Die Internet-Verwaltung ICANN zeigt sich besorgt, dass einzelne Domain-Registrare damit begonnen haben, die nicht-öffentlichen Teile des WHOIS gegen Gebühr zugänglich zu machen. Konkrete Maßnahmen sind aber noch nicht geplant.
Jahrzehntelang waren die sogenannten WHOIS-Daten rund um einen Domain-Namen für jedermann jederzeit frei zugänglich. In Sekunden konnte man sich so informieren, wer wann eine Domain registriert hat und unter welcher Adresse, Telefonnummer oder eMail-Adresse er erreichbar ist. Doch seit dem 25. Mai 2018 hat sich alles geändert: mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) haben fast alle Registries und Registrare die öffentlich einsehbaren Informationen zu einer Domain radikal reduziert. Allenfalls noch auf eine ausdrückliche und begründete Anfrage lässt sich seither, häufig erst mit einigen Tagen Verzögerung, herausfinden, wer Inhaber einer Domain ist. Im Falle generischer Top Level Domains hat ICANN hierauf mit der »Temporary Specification for gTLD Registration Data« (»temp spec«) reagiert und mittlerweile die »Interim Registration Data Policy for gTLDs« verabschiedet, bis eine endgültige Lösung gefunden ist. Sie sieht vor, dass angemessener Zugang zu den vormalig öffentlichen Daten verschafft werden muss, untersagt aber nicht ausdrücklich, dass der Zugang zu nicht-öffentlichen Angaben kostenfrei sein muss.
Diese Lücke macht sich der kanadische Registrar Tucows Domains Inc. zu Nutze, nach GoDaddy und mit eNom einer der drei größten Domain-Registrare der Welt. Er hat ein System namens »Tiered Access Compliance and Operations« (TACO) eingeführt. Es ermöglicht über eine eigens eingerichtete Website, erreichbar unter der Domain tieredaccess.com, Dritten auf Anfrage Zugang zum nicht-öffentlichen Teil der WHOIS-Daten, und zwar auf jene Daten, die vormals öffentlich zugänglich waren. Inhaltlich beschränkt sich das Angebot aber auf Domains, die über Tucows registriert sind oder waren. Begründet werden muss der Antrag zudem auch:
»Tucows will ensure that only those with legitimate purposes, including law enforcement, intellectual property, and commercial litigation interests will have access to domain registrant information.«
Wie intensiv diese Prüfung ausfällt, sagt Tucows nicht; klar ist nur, dass Tucows »reserve[s] the right to bill for TACO access monthly in arrears«. Und die Gebühren sind happig: für die Einrichtung eines Accounts berechnet Tucows US$ 500,–, dazu kommen monatlich weitere US$ 250,– (einschließlich fünf Abfragen) und weitere US$ 50,– für jede weitere Abfrage. Ob und zu welchem Preis auch andere Domain-Registrare diese Leistung anbieten, lässt sich der ICANN-Mitteilung nicht entnehmen.
Aktuell geht es ICANN darum, Aufmerksamkeit für dieses sensible Thema zu wecken. So dürfte ein Gebührenverlangen mit der EU-Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz »NIS 2«) kollidieren. Darin heißt es:
»Die Mitgliedstaaten sollten dafür sorgen, dass alle Arten des Zugangs zu personenbezogenen und nicht personenbezogenen Domänennamen-Registrierungsdaten kostenfrei sind.«
Es ist nicht ausgeschlossen, dass ICANN diese Vorgabe in ein künftiges WHOIS-Modell übernimmt und so dem TACO-System von Tucows die finanzielle Grundlage entzieht.