Die Internet-Verwaltung ICANN stochert bei ihrer Suche nach einem DSGVO-kompatiblen WHOIS-System weiter im Nebel: in einem Schreiben vom 05. Juli 2018 gab der Europäische Datenschutzausschuss (EDSA), Nachfolger der Artikel-29-Datenschutzgruppe, lediglich auf wenige Fragen konkrete Antworten.
Mitte Mai 2018 hatte ICANN unter erheblichem Zeitdruck mit der »Temporary Specification for gTLD Registration Data« ein vorläufigen Kompromiss-Modell für das WHOIS-System verabschiedet und damit auf die Änderungen durch die Datenschutzgrundverordnung reagiert. Auf der Suche nach einem endgültigen Modell hatte sich die Netzverwaltung Hilfe suchend an die EDSA gewandt und um Aufklärung zu einer Reihe von Fragen gebeten. Wie schon die Artikel-29-Datenschutzgruppe begrüsst auch der EDSA in ihrem achtseitigen Antwortschreiben die Einführung eines WHOIS-Modells, das Dritten (wie zum Beispiel den Strafverfolgungsbehörden), die ein berechtigtes Interesse belegen können, einen Einblick in die WHOIS-Daten gewährt, ohne zugleich diese Daten unbeschränkt zugänglich zu machen. Auch von der »Temporary Specification« hat die EDSA Kenntnis genommen, zeigt sich damit aber nicht zufrieden. Sechs Punkte hält die EDSA für besonders eilbedürftig. So weist die Behörde darauf hin, dass Art. 6 Abs. 1 lit. f DSGVO eine geeignete Rechtsgrundlage für den Einblick Dritter in den nicht-öffentlichen Teil der WHOIS-Daten darstelle. Wie die dort vorgesehene Interessensabwägung praktisch ausgestaltet sein könnte, führt die EDSA jedoch nicht aus.
Deutlicher wird die EDSA bei der Frage nach dem Umfang der WHOIS-Daten. Unter Verweis auf den Rechtsstreit zwischen ICANN und der EPAG Domainservices GmbH vor dem Landgericht in Bonn spricht sich die Behörde dafür aus, dass kein Domain-Inhaber verpflichtet sein soll, persönliche Daten von Dritten, die lediglich technische oder administrative Zwecke erfüllen, offenzulegen; eMail-Adressen wie admin@company.com seien dafür ausreichend. Damit beantwortete die EDSA eine weitere Frage bezogen auf die Datenerhebung bei juristischen Personen. Da für sie die DSGVO nicht gilt, ist die Angabe ihrer Kontaktangaben im WHOIS in der Regel unschädlich. Eine Ausnahme gelte jedoch, wenn eMail-Adressen im Format vorname.nachname@company.com verwendet werden, da dies Rückschlüsse auf eine natürliche Person, ihre postalische Erreichbarkeit und deren Stellung im Unternehmen zulasse; dies verstößt auch bei juristischen Personen gegen die DSVGO. Bei der Frage, wie auf nicht-öffentliche WHOIS-Daten zugegriffen werden könne, denkt die EDSA an ein Log-In-Modell; wie das jedoch in der Praxis aussehen soll, sei wiederum ICANN überlassen.
Viel Hoffnung, dass die EDSA weiterhin mit Rat und Tat zur Seite steht, sollte sich ICANN nicht machen. Darauf deutet das Ende des Schreibens mit dem Hinweis, dass man zuversichtlich sei, dass ICANN mit den bisher erteilten Anweisungen ein DSGVO-kompatibles WHOIS-System erarbeiten könne. Und was den zeitlichen Verzug bei der Vorbereitung auf die DSGVO betrifft, kann sich die EDSA in einer Pressemitteilung einen kleinen Tritt vor das ICANN-Schienbein nicht verkneifen:
The EDPB’s predecessor, WP29, has been offering guidance to ICANN on how to bring Whois in compliance with European data protection law since 2003.