Die Internet-Verwaltung ICANN hat eine Neufassung ihrer »Registration Data Policy« veröffentlicht. Sie soll sicherstellen, dass die WHOIS-Regeln von ICANN vollständig mit dem Datenschutzrecht der EU vereinbar ist.
In wenigen Wochen, am 25. Mai 2024, jährt sich zum sechsten Mal der Tag, seit dem die Datenschutz-Grundverordnung (DSGVO) europaweit Anwendung findet. Getrieben von der Angst vor hohen Bußgeldern, versetzte die DSGVO auch in in den USA ansässige ICANN in Panik; zwar war man sich bewusst, dass die WHOIS-Regelungen zum Umgang mit den Daten der Domain-Inhabern dringend überarbeitet werden mussten, wie genau, war jedoch unklar. Nach einer Reihe von Übergangsregelungen wie zum Beispiel der »Temporary Specification for gTLD Registration Data« (»Temporary Specification« oder kurz »TempSpec«), teilte Sally Costerton, CEO und Interim President von ICANN, am 21. Februar 2024 mit, dass es nunmehr gelungen sei, eine Neufassung der »Registration Data Policy« zu verabschieden. Die Richtlinie soll allen ICANN-akkreditierten Registries und Registraren für generische Top-Level-Domains die Einhaltung der geltenden Datenschutzgesetze ermöglichen. Konkret soll sie klären, wie mit jedem Registrierungsdatenelement umgegangen wird. Dazu setzt sie 34 Empfehlungen um und enthält Aktualisierungen von 20 Regelungen und Verfahren sowie des Registration Data Access Protocol (RDAP). Sie betrifft das gesamte Ökosystem des Domain Name System, einschließlich »data escrow agents, Emergency Backend Registry Operators, Uniform Domain Name Dispute Resolution Service Providers, and Uniform Rapid Suspension Service Providers«.
Inhaltlich bleibt es dabei, dass jeder Domain-Inhaber seinen Namen, seine Adresse, seine eMail-Adresse und eine Telefonnummer an den gewählten Domain-Registrar übermitteln muss. Eine anonyme Domain-Registrierung gibt es also auch bei Anwendung der DSGVO nicht. Für die Übertragung der Inhaberdaten an die Registry gelten aber bereits Einschränkungen; sie erfolgt, vorausgesetzt »an appropriate legal basis exists and data processing agreement is in place.« Im WHOIS (oder nun Registration Data Directory Services, kurz RDDS genannt) veröffentlicht wird allerdings weiterhin nur ein kleiner Teil dieser Daten, namentlich
Domain Name
Registrar URL
Creation Date
Registry Expiry Date (exception: Registrar MAY Publish)
Registrar Registration Expiration Date (exception: Registry Operator MAY Publish)
Registrar
Registrar IANA ID
Registrar Abuse Contact Email
Registrar Abuse Contact Phone
Domain Status(es)
Last Update of RDDS.
In Missbrauchsfällen kann man sich also per eMail an den für die Domain zuständigen Domain-Registrar wenden. Auf begründete RDDS-Anfrage hin ist auch der Domain-Inhaber mitzuteilen, wobei die Anfrage erleichtert wird:
Registrar and Registry Operator MUST publish on their homepage (a publicly available webpage where their domain name services are offered) a direct link to a page where the mechanism and process for submitting Disclosure Requests is detailed.
Auf eine Antwort binnen Sekunden sollte man aber nicht warten. ICANN gesteht eine Frist von zwei Arbeitstagen zu, innerhalb derer der Eingang der Anfrage bestätigt werden muss, und insgesamt 30 Kalendertage bis zu deren Beantwortung. Überlegungen zu Dringlichkeitsanfragen mit kürzeren Fristen gab es, sie wurden jedoch nicht verabschiedet. Registries und Registrare sollen ausreichend Prüfungszeit erhalten, um nicht selbst Gefahr zu laufen, ein Bußgeld verhängt zu bekommen.
Die neue »Registration Data Policy« gilt nicht ab sofort. Am 21. August 2024 beginnt zunächst eine Übergangsfrist, die bis zum 20. August 2025 läuft; die Neuregelung tritt dann endgültig am 21. August 2025 in Kraft. Zukünftige Änderungen sind allerdings nicht ausgeschlossen, auch wenn Sally Costerton die Fertigstellung als Beispiel dafür feiert, wie das Multistakeholder-Modell eine Reihe von Stakeholdern effektiv zusammenbringen könne, um einige der bedeutendsten, komplexesten und herausforderndsten Probleme anzugehen, mit denen das gesamte Internet-Ökosystem konfrontiert sei.