Mit Inkrafttreten der Richtlinie zur Erhöhung der Cybersicherheit („NIS 2“) am 16. Januar 2023 wächst der Druck auf die Internet-Verwaltung ICANN, ihre WHOIS-Reform voranzutreiben. Der erste Lobby-Verband fordert bereits eine »Thick WHOIS Policy«.
Im November 2022 hat der Rat der EU die überarbeiteten Rechtsvorschriften zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der EU angenommen und damit den Weg für die NIS 2 frei gemacht. Am 27. Dezember 2022 wurde die Richtlinie im EU-Amtsblatt veröffentlicht und trat zum 16. Januar 2023 in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Für die Domain Name Industry bringt die NIS 2 zahlreiche Änderungen mit sich, die sich vor allem aus Artikel 28 (»Datenbank der Domänennamen-Registrierungsdaten«) ergeben. Die Regelung verpflichtet Registries und Registrare,
»genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.«
Diese Datenbank muss die erforderlichen Angaben enthalten, anhand derer die Domain-Inhaber und die Domain-Registrare identifiziert und kontaktiert werden können. Umfasst sind jedenfalls die Domain selbst, das Datum der Registrierung, der Namen des Domain-Inhabers, seine eMail-Adresse und seine Telefonnummer. Weiter soll es Überprüfungsverfahren geben, mit denen sichergestellt wird, dass die Datenbanken genaue und vollständige Angaben enthalten. Für das WHOIS wird klargestellt, dass die nicht-personenbezogenen Domain-Registrierungsdaten öffentlich zugänglich zu machen sind.
Für Dean Marks, Director Emeritus der Coalition for Online Accountability (COA) mit Mitgliedern wie der Motion Picture Association (MPA), Warner Bros. Discovery und The Walt Disney Company, sind damit auch Fragen zum Spannungsverhältnis zwischen der Datenschutzgrundverordnung (DSGVO) und dem WHOIS-System geklärt. In einem Artikel auf circleid.com schreibt Marks:
»By mandating that all registrars AND registries hold complete and accurate databases of domain name registration information (known as ‚thick WHOIS‘), NIS2 requires ICANN finally to complete implementation of the long-delayed Thick WHOIS Transition Policy.«
Beim »thick WHOIS« verfügt die Registry über eine Kopie der gesamten Registrierungsdaten; beim »thin WHOIS« speichert diese Daten nur der für die Registrierung zuständige Domain-Registrar. Mit der »NIS 2« habe sich die EU für die Thick WHOIS Policy entschieden. Hierzu erweist Marks auch auf die Erwägungen in Ziffer 111:
»Insbesondere sollten TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Grundsätze und Verfahren festlegen, um im Einklang mit dem Datenschutzrecht der Union genaue und vollständige Domänennamen-Registrierungsdaten zu erfassen und zu pflegen sowie unrichtige Registrierungsdaten zu verhindern bzw. zu berichtigen.«
Da somit die Registries ausdrücklich verpflichtet seien, Registrierungsdaten in einer eigenen Datenbank zu sammeln und zu pflegen, müsse sich auch ICANN zwingend für ein »thick WHOIS« entscheiden.
ICANN hat sich öffentlich noch nicht geäußert, ob man sich der Ansicht des Lobby-Verbands anschließt. Einiges spräche dafür, dass sich die Netzverwaltung zurücklehnt und abwartet, zu welchen konkreten Regelungen die EU-Mitgliedsstaaten kommen. Ob auch die Registries so viel Geduld haben, darf man aber bezweifeln; so muss die .com-Registry VeriSign gegebenenfalls Daten bei tausenden akkreditierten Domain-Registraren erheben. Auch für kleinere Registries bedeutet die NIS 2 damit erhebliche zusätzliche Arbeit.