Die Frage der zukünftig über das WHOIS abrufbaren Daten ist nicht nur verwirrend, sondern führt mittlerweile zu Verzerrungen im Zeitkontinuum: Hatten wir vergangene Woche noch über den Artikel von Sicherheitsfachmann Brian Krebs berichtet, der sich mit einem Artikel des Georgia Institute of Technology auseinandersetzte und darlegte, weshalb die Anwendung der Datenschutzgrundverordnung auf das WHOIS aus sicherheitstechnischer Sicht problematisch ist, so zeigt sich heute, dass dieser Artikel erst sieben Tage nach Veröffentlichung von Krebs Artikel geposted wurde. Kein Grund, sich die Ansichten des vom Georgia Institute of Technology betriebenen Internet Government Project zu verschließen.
Für Sicherheitsforscher Brian Krebs bedeutet – kurz gesagt – der Gewinn an Datenschutz, der mit der Reform des WHOIS-Verzeichnisses einhergeht, einen Verlust an Sicherheit. Dr. Farzaneh Badiei, Rafik Dammak und Ayden Férdeline, letztere Mitglied der »Generic Names Supporting Organization« (GNSO) bei ICANN sehen dies in ihrem Artikel auf internetgovernmentproject.org, in dem sie auf frühere Äusserungen Krebs‘ eingehen, anders. Sie vertreten die Ansicht, die DSGVO bringe lediglich einige kleinere Änderungen mit sich. Für alle drei steht an erster Stelle »WHOIS won’t go dark, and it won’t go away.« Das WHOIS-System verschwinde nicht und an den Daten, die gesammelt werden, ändere sich mit der DSGVO nichts. Es werde lediglich ein Teil der gesammelten Daten künftig nicht mehr veröffentlicht. Die Felder, die wie die Nameserver-Daten oder das Auslaufdatum wichtig für das Domain Name System sind, bleiben frei abrufbar. Sicherheitsforscher könnten für ihre Untersuchungen beispielsweise weiterhin auf die Zone Files zugreifen, da sie keine personenbezogenen Daten enthalten. Und ICANN arbeite überdies an einem Akkreditierungsmechanismus, der für solche Studien zumindest einen Teil der geschützten Daten wieder zugänglich macht.
Zum Beleg für ihre Ansicht führen sie weiter aus: »Privacy/proxy services didn’t break the Internet«. So sei es seit Jahren möglich, Domains anonym zu registrieren. Gleichwohl sei das Internet nicht zum Erliegen gekommen. Wer ein berechtigtes Interesse glaubhaft machen könne, werde auch in Zukunft alle nötigen Kontaktdaten erhalten. Und sie betonen einen bisher wenig beachteten Effekt: die Menschen registrieren Domains, um Wissen zu teilen. Die Möglichkeit, in Zukunft anonym die Meinung äußern zu können, schütze die Menschen und helfe, unpopuläre, aber rechtmäßige Meinungen zu verbreiten, ohne sogleich fürchten zu müssen, dafür zur Verantwortung gezogen zu werden. Wer dagegen Domains nutze, um illegale Aktivitäten zu entfalten, der wird ohnehin falsche Kontaktdaten verwenden. Und schließlich: »The GDPR is an evolution, not a revolution«. Sie beziehen sich dabei auf eine Äußerung von Gregory Mounier (Europol), der kritisierte, dass es schwierig sei, Botnets zu bekämpfen, wenn es bei Inkrafttreten der DSGVO keinen Akkreditierungsmechnismus für WHOIS-Daten gäbe. Dies sei falsch, da sich der Datenschutz nur auf personenbezogene Daten beziehe; für Botnets wichtige Informationen blieben verfügbar. Im Rahmen der Spam-Bekämpfung würden die geschützten Daten ebenso keine entscheidende Rolle spielen; hier seien »schwarze Listen« mit IP-Adressen viel wichtiger.
In ihrer Einschätzung, dass die DSGVO keine Revolution bringt, können sich die drei Autoren auf prominente Unterstützung berufen. Nach Ansicht von Prof. Niko Härting bekommt der Datenschutz durch drakonische Bußgelder Zähne, was vom Gesetzgeber beabsichtigt sei. Das materielle Datenschutzrecht habe sich dagegen nicht so sehr verändert; an den Grundstrukturen des Datenschutzrechts habe der Gesetzgeber nichts ändern wollen. »Ein großer Wurf ist das nicht.«, hält Härting fest. Die Praxis warte nun nervös darauf, was die Datenschutzbehörden aus dem neuen Datenschutzrecht machen werden. Und wir warten ebenso gespannt, welches WHOIS-Modell uns ICANN präsentieren wird.