Die Suche nach einem mit der Datenschutzgrundverordnung kompatiblen WHOIS-System stürzt ICANN in ein tiefes Dilemma: anlässlich einer Video-Konferenz zwischen der Netzverwaltung und der Generic Names Supporting Organization (GNSO) war die Verzweiflung fast mit Händen greifbar.
Im Mai 2021 hatte der designierte WHOIS-Nachfolger »System for Standardized Access/Disclosure« (SSAD) seinen Betrieb (»Operational Design Phase«, kurz OPD) aufgenommen. Die ICANN-Regularien sehen vor, nach Abschluss der ersten Testphase die Ergebnisse in einem »Operational Design Assessment« (ODA) zusammenzufassen. Auch diesen Schritt hat ICANN umgesetzt; am 25. Januar 2022 veröffentlichte man ein 122 Seiten umfassendes Papier. Teile dieses Papiers waren bereits im Vorfeld bekannt geworden und hatten für heftiges Aufsehen gesorgt. So schätzt ICANN die Kosten allein für die Entwicklung des SSAD auf US$ 20 Mio. bis 27 Mio.; der Entwicklungszeitraum kann bis zu sechs Jahre dauern. Ist das SSAG fertig, belaufen sich die Betriebskosten geschätzt auf US$ 14 bis bis zu US$ 107 Mio., umgerechnet also bis zu über EUR 94 Mio. im Jahr. Dabei kämpft ICANN mit zahlreichen Unbekannten im Bereich des »level of usage«, wie etwa der Zahl der voraussichtlichen Nutzer oder der Anzahl der Abfragen. Davon wiederum hängen in erheblichem Maße die Kosten ab. Sollten zum Beispiel die Abfragen hinter den niedrigsten Erwartungen zurückbleiben, könnte eine einzelne WHOIS-Abfrage mehr als US$ 40,– kosten.
Für den 27. Januar 2022 hat ICANN nun Vertreter der GNSO zu einem Zoom-Call eingeladen, um das ODA zu diskutieren. Dabei wurde deutlich, dass das SSAD zwar Befürworter hat, die Zahl der Skeptiker jedoch deutlich grösser ist, bis hin zu der Sorge, dass im Fall des Scheiterns das »Multi-Stakeholder«-Modell der Internet-Verwaltung gefährdet sei. So warnte etwa der Bonner Anwalt Thomas Rickert, dass ein zu frühes Aufgeben dazu führen könnte, dass die Politik das Ruder an sich reissen könnte; namentlich erwähnte er die Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz »NIS 2«), die wie schon zuvor die DSGVO wie das Schwert des Damokles über ICANN hängt. Becky Burr aus dem ICANN Board of Directors sprang ihm bei, verwies aber darauf, dass auch die hohen Kosten gefährlich seien:
We build it, with all its complexity and glory, no one uses it, no one’s happy with it and that puts pressure on the multi-stakeholder model.
Policy-Experte Kurt Pritz merkte an, dass er die bisherigen Kostenschätzungen sogar für zu gering halte:
I think there’s a material risk that the costs are going to be substantially greater than what’s forecast and the payback and uptake is going to be substantially lower […] I think there’s reputational risk to ICANN.
CEO Göran Marby verfiel in Sarkasmus und schlug scherzhaft vor, T-Shirts zu drucken mit dem Aufruck »GDPR was not my fault«.
Konkrete Beschlüsse wurden nicht gefasst. Geht es nach Marby, liegt es an der Politik, eine Lösung zu finden. Doch von der EU-Kommission hat ICANN zumindest öffentlich bisher wenig Unterstützung erfahren, zumal man sich in Brüssel bestätigt fühlen dürfte: nach einer Interisle-Studie aus dem Jahr 2021 lassen sich nur bei 13,5 Prozent der registrierten Domains die WHOIS-Daten öffentlich recherchieren. Dass die Anonymisierung von Inhaber-Daten zuvor schon bereits über (meist) kostenlose Proxy-Dienste möglich war, wird allerdings oft übersehen.