In der Internet-Verwaltung ICANN ist eine Diskussion entbrannt, wer künftig die Kosten von WHOIS-Anfragen trägt: sowohl das Governmental Advisory Committee (GAC) als auch das Security and Stability Advisory Committee (SSAC) wollen die Last den Domain-Inhabern aufbürden.
Im August 2020 hatte die »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe ihr Modell namens »System for Standardized Access/Disclosure (SSAD)« veröffentlicht. Das Modell regelt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Im Mittelpunkt steht ein Portal mit der Bezeichnung »Central Gateway Manager«, das alle eingehenden Anfragen abarbeitet. Dazu müssen sich die abfragenden Nutzer akkreditieren lassen. Diese Prüfungsschritte sind mit erheblichen Kosten verbunden; so rechnet ICANN mit US$ 9,0 Mio. für die Entwicklung des SSAD und weiteren US$ 8,9 Mio. jährlich für den Betrieb. Hinsichtlich der Kosten jeder Abfrage lässt die Empfehlung der EPDP-Arbeitsgruppe keinen Spielraum für Interpretation; konkret heißt es:
Data subjects MUST NOT bear the costs for having data disclosed to third parties; Requestors of the SSAD data should primarily bear the costs of maintaining this system.
Mit den Kosten sollen also nicht indirekt die Domain-Inhaber über höhere Gebühren belastet werden, sondern all jene, die Abfragen veranlassen. In der Praxis dürften dies vor allem Markenrechteinhaber und ihre Vertreter sein, aber auch Datensammler wie Facebook und Google werden genannt.
Ganz anderer Meinung ist das GAC als Vertreter der Regierungen innerhalb ICANNs. In einer Stellungnahme vom 24. August 2020 heißt es:
While the GAC recognizes the appeal of not charging registrants when others wish to access their data, the GAC also notes that registrants assume the costs of domain registration services as a whole when they register a domain name.
Andernfalls fürchtet das GAC, dass ein System geschaffen werde, das zu teuer für seine Nutzer sei und mangels Nutzung nicht dazu tauge, Sicherheitsbedrohungen zu bekämpfen. Der im Ergebnis gleichen Ansicht ist auch das SSAC; in dessen Stellungnahme vom 20. August 2020 heißt es:
Data requestors should not primarily bear the costs of maintaining the system.
Es sei unfair und potentiell gefährlich, wenn der die Kosten trägt, der sich um die Sicherheit im Internet kümmert. Ausgenommen seien lediglich die Kosten der erstmaligen Akkreditierung sowie deren Aufrechterhaltung; sie sind auch nach Ansicht des SSAC von den abfragenden Personen zu tragen. Im Übrigen regt das SSAC an, dass sich sowohl die Domain-Inhaber als auch ICANN an den Kosten beteiligen; da sich ICANN im Wesentlichen durch die registrierten Domains finanziert, bliebe ein Großteil der Kosten somit an den Domain-Inhabern hängen.
Der Ball liegt damit wieder im Feld des Board of Directors von ICANN, das die verbindliche Entscheidung zu treffen hat. Unabhängig von den Kosten mehren sich die Stimmen dafür, das Abfrage-Modell stärker zu automatisieren, was dem bisherigen WHOIS-System näher käme. Sollte ICANN das SSAD durchwinken, müsste es erst noch entwickelt und getestet werden, was nach Einschätzung von Branchenexperten mindestens ein Jahr dauert. Damit ginge das neue System 2022 online – frühestens.