Die Internet-Verwaltung ICANN hat erste Vorschläge zu einer Lösung des WHOIS-Problems vorgestellt: drei verschiedene Modelle sollen sicherstellen, dass die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beim Inkrafttreten am 25. Mai 2018 beachtet werden.
Die DSGVO verpflichtet, grob vereinfacht ausgedrückt, jedes Unternehmen dazu, die Zustimmung einzuholen, wenn Daten gesammelt, gespeichert oder veröffentlicht werden. Obwohl es sich um eine EU-Verordnung handelt, gilt sie räumlich auch für solche Unternehmen, die ihren Sitz zwar außerhalb der EU haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Da bei der Domain-Registrierung WHOIS-Daten anfallen, die an ICANN übermittelt werden, muss sich auch die in Kalifornien ansässige Organisation an die DSGVO halten. ICANN hat daher die Anwaltskanzlei Hamilton damit beauftragt, DSGVO-konforme Regelungen für das WHOIS-System zu erarbeiten. Vor wenigen Tagen veröffentlichte daraufhin der ICANN-CEO Göran Marby im ICANN-Blog einen Artikel, wie ein Konstrukt aussehen könnte, das sowohl die vertraglichen Verpflichtungen von ICANN als auch die Rechtsordnung beachtet.
Konkret geht es um drei verschiedene Modelle. Das erste Modell setzt auf die Veröffentlichung der Daten gemäß »thick WHOIS«, blendet aber Telefonnummer und eMail-Adresse des Domain-Inhabers als auch den Namen und die Anschrift des Admin-C und des Tech-C aus. Zugang zu den nicht-öffentlichen Daten erhält nur, wer ein berechtigtes Interesse dartun kann. Beim zweiten Modell erhält man Einblick in die Daten des »thin WHOIS« als auch die eMail-Adressen des Admin-C und des Tech-C; der Name und die Anschrift des Domain-Inhabers bleiben also nichtöffentlich. Einblick erhalten nur zertifizierte Dritte, von ICANN als „requestor“ bezeichnet. Modell drei setzt auch auf das »thin WHOIS«, begrenzt den Einblick aber noch weiter: er wird lediglich dem »requestor« gewährt, wenn ihm das gerichtlich gestattet wurde. Im Detail sind alle drei Modelle viel verästelter; deshalb hat ICANN versucht, sie in einem 14-seitigen Papier übersichtlich zusammenzufassen. Das Dokument steht ab sofort zum kostenlosen Download bereit.
Alle drei Modelle dienen vorerst lediglich der Diskussion, sie sind also weder in Stein gemeißelt noch steht fest, welches Modell zur Anwendung kommt. So befindet sich ICANN in laufender Abstimmung mit der Artikel-29-Datenschutzgruppe, einem unabhängigen Beratungsgremium der EU-Kommission in Fragen des Datenschutzes; auch der deutsche eco Verband der Internetwirtschaft eV bringt sich aktiv ein. Fürs erste hat die Community Gelegenheit bis 29. Januar 2018, zu diesen drei Vorschlägen Stellung zu nehmen. Da die Zeit für ICANN drängt, dürfte eine verbindliche Entscheidung vergleichsweise rasch folgen.