Wir mailten mit Tobias Sattler, stellvertretender Vorsitzender und CTO der Registrar Stakeholder Group (RrSG), über einen Vorschlag der RrSG zur Regelung von Domain-Transfers und Inhaberwechseln angesichts der Veränderungen im Whois im Zuge der Anwendung der Datenschutzgrundverordnung (DSGVO) ab 25. Mai 2018 – und über manches mehr.
Die Zukunft des WHOIS-Verzeichnisses ist im Rahmen der baldigen Anwendung der europäischen Datenschutzgrundverordnung ab 25. Mai 2018 bisher ungeklärt. Es gibt mittlerweile eine Vielzahl von Vorschlägen zum Umgang mit den Daten von Domain-Inhabern, Registraren und anderen Dienstleistern, die traditionell im WHOIS abrufbar sind. ICANN hat in einem »Non-Paper« drei mögliche Modelle vorgestellt. Der eco Verband arbeitet schon länger an einem »GDPR Domain Industry Playbook«. Europäische Registries wie Denic, nic.at und Nominet kündigen radikale Änderung am Whois an, um dem Prinzip der Daten-Minimierung Folge zu leisten. Zugleich beginnt VeriSign mit dem Umstieg vom Thin- auf das Thick-Whois, bei dem Registrare die WHOIS-Daten an VeriSign übermitteln und nicht lediglich für WHOIS-Abfragen zur Verfügung stellen. Nun hat auch die Registrar Stakeholder Group (RrSG) einen Vorschlag für eine Übergangslösung beim Umgang mit WHOIS-Daten vorgelegt: fehlende eMail-Adressen im WHOIS bedeuten Mehraufwand bei Domain-Transfers und Inhaberwechsel. Mit dem Vorschlag der RrSG soll diese Verfahren leichter ablaufen. Wir mailten mit Tobias Sattler, Vice Chair und CTO der RrSG und CIO beim starnberger Domain-Registrar united-domains AG, zu dessen Projekten domain-recht.de und der Domain-Newsletter zählt.
Hallo Tobias, du bist Vice-Chair und CTO der RrSG. Was ist die RrSG und welches sind deine Aufgaben als Vice-Chair?
Die Stakeholder-Gruppe Registrar (RrSG) ist eine von mehreren Stakeholder-Gruppen innerhalb der ICANN-Community und das repräsentative Gremium von Domain-Registraren. Als stellvertretender Vorsitzender und CTO der RrSG vertrete ich unseren Vorsitzenden in seiner Abwesenheit, überwache und berichte über technische Probleme im Zusammenhang mit dem Domain Name System, unterstütze und führe den Unterausschuss TechOps, welcher sich technischer und operativer Angelegenheiten und Schwierigkeiten annimmt.
Das RrSG hat dieser Tage ICANN einen Vorschlag für eine Übergangslösung beim Umgang mit dem Whois-Verzeichnis im Lichte der Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 Anwendung findet, unterbreitet. Erläuterst du uns bitte den Vorschlag der RrSG, dessen Sinn und Zweck und die Vorteile.
Dieser Vorschlag wurde in Zusammenarbeit mit der Registry Stakeholder Group (RySG) in einem gemeinsamen Ausschuss (CPH TechOps) erarbeitet und zielt primär auf die Fragestellung ab, was passiert mit Domain-Transfers und Inhaberwechseln wenn im WHOIS ab dem 25. Mai keine E-Mail-Adresse des Registranten mehr angezeigt wird.
Das aktuelle ICANN Transferverfahren sieht vor, dass der Registrar, der die Domain zu sich ziehen will, eine Bestätigung (FOA) vom Domain-Inhaber einholt bevor er den Domain-Transfer tatsächlich bei der Vergabestelle einleitet. Insbesondere bei .com und .net, aber auch bei anderen gTLDs, wird hierzu das WHOIS für die Domain abgefragt, um die E-Mail-Adresse des Inhabers zu erhalten und eine E-Mail mit Bitte um Bestätigung an den Domain-Inhaber zu verschicken.
Sollte, wie in einigen Modellen gefordert, die E-Mail-Adresse gänzlich aus dem WHOIS verschwinden oder durch ein Webformular ersetzt werden, dann wäre es nicht mehr möglich diese Bestätigungs-E-Mail zu versenden. Andere Verfahren die Bestätigung einzuholen, wie z.B. Fax oder Telefon, ist zwar gemäß ICANN möglich, aber erscheinen uns als wenig effizient und sicher. Wenn im gleichen Zuge auf die Einhaltung des Transferverfahrens gepocht wird, dann wäre im schlimmsten Fall kaum ein Domain-Transfer möglich.
