Der Europaabgeordnete Dr. Patrick Breyer, Mitglied der Piratenpartei Deutschland, schlägt Alarm: Im Zuge der Arbeiten an der Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz »NIS 2«) soll die Registrierung von Domain-Namen künftig die Identifizierung des Inhabers voraussetzen.
Im Dezember 2020 hatte die EU-Kommission ihre Pläne öffentlich gemacht, durch die überarbeitete »Richtline über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union« die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Digitale Infrastrukturen wie »Internet-Knoten, DNS-Anbieter, TLD-Namen-Register« zählen ausdrücklich zu den Sektoren, die vom Kommissionsvorschlag abgedeckt sind. Am 15. Oktober 2021 hat nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) seine Stellungnahme zur Entwurfsvorlage der Kommission eingereicht und Änderungs- bzw. Ergänzungsvorschläge unterbreitet. Der Vorschlag der EU-Kommission in Artikel 23 Abs. 2 lautet aktuell:
Die Mitgliedstaaten stellen sicher, dass die Datenbanken zu den in Absatz 1 genannten Domänennamen-Registrierungsdaten einschlägige Angaben enthalten, anhand derer die Inhaber der Domänennamen und die Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können.
Der LIBE möchte nun als einschlägige Angaben insbesondere den Namen, die physische und die eMail-Adresse sowie die Telefonnummer des Domain-Inhabers aufgenommen haben. Des Weiteren soll Abs. 4 ergänzt werden um die Verpflichtung, dass sich Registries der Richtigkeit der Registrierungsdaten nach der Registrierung vergewissern.
Für Breyer, Schattenberichterstatter im mitberatenden Innenausschuss, ist die vorgeschlagene Änderung inakzeptabel. In einem ersten Tweet gab er an:
EU will anonyme Websites verbieten und Identifizierungspflicht für Domaininhaber einführen inkl. Telefonnummer in Whois.
In einem ausführlicheren Blog-Artikel führt er seine Bedenken näher aus und befürchtet, dies könne das Ende von »WHOIS-Privacy«-Diensten zur stellvertretenden Registrierung von Domains bedeuten und die Sicherheit von Aktivisten und Whistleblowern bedrohen.
Diese Klarnamenspflicht für Domaininhaber ist ein weiterer Schritt in Richtung Abschaffung anonymer Veröffentlichungen und Leaks im Internet. Das gefährdet Webseitenbetreiber, denn nur Anonymität im Netz schützt wirksam vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und ‚Todeslisten‘. […] Ich begrüße zwar das Ziel dieser Richtlinie, die Netzwerksicherheit zu erhöhen. Aber eine Klarnamenspflicht für Domaininhaber hat nichts mit Netzwerksicherheit zu tun.
Das sieht auch die .de-Registry DENIC eG so. In ihrer Stellungnahme vom 18. März 2021 heisst es bereits:
We would also like to point out that identification of the registrant does not provide information about the entity exercising actual technical control over the delegated namespace and even less so about entities providing content or services within that namespace.
Wie Breyer zudem klarstellend mitteilt, sollen auch nach dem LIBE-Vorschlag die zu registrierenden Personendaten nicht veröffentlicht werden. Datenabfragen von Privatpersonen und Organisationen sollen ein »berechtigtes Interesse« voraussetzen, das seines Erachtens allerdings leicht konstruiert werden könne. Der federführende Industrieausschuss ITRE stimmt am 28. Oktober 2021 final über die Position des Europäischen Parlaments ab. Bis dahin ruft Breyer die Öffentlichkeit auf, sich an die Verhandlungsführer dieses Ausschusses zu wenden.