komplexe Probleme, zumal jeder Domain-Inhaber frei darin ist, seine einmal erteilte Zustimmung jederzeit zu widerrufen. Ein schneller und einfacher Weg, diese Probleme zu lösen, existiert nicht.
Sowohl VeriSign als auch Afilias suchen daher nach eigenen Möglichkeiten, der DSGVO gerecht zu werden. Das Pilotprojekt von VeriSign nennt sich »Registration Data Access Protocol« (RDAP) und beruht auf einem webbasierten, einfach gehaltenen Formularfeld, das ein Ergebnis im wenig nutzerfreundlichen JSON-Format (JavaScript Object Notation) auswirft; ohne zusätzliche Software oder Plug-Ins ist das Ergebnis praktisch nicht verwertbar. An die Anfangszeiten des Internets erinnert dagegen die RDAP-Variante von Afilias, die bisher gänzlich auf eine webbasierte Abfrage verzichtet, dafür zahlreiche URLs enthält. Das Ergebnis erinnert an Programmcode, der für das menschliche Auge zwar etwas leichter zu lesen ist als das JSON-Format, aber den praktischen Bedürfnissen ebenfalls nicht gerecht wird. Beide Projekte beschränken sich auf die Registryeigenen Domain-Endungen .com und .net bzw. info; dafür lassen sie, wenn auch in sehr eingeschränkter Weise, Wildcard-Abfragen zu. Ob diese Pilotprojekte den Vorgaben der DSGVO entsprechen, lässt sich derzeit bestenfalls spekulieren.
Dass ICANN dringend handeln muss, zeigt ein aktuelles Beispiel: so wehrt sich RLRegistry B.V., Registry der beiden generischen Top Level Domains .amsterdam und .frl, gegen das auf Ziffer 2.5 des Registry Agreements gestützte Verlangen von ICANN, die persönlichen Daten der Domain-Inhaber zu veröffentlichen. In einem Anwaltsschreiben vom 9. Oktober 2018 beruft sich die Registry darauf, dass eine solche Veröffentlichung sowohl gegen die DSGVO als auch den niederländischen »Data Protection Act« verstossen würde. Die pauschale Zustimmung des Domain-Inhabers zur Datenverarbeitung im Zuge des Registrierungsprozesses sei nicht freiwillig und daher nach Artikel 7.4 der DSGVO unwirksam. Allerdings haben die Verhandlungen zwischen ICANN und RLRegistry B.V. erst begonnen, so dass noch keine rechtsverbindliche Entscheidung vorliegt. Nach der DSGVO drohende Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes dürften für genug Druck sorgen, das Problem rasch zu lösen.