Unser Vorschlag ist es, dass der Registrar, der die Domain zu sich ziehen will, die Übermittelung des Autorisierungscodes als Bestätigung des Domain-Inhaber interimsweise betrachten kann. Dies würde bedeuten, dass der Domain-Transfer ohne E-Mail eingeleitet werden kann. Der Registrar, von dem die Domain wegtransferiert wird, kann weiterhin, wie von ICANN gefordert, ohne Schwierigkeiten eine E-Mail an den Domain-Inhaber versenden. Weshalb wir auch keine weiteren Nachteile durch unseren Vorschlag erwarten.
Welche Probleme siehst du derzeit bei den sich gegenüberstehenden Vorschlägen der unterschiedlichen Stakeholder, zum Umgang mit der DSGVO?
Auf der einen Seite gibt es die Parteien, die den Status Quo aufrechterhalten möchten und auf der anderen Seite gibt es diejenigen, die eine maximale Einschränkung und gar keine persönlichen Daten mehr möchten. Zwischen diesen beiden Extremen gibt es verschiedene andere Vorschläge. Durch die zahlreichen und intensiven Diskussionen scheint zumindest der Konsens vorhanden zu sein, dass die DSGVO nicht verschwinden wird.
Aktuell scheint die Schwierigkeit aber darin zu bestehen, eine Interimslösung zu finden, mit der alle Stakeholder zufrieden sein werden. Insbesondere die Forderung nach uneingeschränktem WHOIS Zugriff für Sicherheitsfirmen, Kanzleien und Regierungsbehörden scheint schwer vereinbar zu sein mit der DSGVO, aber auch ein sogenannter »gated-access« für WHOIS müsste erst erarbeitet werden, was in Anbetracht der Deadline vom 25. Mai 2018 nicht realistisch erscheint.
Wie reagieren US-Registries wie VeriSign oder US-Registrare wie GoDaddy auf die rechtlichen Änderungen einer eigentlich europäischen Regelung?
So weit mir bekannt stehen diese den Änderungen positiv gegenüber, wenngleich es für sie mitunter größere Anpassungen und mehr Aufwand bedeutet. Dies gilt auch für asiatische Registrare, die meist in dieser Diskussion vergessen werden.
Wie könnte aus Sicht der RrSG eine abschließende Lösung des Datenschutzdilemmas aussehen?
Es mag manchmal durchaus unterschiedliche Auffassung über die Ausprägung geben, aber ich glaube, dass wir im Kern alle die Auffassung teilen, dass Daten zu schützen sind. Ob es jedoch jemals eine abschließende Lösung geben wird, liegt aber wohl nicht in der Hand der RrSG.
Gibt es in der RrSG einen Konsens, welche zwingenden Änderungen am WHOIS-System die DSGVO erfordert?
Die RrSG hat mit dem eco Verband zusammen an dem GDPR Domain Industry Playbook gearbeitet. Wenngleich es keine formale Abstimmung innerhalb der RrSG gegeben hat, kann man aber von einer breiten Unterstützung ausgehen. Darüber hinaus haben die vielen Diskussionen innerhalb der Gruppe dazu geführt, dass es durchaus einen Konsens gibt, dass das WHOIS in seiner jetzigen Form nicht aufrechterhalten werden kann.
Sind die Sanktionen der DSGVO deiner Meinung nach ein effektives, praxistaugliches Instrument, um die Community zur Einhaltung der neuen Regelungen zu bewegen?
Die potenziellen Sanktionen scheinen durchaus ein geeignetes Mittel gewesen zu sein, um auch Nicht-EU-Firmen die Wichtigkeit des Themas näher zu bringen.
Denkst Du, dass ICANN am 25. Mai 2018 eine verbindliche Lösung gefunden hat?
Ich hoffe es, aber man sollte nicht die Augen davor verschließen, dass der Termin immer näher rückt und größere technische Änderungen bei allen Vergabestellen und Registraren kaum fristgerecht umgesetzt werden können. Daher wäre es wünschenswert, wenn ICANN sich zeitnah, u.a. auch zu unserem Vorschlag, äußert.
Gibt es noch etwas, was wir hier noch nicht angesprochen haben, das aber auch deiner Sicht erwähnenswert ist?
Im Großen und Ganzen denke ich, dass die DVSGO dazu beitragen wird, dass die Community einen neuen und frischen Blick auf das Thema Datensicherheit bekommt. Es mag zwar durchaus sehr viel Arbeit für alle Beteiligten bedeuten, aber es ist ein großer Schritt in die richtige Richtung.
Darüber hinaus wäre es sehr wünschenswert, wenn wir eine langfristige Lösung für Domain-Transfers finden könnten, die nicht auf E-Mails basiert und in einer Weise abläuft, die dem Domain-Inhaber eine reibungslose Erfahrung bietet und gleichzeitig sicher ist.
Tobias, wir danken für diese »Gespräch«.
Vielen Dank.