Die Internet-Verwaltung ICANN ist dem Ziel, ein mit der Datenschutzgrundverordnung kompatibles WHOIS-Modell zu finden, ein Stück nähergekommen: vor wenigen Tagen veröffentlichte die »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe ihren Vorschlag. Schon jetzt steht fest, dass WHOIS-Abfragen komplizierter werden – und teurer.
Der am 31. Juli 2020 vorgelegte Bericht betrifft die so genannte Phase 2, die festlegt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Das 171 Seiten starke Dokument ist vollgestopft mit zahlreichen Empfehlungen. Es basiert auf einem Modell namens »System for Standardized Access/Disclosure« (SSAD), in dessen Mittelpunkt ein Portal mit der Bezeichnung »Central Gateway Manager« stehen soll, das alle eingehenden Anfragen abarbeitet. Ob ICANN dieses Portal selbst betreibt oder durch Dritte betreiben lässt, ist offen. Im ersten Schritt muss sich jeder Nutzer (natürliche oder juristische Personen) durch die »Accreditation Authority« akkreditieren lassen, wobei dies wiederum ICANN selbst oder ein Subunternehmer sein kann. Auf staatlicher Ebene sollen gleich mehrere Gruppen bevorzugt akkreditiert werden; ausdrücklich erwähnt werden »Civil and criminal law enforcement authorities«, »Data protection and regulatory authorities«, »Judicial authorities«, »Consumer rights organizations« und »Cybersecurity authorities«, wobei die Akkreditierung über Ministerien koordiniert werden soll.
Für akkreditierte Nutzer setzt sodann jede WHOIS-Anfrage zwei Bedingungen voraus:
Information about the legal rights of the Requestor specific to the request and legitimate interest or other lawful basis and/or justification for the request.
Diese Anfragen sollen in (mindestens) drei Kategorien eingeteilt werden, nämlich »Urgent Requests« (beschränkt auf Fälle unmittelbar drohender Gefahren für Leben, Körper, kritische Infrastrukturen und Ausbeutung von Kindern), »ICANN Administrative Proceedings« (zum Beispiel für UDRP- oder URS-Verfahren) und »All other requests«. Die Kategorie entscheidet darüber, wie schnell eine Anfrage beantwortet wird, beginnend bei einem Arbeitstag für »Urgent Requests« bis hin zu zehn Arbeitstagen für »All other requests«. In welche dieser Kategorien eine Anfrage fällt, kann der Anfragende festlegen; er muss aber bei falscher Festlegung mit einer Neukategorisierung rechnen und bei Missbrauch zudem mit einer Sperre. Bei jeder Anfrage muss die Berechtigung durch geeignete Unterlagen glaubhaft gemacht werden. All diese Prüfungsschritte sind mit erheblichen Kosten verbunden; so rechnet ICANN mit US$ 9,0 Mio. für die Entwicklung des SSAD und weiteren US$ 8,9 Mio. jährlich für den Betrieb. Dass diese Kosten auf die Nutzer umgelegt werden sollen, gilt als sicher.
Wer bisher noch geglaubt hat, das alte WHOIS-System käme in geringfügig modifizierter Form zurück, dürfte von diesem Modell geschockt sein. Abzuwarten bleibt jedoch, ob und welche Empfehlungen in die Praxis umgesetzt werden. Das dürfte ICANN spätestens beim virtuellen Meeting im Oktober beschäftigen. Und dann müsste das SSAD noch entwickelt und getestet werden, was nach Einschätzung von Branchenexperten mindestens ein Jahr dauert. Damit ginge das neue System 2022 online – frühestens.