In ihren Bemühungen um ein DSGVO-konformes WHOIS-System steckt die Internet-Verwaltung ICANN fest: mit Hilfe von drei professionellen Mediatoren sollen nun zunächst die Problemfelder eingegrenzt werden. Von einer verbindlichen Lösung ist man hingegen noch weit entfernt.
Mitte Mai 2018 hatte ICANN unter erheblichem Zeitdruck mit der »Temporary Specification for gTLD Registration Data« ein vorläufiges Kompromiss-Modell für das WHOIS-System verabschiedet und damit auf die Änderungen durch die Datenschutzgrundverordnung reagiert. Doch wie der Name andeutet, handelt es sich lediglich um eine vorübergehende Lösung; Ziel ist ein »Unified Access Model«, das allen rechtlichen Änderungen durch die DSGVO) Rechnung trägt und den Segen insbesondere der EU-Kommission als auch des Europäischen Datenschutzausschusses (EDSA) geniesst. An dieser Aufgabe arbeitet unter anderem eine Arbeitsgruppe mit der Bezeichnung »Expedited Policy Development Process for Whois« (EPDP), der Kurt Pritz, vormals ICANN-Vizepräsident, vorsteht. Doch seit dem ersten Treffen Anfang August 2018, rund 500 eMails und etwa 24 Stunden an Telefonkonferenzen scheint diese Arbeitsgruppe derart uneinig zu sein, dass drei Mediatoren des Consensus Building Institute (CBI) hinzugezogen werden mussten. Deren Ziel ist es nach Mitteilung von Pritz nicht, gemeinsam eine bestimmte Lösung zu erarbeiten; es gehe stattdessen darum, die zu bearbeitenden Problemfelder einzuschränken.
Rund 50 solcher Problemfelder hat die Arbeitsgruppe definiert, und in keinem konnten sich die beteiligten Stakeholder, darunter die Business Constituency (BC), die Intellectual Property Constituency (IPC), die Registries Stakeholder Group (RySG), die Registrars Stakeholder Group (RrSG), die Non-Commercial Stakeholders Group (NCSG), die Internet Service and Connection Providers Constituency (ISPCP), das Governmental Advisory Committee (GAC) und das At-Large Advisory Committee (ALAC) auf eine gemeinsame Lösung einigen. Dabei sind die Diskussionen oft grundsätzlicher Natur. So dürfen personenbezogene Daten gemäß DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden; doch welche genauen Zwecke das im Fall von WHOIS-Daten sind, ist umstritten. James Bladel vom US-Registrar GoDaddy merkte an, dass für die Vertragsdurchführung zwischen Domain-Inhaber und Registrar gar keine Speicherung von WHOIS-Daten erforderlich sei; die für die Abrechnung notwendigen Daten würden gesondert erfasst, nicht aber im WHOIS. Die Datenerhebung im WHOIS erfolgt also vorrangig im Interesse Dritter. Davon zu trennen ist die Frage, wer auf die erhobenen Daten zugreifen darf; dieses Recht reklamieren insbesondere Strafverfolgungsbehörden als auch Markeninhaber für sich. Würden diese Daten aber nicht im WHOIS erfasst, würde sich die Frage eines Zugriffs gar nicht stellen.
Ob bereits zum 63. ICANN-Meeting, das vom 20. bis 25. Oktober 2018 in Barcelona stattfindet, ein Kompromiss gefunden worden ist, darf daher bezweifelt werden. Der ICANN-Vorstand hat jedenfalls beschlossen, die Temporary Specification“ trotz ihres Notfall-Charakters vorläufig beizubehalten. Beanstandungen der EU-Kommission soll es bisher nicht gegeben haben.