Post aus Brüssel: im Licht der bevorstehenden Änderungen durch die Datenschutz-Grundverordnung (DSGVO) hat die Artikel-29-Datenschutzgruppe der EU-Kommission zum Vorschlag der Internet-Verwaltung ICANN für ein neues WHOIS-Modell Stellung genommen. Statt für mehr Klarheit sorgt das Schreiben bei ICANN aber für wachsende Verzweiflung.
Angesichts der drohenden Rechtsunsicherheit durch die Neuerungen der DSGVO und ihre Auswirkungen auf das WHOIS-System hatte sich ICANN im Januar 2018 an die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der EU-Kommission gewandt und um Hilfe gebeten, wie das WHOIS-Modell künftig ausgestaltet sein soll. Parallel hatte ICANN diverse Vorschläge (»Interim Model«) unterbreitet und im Rahmen eines Moratoriums um zeitlichen Aufschub gebeten, bis eine endgültige Lösung gefunden wurde. Diese Bemühungen erkennt die Artikel-29-Datenschutzgruppe in einem Antwortschreiben vom 11. April 2018, das ICANN diese Woche veröffentlicht hat, durchaus an. So lobt das Gremium ICANN für die beabsichtigte Einführung von »layered access« zum WHOIS ebenso wie die Etablierung eines »accreditation program« für einen Zugang zum nicht-öffentlichen Teil des WHOIS. Auch die Idee, eine anonyme eMail-Adresse oder ein Kontaktfeld zu schaffen, um auch ohne dessen eMail-Adresse Kontakt zum Domain-Inhaber aufnehmen zu können, begrüsst die Gruppe.
Doch das war es auch schon an Gemeinsamkeiten. Gleich in mehreren Feldern sieht die Artikel-29-Datenschutzgruppe dringenden Handlungsbedarf. So stelle das Interim Model nicht ausreichend klar, zu welchem Zweck Daten erhoben werden; das Zurverfügungstellen von »accurate, reliable and uniform registration data« reiche nicht. Hinsichtlich des Zugangs zum nicht-öffentlichen Teil der WHOIS-Daten unterstützt die Gruppe weitgehende Rechte der Strafverfolgungsbehörden; Hoffnungen der Markenrechtsinhaber, ähnliche Rechte zu erhalten, erteilte man aber eine Absage. Wörtlich heißt es:
„Purposes pursued by other interested third parties should not determine the purposes pursued by ICANN.
Mit anderen Worten: ICANN soll sich auf seine technische Rolle beschränken und eigene Zwecke nicht mit denen Dritter gleichstellen. ICANN solle genau festlegen, wer unter welchen Bedingungen Zugang zum WHOIS hat. Damit ist auch der Vorschlag hinfällig, eine »whitelist of IP adresses« einzurichten, die den Kreis der Zugangsberechtigten pauschal beschränkt; erforderlich ist vielmehr eine Einzelfallregelgung. Spätestens jetzt steht fest: wer bisher gedacht hatte, dass im Zuge der DSGVO kosmetische Änderungen am WHOIS-System genügen, irrt gewaltig. Matt Serlin vom Domain-Registrar Brandsight formulierte es pointiert:
The WHOIS system, as it has been known for two decades, will cease to exist.
ICANN zeigte sich in einer ersten Stellungnahme enttäuscht. In einem Blogeintrag vom 12. April 2018 bedankte sich CEO Göran Marby zwar für die Empfehlungen, sparte aber nicht mit Kritik:
However, we are disappointed that the letter does not mention our request for a moratorium on enforcement of the law until we implement a model.
Ohne den von ICANN gewünschten Aufschub werde das WHOIS zersplittert und man müsse daran arbeiten, diese Folgen abzumildern. Dies schließt nach Angaben von Marby explizit die Möglichkeit ein, die Rechtsposition von ICANN gegenüber der EU gerichtlich überprüfen zu lassen. Vorerst hat man die Einladung der Artikel-29-Datenschutzgruppe zu einem gemeinsamen Treffen in Brüssel angenommen, das am 23. April 2018 in Brüssel stattfinden soll. Damit wird die Zeit noch knapper: am 25. Mai 2018 ist die DSGVO innerhalb der EU anzuwenden.