Die Bemühungen der Internet-Verwaltung ICANN um eine DSGVO-kompatible Reform des WHOIS-Systems gehen in ihre entscheidende Phase: bis Ende April 2021 wird die „Expedited Policy Development Process for Whois“ (EPDP)-Arbeitsgruppe ihren Abschlussbericht vorlegen. Die Öffentlichkeit darf den Bericht bis 30. März 2021 kommentieren.
Seit Juli 2018 arbeitet die EPDP-Arbeitsgruppe daran, ein WHOIS-Modell zu entwickeln, das den Vorgaben der Datenschutzgrundverordnung gerecht wird. Nachdem man zunächst in Phase 1 insgesamt 29 Empfehlungen für die Grundsätze der Erhebung und Verarbeitung von WHOIS-Daten erarbeitet hatte, ging es über in Phase 2; dort soll geklärt werden, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Im August 2020 stellte die Arbeitsgruppe ihr Modell namens »System for Standardized Access/Disclosure« (SSAD) vor. Im Mittelpunkt steht ein Portal mit der Bezeichnung »Central Gateway Manager«, das alle eingehenden Anfragen abarbeitet. Dazu müssen sich die abfragenden Nutzer akkreditieren lassen. Diese Prüfungsschritte sind mit erheblichen Kosten verbunden; so rechnet ICANN mit US$ 9,0 Mio. für die Entwicklung des SSAD und weiteren US$ 8,9 Mio. jährlich für den Betrieb. Protest gegen das SSAD haben gleich mehrere Interessengruppen innerhalb ICANNs erhoben, darunter die Intellectual Property Constituency (IPC), die Business Constituency (BC), aber auch das Governmental Advisory Committee (GAC) sowie das At-Large Advisory Committee (ALAC). Nicht zuletzt die Kosten jeder Abfrage gerieten zum Zankapfel, denn hier ließ die EPDP-Arbeitsgruppe keinen Zweifel:
Data subjects MUST NOT bear the costs for having data disclosed to third parties; Requestors of the SSAD data should primarily bear the costs of maintaining this system.
Mit den Kosten sollen also nicht indirekt die Domain-Inhaber über höhere Gebühren belastet werden, sondern all jene, die Abfragen veranlassen.
Nachdem das ICANN Board of Directors weitere »Minority Statements« eingeholt hat und prüfen ließ, wurde die Endfassung des Abschlussberichts von der EDPD-Arbeitsgruppe am 24. September 2020 mit 7 zu 4 Stimmen beschlossen und an ICANN zurückgeleitet. Allerdings empfahl man dem ICANN-Board im Hinblick auf die wirtschaftliche Belastung, eine Kosten-Nutzen-Analyse durchzuführen. Kritiker befürchten, dass die Entscheidung über eine Weiterleitung von WHOIS-Daten letztlich eine dafür qualifizierte Person treffen muss; daher fordern sie eine weitgehende Automatisierung ähnlich dem WHOIS-Modell wie in der Zeit vor Anwendung der DSGVO. Dadurch ließe sich nicht nur Geld, sondern auch Zeit einsparen. Außerdem befürchten Registries wie Registrare, im Falle von Fehlentscheidungen, also einer rechtswidrigen Weitergabe von WHOIS-Informationen, in die Haftung genommen und mit hohen Bußgeldern belastet zu werden; mit einer automatisierten Abfrage hoffen sie, dieses Risiko zu vermeiden. Ob ICANN eine solche Kosten-Nutzen-Analyse einholt, ist bisher unklar; Beschlüsse wurden dazu bisher nicht gefasst.
Völlig offen ist zudem, ob die Europäische Kommission das Reformmodell der EDPD-Arbeitsgruppe mitträgt. Die Gespräche mit ICANN dazu sollen andauern, verbindliche Zwischenstände gibt es bisher aber nicht, jedenfalls wurden sie von ICANN nicht veröffentlicht. Vorerst hat die Öffentlichkeit nochmals Gelegenheit, den Abschlussbericht bis 30. März 2021 zu kommentieren. Am 21. April 2021 soll er sodann dem ICANN-Vorstand zur weiteren Entscheidung vorgelegt werden. Sollte ICANN das SSAD durchwinken, müsste es entwickelt und getestet werden, was nach Einschätzung von Branchenexperten mindestens ein Jahr dauert. Damit ginge das neue System 2022 online – frühestens.