Die Internet-Verwaltung ICANN setzt bei der Zukunft des WHOIS-Systems auf die EU: die Artikel-29-Datenschutzgruppe soll Wege aufzeigen, wie den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt werden kann. Und auch in der Domain Name Industry wächst die Rechtsunsicherheit.
Nur noch wenige Wochen vergehen, bevor am 25. Mai 2018 die DSGVO europaweit Anwendung findet. Doch ob und wie sich die neuen Regelungen auf das WHOIS-System auswirken, ist unklarer als je zuvor. Obwohl ICANN bereits an Alternativmodellen arbeitet, scheint man zusehends verunsichert, was zu tun ist. Darauf deutet zumindest ein Schreiben von ICANN an die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der EU-Kommission, hin, in dem man bittet:
help ICANN and the domain name registries and registrars to maintain the global WHOIS in its current form, through either clarification of the GDPR, a moratorium on enforcement or other relevant actions, until a revised WHOIS policy that balances these critical public interest perspectives may be developed and implemented.
Parallel hat die Registration Data Service Policy Development Process Working Group angekündigt, vorerst keine Treffen mehr abzuhalten, solange man von ICANN keine Weisung erhalten hat, wie mit der DSGVO in Bezug auf das WHOIS umzugehen sei. Über zwei Jahre der Debatten finden damit vorläufig ihr Ende. Größte Sorge ist, dass ausgedehnter Datenschutz den Boden für Cyberkriminelle bereitet und sowohl Markeninhaber als auch Strafverfolgungsbehörden in ihrer Rechtsverfolgung drastisch beschneidet.
Derweil kämpft auch die .info-Registry Afilias mit der wachsenden Rechtsunsicherheit rund um das WHOIS. Am 3. April 2018 informierte das Unternehmen die akkreditierten Registrare, dass man einen Großteil der WHOIS-Daten künftig nicht mehr im WHOIS veröffentlichen werde. Sämtliche Kontaktdaten zum Domain-Inhaber sollten verborgen bleiben und lediglich noch technische Daten abgerufen werden können. Betroffen sein sollten alle Afilias-TLDs, also .info, .mobi, .pro, .poker, .pink, .black, .red, .blue, .kim, .shiksha, .promo, .lgbt, .ski, .bio, .green, .lot to, .pet, .bet, .vote, .voto, .archi, .organic und .llc. Sowohl Markeninhaber als auch Strafverfolgungsbehörden hätten keinen freien Zugriff mehr auf WHOIS-Daten gehabt. Nur zwei Tage später, am 5. April 2018, ruderte die Registry aber wieder zurück: Pläne, die veröffentlichten WHOIS-Daten zu reduzieren, werden vorläufig zurückgestellt. Man habe zahlreiche Anfragen erhalten und geht davon aus, dass die Antworten durch die von ICANN veranlasste Stellungnahme der Datenschutzbehörden beeinflusst würden. Offenbar haben vor allem Probleme rund um den Transfer von Domains Afilias zum Einlenken gebracht. Allerdings ist Afilias selbstbewusst genug, darauf hinzuweisen, dass man auch zu eigenen Wegen bereit sei: »Absent guidance from the data protection authorities, Afilias will reconsider its plans as appropriate to ensure compliance with GDPR.«
Ob tatsächlich eine gemeinsame Grundlage gefunden werden kann, steht damit in den Sternen. In einem Interview für das Magazin internetworld.de zeigte sich DENIC-CEO Jörg Schweiger äusserst skeptisch:
Obwohl die DSGVO in allen Ländern nahezu identisch umgesetzt werden dürfte, hat sich die Verständigung auf einen solchen einheitlichen Ansatz als Illusion herausgestellt.
Man gehe davon aus, dass die Aufsichtsbehörden, sowohl im Zuge innerdeutsch-föderaler als auch europäischer Harmonisierungen, zukünftig zu einer deutlich restriktiveren Auslegung der Anforderungen an den Datenschutz gelangen werden.
Wir werden alle Schattierungen von Umsetzungen sehen: von der vollständigen Veröffentlichung aller Inhaberdaten bis hin zu Implementierungen, die sämtliche Daten unter Verschluss halten,
so Schweiger. Die DENIC selbst wird die bisherigen Informationen zu Domain-Inhaber und Provider online nicht mehr anzeigen. Stattdessen werden neue eMail-Kontakte eingerichtet und zudem jede Domain-Abfrage hinsichtlich ihrer Berechtigung geprüft.