Seit dem 25. Mai 2018 findet die DSGVO (Datenschutzgrundverordnung) in der EU Anwendung, doch von einer europaweit einheitlichen Rechtslage kann keine Rede sein: nach einer Umfrage des Council of European National Top-Level Domain Registries (CENTR) legen die Verwalter von Länderdomains die DSGVO-Regelungen unterschiedlich aus.
Nach Artikel 288 Abs. 2 AEUV hat eine EU-Verordnung allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Doch wie grau alle Theorie ist, zeigt der Umgang mit den WHOIS-Daten im Lichte der DSGVO. Um deren Einfluss auf die Länderdomain-Verwaltung zu untersuchen, hat CENTR eine Studie durchgeführt, an der sich die Registries von .at, .au, .be, .ch, .cz, .de, .dk, .ee, .es, .eu, .fi, .fr, .ie, .lu, .me, .nl , .no, .nz, .pl, .pt, .rs, .se, .si, .ua und .uk beteiligt haben. Ausgehend vom Ziel der Verordnung, personenbezogene Daten natürlicher Personen zu schützen, trennen alle Registries zwischen den WHOIS-Daten von Einzelpersonen (»individuals«) und juristischen Personen („legal entities“). Der Name des Domain-Inhabers wird in beiden Gruppen zu 100 Prozent gespeichert; veröffentlicht wird er in der Gruppe der Einzelpersonen aber nur von 21 Prozent der Registries, bei den juristischen Personen sind es 74 Prozent. Weshalb aber immerhin ein Fünftel der ccTLD-Verwalter die DSVGO so versteht, dass eine Veröffentlichung des Namens weiterhin zulässig ist, zeigen die unterschiedlichen Begründungen: zum Teil wird auf entgegenstehendes nationales Recht verwiesen, andere berufen sich noch auf ihre Allgemeinen Geschäftsbedingungen, aber auch die Einwilligung des Domain-Inhabers wird ins Feld geführt, oder die Wahrung der berechtigten Interessen eines Dritten. All diesen Gründen ist aber gemein, dass sie nur schwerlich DSGVO-kompatibel sind.
Das Land, in dem der Domain-Inhaber seinen Sitz hat, wird dabei offenbar als besonders schützenswert erachtet. Bei Einzelpersonen erfassen zwar 95 Prozent der Registries diese Daten, veröffentlicht werden sie jedoch von lediglich 16 Prozent. Es ist also einfacher, den Namen des Domain-Inhabers herauszufinden als das Land, in dem er seinen Wohnsitz hat. Im Allgemeinen stützen die meisten Registries die Rechtmäßigkeit der Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 b) DSGVO, also zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist. Einen »Opt-In«-Service, der es den Inhabern überlässt, in die Veröffentlichung ihrer WHOIS-Daten einzuwilligen, bieten 11 von 27 Registries an, weitere drei bereiten entsprechende Pläne vor. Zugriff auf den nichtöffentlichen Teil der WHOIS-Daten gewähren 91 Prozent der ccTLD-Betreiber den Strafverfolgungsbehörden, aber nur 54 Prozent solchen Personen, die ein berechtigtes Interesse geltend machen. Die Dauer der Beantwortung liegt durchschnittlich bei ein bis drei Werktagen. Ob und wie Missbrauchskontrollen gehandhabt werden, fällt ebenfalls sehr unterschiedlich aus: 50 Prozent der Registries verifizieren die Daten nach der Registrierung, 18 Prozent zuvor und die restlichen 32 Prozent gar nicht. Einen Datenschutzbeauftragten hatten zum Zeitpunkt der Befragung lediglich 54 Prozent der ccTLD-Verwalter bestellt.
Was schließlich die Speicherdauer von WHOIS-Daten betrifft, gehen die Meinungen wiederum erheblich auseinander. 60 Prozent der Registries speichern die WHOIS-Daten länger als fünf Jahre nach Beendigung des Vertrages, weitere 32 Prozent sogar zeitlich unbegrenzt. Das »Recht auf Vergessenwerden« setzen einige Registries von Fall zu Fall nach eigenem Ermessen um, andere, sofern das Recht nachvollziehbar geltend gemacht und begründet wird. Alles in allem wirft die DSGVO damit im Bereich der WHOIS-Daten zahlreiche Detailfragen auf, so dass bis zu einer gerichtlichen Klärung noch geraume Zeit ein Datenfleckerlteppich über der EU und dem WHOIS-System liegen bleiben wird.