WHOIS

ICANN bittet EU-Ausschuss um Rechtsrat bei Fragen der Zugriffsrechte auf Domain-Inhaberdaten

In ihren Bemühungen um ein mit der DSGVO (Datenschutzgrundverordnung) kompatibles WHOIS-Modell hat die Internet-Verwaltung ICANN dem Europäischen Datenschutzausschuss ihr aktualisiertes »Unified Access Model for gTLD Registration Data« (UAM) zur Prüfung vorgelegt.

Unmittelbar vor dem 66. Meeting in Montreal, das am 02. November 2019 begonnen hat, treibt ICANN die WHOIS-Reform voran. Am 25. Oktober 2019 wandte sich CEO Göran Marby per eMail an die Österreicherin Andrea Jelinek, seit 01. Februar 2018 Vorsitzende des Europäischen Datenschutzausschusses. Im Anhang enthalten war eine überarbeitete Fassung des UAM; es beschreibt auf 25 Seiten ein zentralisiertes System für einen Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten. ICANN operiert dabei als zentrale Schnittstelle für die Weitergabe autorisierter Anfragen an Dritte, auch »Strawberry-Projekt« genannt. Innerhalb ICANN ist man der Ansicht, damit ein sicheres, transparentes und verlässliches System geschaffen zu haben. Ganz sicher ist man sich aber nicht, denn sein Anliegen formuliert Marby sehr direkt:

The purpose of this work is to seek clarity from the EDPB about whether such a model would be compliant with the framework of the European Union’s General Data Protection Regulation (GDPR).

Inhaltlich knüpft das UAM an die bisherige Arbeit der »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe an. Auf Grundlage der »Temporary Specification for gTLD Registration Data« (»temp spec«) hat sie in Phase 1 zunächst 29 Empfehlungen für die Grundsätze der Erhebung und Verarbeitung von WHOIS-Daten ausgesprochen, von denen ICANN immerhin 27 Empfehlungen in der »Consensus Policy on gTLD Registration Data« umgesetzt hat. Aktuell befindet sie sich in Phase 2; dort wird geklärt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Zu den Schlüsselkonzepten des UAM zählen »Accreditation, Authentication, Authorization, Registration Data and Registration Data Access Protocol (RDAP)«, wobei ICANN detailliert in Worten und Graphiken beschreibt, an welchen Stellen wer welche Aufgabe übernimmt. Dabei basiert das UAM auf der Annahme, dass es rechtskonform ist, ein System zu schaffen, das die »decision-making responsibility for the disclosure of nonpublic registration data« zentralisiert; in diesem Punkt scheint sich ICANN unsicher zu sein. Darauf aufbauend, bittet ICANN den Datenschutzausschuss um Stellungnahme zu fünf konkret formulierten Fragen, wobei Frage 1 (»Would a centralized and unified model ensure a higher level of protection for natural persons’ personal data than a distributed system in which multiple actors make decisions about this data?«) sowohl von der Stellung als auch inhaltlich die wichtigste sein dürfte.

Ob und bis wann der Europäische Datenschutzausschuss auf diese Anfrage reagiert, ist bisher offen. Bereits im Sommer 2018 hatte ICANN einen ähnlichen Anlauf unternommen, sich hilfesuchend an den Ausschuss gewandt und um Aufklärung zu einer Reihe von Fragen gebeten. Wie schon die Artikel-29-Datenschutzgruppe, begrüsste der Datenschutzausschuss in einem achtseitigen Antwortschreiben vom 05. Juli 2018 zwar die Einführung eines WHOIS-Modells, das Dritten wie zum Beispiel den Strafverfolgungsbehörden einen Einblick in die WHOIS-Daten gewährt, ohne zugleich die Daten unbeschränkt zugänglich zu machen. Auf wenige Fragen gab es jedoch konkrete Antworten; vielmehr wurde darauf verwiesen, dass ICANN mit den bisher erteilten Anweisungen ein DSGVO-kompatibles WHOIS-System erarbeiten könne. Sollte sich ICANN also nun einen Persilschein erhoffen, dürften diese Erwartungen voraussichtlich enttäuscht werden.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Episerver GmbH, Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top