Unter dem Druck der Datenschutzgrundverordnung (DSGVO) hat die Internet-Verwaltung ICANN am 17. Mai 2018 eine Reform des WHOIS-Systems verabschiedet. Auf mehr als ein Übergangsmodell hat man sich allerdings nicht verständigt; zudem bleiben zahlreiche Fragen offen.
Rund eine Woche, bevor am 25. Mai 2018 die DSGVO Anwendung findet, hat sich der ICANN-Vorstand nach monatelangen Verhandlungen auf ein vorläufiges Kompromiss-Modell für das WHOIS-System verständigt. Das Modell mit der Bezeichnung »Temporary Specification for gTLD Registration Data« stellt den Versuch dar, einerseits das WHOIS-System weitest möglich unverändert zu lassen, und andererseits die Sicherheit und Stabilität des Domain Name Systems nicht zu gefährden. Konkret bedeutet dies, dass künftig Name, Adresse, Telefonnummer, Faxnummer und die eMail-Adresse des Inhabers einer Domain unter generischer Top Level Domain (gleich, ob natürliche Person, Unternehmen oder Organisation) nicht mehr im WHOIS angezeigt werden; stattdessen soll lediglich der Eintrag »Redacted for Privacy« oder eine entsprechende eindeutige Formulierung aufscheinen. Gleiches gilt für die Angaben zum Admin-C und Tech-C, so dass im Wesentlichen nur noch die Felder »Registrant Country« und »Registrant Organization« (sofern Angaben hinterlegt sind) unverändert bleiben. Auch der zuständige Registrar und ausgewählte Name-Server-Einträge bleiben sichtbar. Unberührt bleibt zudem die Möglichkeit sowohl für den Domain-Inhaber als auch Admin-C und Tech-C, in die Veröffentlichung ihrer WHOIS-Daten einzuwilligen.
Um mit den für die Domain zuständigen Personen in Kontakt treten zu können, soll es in den Feldern »Registrant Email«, »Admin Email« und »Tech Email« einen Link zu einem Kontaktformular oder eine eMail-Adresse geben, die allerdings (zu Beispiel im Format info@domain.de) keinen Rückschluss auf die dahinterstehende Person zulassen darf. Unscharf wird das Kompromiss-Modell allerdings bei der Frage, wer künftig Zugang zu sämtlichen, also auch den nicht-öffentlichen WHOIS-Daten haben wird. Erforderlich ist zum einen ein berechtigtes Interesse, dem jedoch weder ein berechtigtes Interesse des Domain-Inhabers noch dessen grundlegenden Rechte und Freiheiten entgegenstehen dürfen; andererseits reicht es auch, wenn die »Article 29 Working Party/European Data Protection Board«, ein Gericht oder eine gesetzliche Regelung anordnet, dass eine Einsichtnahme zulässig sein soll. Offen bleibt damit, wer im ersten Fall die Prüfung und Abwägung der verschiedenen Interessen vornimmt und ob im zweiten Fall beispielsweise Rechtsanwälte berechtigt sind, im Fall potentieller Rechtsverletzungen Einsicht zu nehmen; ob und welcher Mechanismus hier zur Anwendung kommt, bleibt also vorläufig unklar. Wohl auch aus diesem Grund ist die vom ICANN-Vorstand beschlossene Regelung nur vorläufig, und soll längstens binnen einen Jahres durch eine dann endgültige Regelung ersetzt werden.
Erste Kritik äußerten die Domain-Registrare, denen bis zum 25. Mai 2018 kaum mehr Zeit bleibt, das Übergangsmodell zu implementieren. Vor diesem Hintergrund haben Endurance, GoDaddy, Tucows, Blacknight, 1&1, United Domains AG (deren Projekt domain-recht.de ist), NetEarth One und Cloudflare um ein Moratorium gebeten, das ihnen mindestens sechs Monate Zeit für die praktische Umsetzung geben soll. Ebenfalls unzufrieden zeigte sich die US-Regierung. David Redl, Leiter der National Telecommunications and Information Administration (NTIA), kündigte an, unter Berufung auf Art. 49 DSGVO Ausnahmen für bestimmte Fälle geltend zu machen. Diese Regelung lässt eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland in Ausnahmefällen zu; dazu gehört, dass eine Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Zudem brachte auch er den Wunsch der US-Regierung nach einem Moratorium zum Ausdruck, andernfalls Cyberkriminelle erheblich profitieren könnten. ICANN hat zu diesen beiden Anliegen bisher keine Stellung genommen.