Die Internet-Verwaltung ICANN hat ihre »Registration Data Policy« überarbeitet und Domain-Registries wie -Registrare dazu verpflichtet, Anfragen von Strafverfolgungsbehörden für nicht-öffentliche WHOIS-Daten künftig innerhalb von 24 Stunden zu beantworten. Praktische Folgen hat die Neuregelung vorerst aber nicht.
Am 12. Mai 2026 gab die Netzverwaltung überraschend bekannt, dass sie ihre Registration Data Policy aktualisiert habe. Im Mittelpunkt steht der Abschnitt Nr. 10, der Fragen der Offenlegung nicht-öffentlicher WHOIS-Daten regelt. Demnach müssen Registries wie Registrare den Empfang einer Anfrage nach Offenlegung von WHOIS-Daten spätestens nach zwei Arbeitstagen bestätigen und spätestens nach 30 Kalendertagen beantworten, sofern keine außergewöhnlichen Umstände vorliegen. Sonderregelungen gelten allerdings für »Urgent Requests«, die immer dann vorliegen können, wenn es um eine unmittelbare Gefahr für das Leben, schwere Körperverletzungen, kritische Infrastruktur oder Kindesmissbrauch geht und die Offenlegung der Daten zur Bekämpfung oder Bewältigung dieser Bedrohung notwendig ist. In diesen Fällen müssen Registries wie Registrare den Empfang einer Anfrage innerhalb von zwei Stunden bestätigen und spätestens innerhalb von 24 Stunden reagieren, sofern keine außergewöhnlichen Umstände vorliegen. Selbst bei Vorliegen außergewöhnlicher Umstände (die Regelung nennt beispielhaft höhere Gewalt oder eine hohe Anzahl von Domain-Namen, schließt aber Feiertage, Urlaube oder Reisen aus) muss die Reaktion innerhalb von maximal 72 Stunden erfolgen.
Große Freude dürfte sich bei den Strafermittlern derzeit aber nicht einstellen, denn die Neuregelung setzt voraus, dass die WHOIS-Anfrage von einem »Authenticated Requestor« stammt. Darunter versteht die Regelung
a law enforcement requestor or trusted/competent authority that is authenticated through an authentication mechanism implemented pursuant to ICANN Consensus Policy.
Aktuell gibt es aber gar keinen Mechanismus, über den sich eine solche Behörde authentifizieren könnte. Daher heißt es in der Mitteilung von ICANN auch, dass die Gespräche über die Entwicklung eines Authentifizierungsmechanismus derzeit in der Public Safety Working Group des ICANN-Regierungsbeirats Governmental Advisory Committee (GAC) stattfinden. Weit fortgeschritten sind diese Gespräche derzeit nicht, denn ICANN möchte aktuell erst die verfügbaren Werkzeuge, Technologien und gewünschten Funktionen für einen Authentifizierungsmechanismus verstehen. Darauf aufbauend wird ein Proof-of-Concept-Test mit erfahrenen Strafverfolgungsbehörden wie dem FBI und Interpol erstellt. Diese Tätigkeit wird auch eine langfristige Lösung zur Anforderung nicht-öffentlicher Registrierungsdaten unterstützen, sobald ergänzende Empfehlungen für das System für standardisierte/Zugriffsoffenlegung finalisiert sind. Erste Ergebnisse soll es im Januar 2027 geben; ob und wann diese umgesetzt werden, ist noch nicht absehbar.
Noch unklar ist, wie ICANN mit einer Entscheidung aus Indien umgeht. Der Oberste Gerichtshofs von Delhi hat am 24. Dezember 2025 unter anderem geurteilt, dass Domain-Registrare die persönlichen Kontaktdaten des Domain-Inhabers innerhalb von 72 Stunden offenlegen müssen. Insgesamt wurden die rechtlichen und betrieblichen Pflichten von Domain-Registries und -Registraren mit diesem Urteil erheblich erweitert. Insbesondere die Verpflichtung, künftige Registrierungen bestimmter Marken in einer Domain proaktiv abzulehnen, würde die Durchführung eines Screenings erfordern, das von der derzeitigen DNS-Infrastruktur nicht unterstützt wird. ICANN prüft derzeit die möglichen Auswirkungen auf die Vertragspartner, die in ihren Vereinbarungen mit ICANN festgelegten Anforderungen zu erfüllen.
Präzise auf den Punkt gebracht! Vielen Dank.
Besonders die Passage zum Authenticated Requestor ist mir beim Review der RDP (Registration Data Policy) direkt ins Auge gesprungen. Mit meinem Background aus der eIDAS-konformen Online-Identifikation (spezifisch für den EU-Raum) mag ich mir kaum ausmalen, wie lange das GAC (Governmental Advisory Committee) noch für einen global harmonisierten, konsistenten Standard braucht.
Bis wir hier weltweit anwendbare Policy-Frameworks sehen, bin ich vermutlich schon im Ruhestand und evaluiere die Ergebnisse entspannt zwischen der Pflege meiner Tomaten!