Alles kann, nichts muss: auf diesen Nenner lassen sich zwei Empfehlungen der von ICANN mit der WHOIS-Reform betrauten »Expedited Policy Development Process for Whois« (EPDP)-Arbeitsgruppe bringen. Dennoch schreitet die Suche nach einer DSGVO-kompatiblen Lösung voran.
Wenige Wochen, nachdem der operative Betrieb des möglichen WHOIS-Nachfolgers »System for Standardized Access/Disclosure« (SSAD) aufgenommen wurde, hat ICANN ein weiteres Arbeitspapier veröffentlicht, das Licht in das dunkle Spannungsfeld zwischen WHOIS-System und Datenschutzgrundverordnung bringen soll. Ganz konkret hatte ICANN die EPDP-Arbeitsgruppe schon im September 2020 damit beauftragt, zwei Fragen nachzugehen. Die erste befasst sich unter den Schlagworten »Legal vs. natural persons« damit, ob Registries und Registrare verpflichtet sind, beim Umgang mit WHOIS-Daten zwischen juristischen und natürlichen Personen zu differenzieren. Hintergrund ist Art. 1 Abs. 1 DSGVO, wonach die Verordnung Vorschriften zum Schutz natürlicher Personen enthält; Erwägungsgrund 14 stellt klar, dass die Verordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen gilt. Viele Registries und Registrare machen bei der Verwaltung von WHOIS-Daten aber keinen Unterschied und sehen sogar bei juristischen Personen von der Veröffentlichung ab, auch wenn dies nicht zwingend ist. Das hat zum einen praktische Gründe, weil es den Umgang vereinfacht, zum anderen vertritt der Europäische Datenschutzausschuss die Ansicht, dass allein der Umstand, dass der Domain-Inhaber eine juristische Person ist, nicht notwendigerweise die unbegrenzte Veröffentlichung von persönlichen Daten jener Personen rechtfertigt, die für diese juristische Person tätig sind. Hier ist die Empfehlung der Arbeitsgruppe klar:
Registrars and Registry Operators are permitted to differentiate between registrations of legal and natural persons, but are not obligated to do so.
Diffiziler war Frage zwei, für die unter dem Schlagwort »Feasibility« zu klären war, ob es ein einheitliches System anonymisierter eMail-Adressen geben soll, um eine Kontaktaufnahme mit dem Domain-Inhaber trotz Nichtveröffentlichung seiner WHOIS-Daten zu ermöglichen. Hier hielt die Arbeitsgruppe schon die Fragestellung für problematisch, da »anonymisiert« voraussetze, dass weder eine direkte noch ein indirekte Identifizierung des Domain-Inhabers möglich sei; technisch machbar sei dies jedoch ohne Zweifel. Es müsse zwischen »Registrant-based email contact« und »Registration-based email contact« unterschieden werden. Ersteres meint
an email for all domains registered by a unique registrant [sponsored by a given Registrar] OR [across Registrars], which is intended to be pseudonymous data when processed by non-contracted parties,
letzteres
a separate single use email for each domain name registered by a unique registrant, which is intended to be anonymous data when processed by non-contracted parties.
Um eine klare Antwort drückt sich die Arbeitsgruppe allerdings doch und führt aus:
The EPDP Team recommends that Contracted Parties who choose to publish a registrant- or registration-based email address in the publicly accessible RDDS should ensure appropriate safeguards for the data subject in line with relevant guidance on anonymization techniques provided by their data protection authorities and the appended legal guidance in this recommendation.
Damit läge der Ball wieder im Feld der Registries und Registrare.
Die Öffentlichkeit hat nun vorerst Gelegenheit, zu beiden Fragen und Antworten bis 19. Juli 2021 Stellung zu nehmen, bevor der Abschlussbericht im August 2021 vorgelegt werden soll. Aktuell ist nicht absehbar, welche Schlüsse ICANN ziehen wird. Allerdings zeigen die Detailfragen, wie weit die Überlegungen vorangeschritten sind – und wie sehr man die Bußgelder im Falle der Verletzung von Vorschriften der DSGVO fürchtet.