Die Bemühungen um eine mit der Datenschutz-Grundverordnung kompatible Reform des WHOIS-Systems haben erneut einen Rückschlag erlitten: die Vertreter der Markeninhaber innerhalb ICANNs fordern, die weitere Arbeit vorläufig einzustellen.
Seit Juli 2018 arbeitet die von ICANN etablierte »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe daran, ein WHOIS-Modell zu entwickeln, das den Vorgaben der DSGVO gerecht wird. Nachdem man in Phase 1 insgesamt 29 Empfehlungen für die Grundsätze der Erhebung und Verarbeitung von WHOIS-Daten erarbeitet hatte, ging es über in Phase 2; dort wird geklärt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Im August 2020 stellte die EPDP-Arbeitsgruppe ihr Reformmodell namens »System for Standardized Access/Disclosure« (SSAD) vor. Im Mittelpunkt steht ein Portal mit der Bezeichnung »Central Gateway Manager«, das alle eingehenden Anfragen abarbeitet. Dazu müssen sich die abfragenden Nutzer akkreditieren lassen. Diese Prüfungsschritte sind mit erheblichen Kosten verbunden; so rechnet ICANN mit US$ 9,0 Mio. für die Entwicklung des SSAD und weiteren US$ 8,9 Mio. jährlich für den Betrieb. Nachdem das ICANN Board of Directors weitere »Minority Statements« eingeholt hat und prüfen ließ, wurde die Endfassung des Abschlussberichts von der EDPD-Arbeitsgruppe am 24. September 2020 mit 7 zu 4 Stimmen beschlossen. Am 21. April 2021 soll dann der ICANN-Vorstand seine weiteren Entscheidungen treffen.
Doch es sind nicht nur die Kosten, an denen sich die Intellectual Property Constituency (IPC), die Vertreter der Markeninhaber innerhalb ICANNs, stören. In einem Schreiben vom 09. März 2021 an den ICANN Board Chair Maarten Botterman weist IPC-Präsidentin Heather Forrest auf drei Problemkreise hin. So fehle es bei 8 von 18 Empfehlungen an der notwendigen Einigkeit; so haben sich neben der IPC auch die Business Constituency (BC), das Governmental Advisory Committee (GAC) und das At-Large Advisory Committee (ALAC) teilweise gegen Empfehlungen der EPDP-Arbeitsgruppe ausgesprochen.
The SSAD recommendations do not reflect valid community consensus given the opposition by a substantial portion of the multi-stakeholder community,
so Forrest. Des Weiteren liege das SSAD nicht im globalen öffentlichen Interesse; es sei nicht »fit for purpose«. Beispielhaft verweist die IPC darauf, dass es eher ein fragmentiertes als ein zentrales System sei, und lässt damit anklingen, eine Rückkehr zum alten WHOIS-Modell zu bevorzugen; es sei trotz der Beschränkungen der DSGVO möglich, ein besseres System zu finden. Als dritten Punkt macht Forrest geltend, dass es zu möglichen Konflikten mit der »Revised Directive on Security of Network and Information Systems« (NIS2) kommen könne, die im Dezember 2020 von der EU-Kommission als Entwurf veröffentlicht wurde. Die Notwendigkeit hat wohl auch ICANN erkannt, da man vor wenigen Tagen eine Stellungnahme zur NIS2 bei der EU-Kommission hinterlegt hat.
Für die IPC lässt dies nur einen Schluss zu:
We respectfully request and advise that the Board and ICANN Org pause any further work relating to the SSAD recommendations in light of NIS2 and given their lack of community consensus and furtherance of the global public interest.
Die Anwaltskanzlei Bird & Bird habe festgestellt, dass ein »centralized decision-making model« die geringsten Haftungsrisiken für die beteiligten Parteien biete. Ob ICANN diese Einschätzung teilt, wissen wir voraussichtlich ab dem 21. April 2021.