Die Internet-Verwaltung ICANN macht in ihren Bemühungen um eine DSVGO-kompatible WHOIS-Reform Fortschritte: bei einem dreitägigen Meeting in Los Angeles verständigte man sich auf einen »Null-Entwurf«, der den Weg für die weiteren Arbeiten aufzeichnet.
Seit dem Treffen im Juni 2019 in Marokko war es still geworden um die »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe von ICANN, die ein mit der Datenschutzgrundverordnung (DSGVO) kompatibles Reformmodell für das WHOIS-System erarbeiten soll. Im Mittelpunkt ihrer Tätigkeit steht aktuell Phase 2; dort wird geklärt, wer und wie Dritte Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhalten. Dass man alles andere als untätig war, gab nun der Lette Janis Karklins, der neue Vorsitzende des EPDP-Teams, in einem Blog-Artikel bekannt. Darin spricht er davon, dass bei einem Treffen in Los Angeles in der ersten Septemberhälfte 2019 entscheidende Fortschritte erzielt worden seien. Zusammengefasst hat er sie in einem »Zero Draft«, einem 18-seitigen Word-Dokument, das ab sofort heruntergeladen werden kann. Es handelt sich vorerst also um einen Null-Entwurf, der zwar Mehrheitspositionen wiedergibt, aber keine abschließende Empfehlung ausspricht.
Das sogenannte »System for Standardized Access / Disclosure to Non-Public Registration Data« (SSAD) beruht demnach auf mehreren Policy-Prinzipien, die Karklins bildlich als »Hamburger«-Modell bestehend aus »Demand side, Supply side and System’s interface« bezeichnet. Die »Demand side«, wer Zugriff auf den nicht-öffentlichen Teil der WHOIS-Daten erhält, wie eine Anfrage formuliert sein muss und worauf sich die Legitimierung des Anfragers stützt. Auf der »Supply side« wird definiert, welche Arbeitsschritte Registries und Registrare auf eine entsprechende Abfrage ausführen müssen. Zwischen diesen beiden Brötchenhälften eines Hamburgers steckt das »System interface«; hier gilt es zu klären, ob die eingehenden WHOIS-Anfragen zentral oder über verschiedene Einfallstore erfasst werden; auch ein Check der Validität des Anfragenden ist geplant. Davon unabhängig konkretisiert das EPDP-Team die Kategorien jener Personengruppen, die Zugriff erhalten sollen. Diese umfassen fünf Kreise: »Criminal Law enforcement/national or public security«, »Non-Law enforcement investigations and civil claims«, »Need for redacted data for a third party to contact registrant«, »Consumer protection, abuse prevention, digital service provider (DSP) and network security« und »Registered Name Holder consent or contract«. Ob es sich um eine abschließende Aufzählung handelt, wird nicht ganz klar; mit einer erheblichen Ausweitung dieses Personenkreises ist aber sicher nicht zu rechnen.
Trotz dieses positiven Zwischenergebnisses weist Karklins darauf hin, dass noch viel Arbeit vor dem EPDP-Team liege. Als nächstes soll ein »Draft 1.0« veröffentlicht werden, wobei daran unter anderem beim ICANN-Meeting in Montreal Anfang November 2019 gearbeitet werden soll. Mit einem verbindlichen Reformvorschlag für das WHOIS-System ist daher unverändert erst im Jahr 2020 zu rechnen.