DSGVO

ICANN steckt bei der Whois-Reform weiter fest

Die Internet-Verwaltung ICANN scheint auf ihrer Suche nach einem mit der Datenschutzgrundverordnung kompatiblen WHOIS-Modell festzustecken: mit Chris Disspain deutete ein hochrangiges Mitglied des Board of Directors von ICANN an, dass grundsätzliche Fragen ungeklärt sind.

Seit vielen Monaten versucht die »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe ein neues WHOIS-Modell zu entwickeln, das den Vorgaben der DSGVO gerecht wird. Besondere Probleme macht Phase 2, die klären soll, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Favorisiert wird derzeit ein Modell namens »System for Standardized Access/Disclosure« (SSAD), in dessen Mittelpunkt ein zentrales Portal steht, das die eingehenden Anfragen abarbeitet. Bisher galt gesichert, dass ICANN dieses Portal selbst oder als Auftraggeber an einen Dritten verwaltet. Doch genau das scheint ICANN nun in Frage zu stellen. Bei einer Telefonkonferenz am 21. Mai 2020 äußerte sich der australische Rechtsanwalt Chris Disspain, seit 2011 Mitglied des ICANN Board of Directors, kritisch; er fühle sich »increasingly uncomfortable with the stretching of ICANN’s mandate«. Es gäbe derzeit keine Garantie, dass ICANN das SSAD-Modell durchwinken werde. »While it may be convenient and it might seem to solve the problem to say ‚Well, let ICANN do it‘, I don’t think anyone should assume that ICANN will«, so Disspain. Zugleich hob er aber hervor, für sich selbst zu sprechen. Milton Mueller, Mitglied der Noncommercial Stakeholder Group (NCSG), zeigte sich in einer ersten Reaktion überrascht und gab an, das Verhalten nach zweijähriger Diskussion verdächtig zu finden.

Wie dringend eine Lösung gefunden werden muss, zeigt ein aktueller Vorfall, der eine namentlich nicht genannte Datenschutzbehörde eines EU-Mitgliedslandes betrifft. Sie hatte von einem Registrar die WHOIS-Daten eines Domain-Inhabers angefordert, jedoch nicht erhalten und sich daraufhin bei ICANN beschwert. Zur Begründung verwies der Registrar auf die DSGVO und verlangte den Nachweis eines berechtigten Interesses an der Auskunft; dazu war die Behörde offenbar aber nicht in der Lage oder willens. Die Reaktion des Registrars war daher eindeutig: er werde ohne „clear and unambiguous evidence for the fraudulent behavior“ nicht gegen die Interessen des Domain-Inhabers handeln. Welche Anforderungen insoweit an das berechtigte Interesse zu stellen sind, ist auch zwei Jahre nach Anwendung der DSGVO völlig unklar, nicht zuletzt auch deshalb, weil der Europäische Datenschutzausschuss auf Anfragen von ICANN lediglich verallgemeinernde Antworten gibt.

Unterdessen bemüht sich ICANN, den Umgang europäischer Länder-Domainverwalter mit der DSGVO besser zu verstehen. Am 25. Mai 2020 wandte sich Elena Plexida, Vice President, Government and IGO Engagement bei ICANN, an die .dk-Verwalterin DK Hostmaster und interessierte sich dabei vor allem für eine Unterscheidung von Domain-Registrierungen durch natürliche und durch juristische Personen. In der Antwort vom 28. Mai 2020 legte die .dk-Registry offen, dass jede Domain-Registrierung verifiziert werde. Bei Personen mit Sitz in Dänemark erfolgt ein automatisierter Abgleich mit den Datenbanken NemID, dem Danish Central Person Register (CPR) und dem Central Business Register (CVR). Im Falle von Personen mit Sitz außerhalb von Dänemark erfolgt eine Risikoabschätzung anhand der Kontaktinformationen; bei Bedarf werden zusätzliche Informationen angefordert. Bei der Veröffentlichung im WHOIS macht .dk aber keinen Unterschied, wobei sich die Registry auf Art. 6 Absatz (1) c) DSGVO beruft, diese Daten veröffentlichen zu dürfen, da der Danish Internet Domain Act eine Veröffentlichung verlange. Ob und welche Schlüsse ICANN daraus
zieht, blieb zunächst unklar.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Episerver GmbH, Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top