Kaum beschlossen, steht das neue Registrar Accreditation Agreement (RAA) im Kreuzfeuer der Kritik: nach Ansicht der »Art. 29 Data Protection Working Party« verstößt der reformierte Grundlagenvertrag zwischen der Internet-Verwaltung ICANN und den Domain-Registraren gegen europäisches Datenschutzrecht.
Ende Juni 2013 meldete ICANN, dass sie sich mit ihrer Registrar Stakeholders Group auf eine Neufassung des RAA verständigt hat. Die Neufassung bringt zahlreiche Änderungen für die Praxis mit sich, darunter die Schaffung eines »abuse contact« und die Validierung der Daten des Inhabers im Rahmen der Registrierung einer Domain. Bereits im Vorfeld der Beschlussfassung hatten die geplanten Änderungen zu Protest geführt; so erhob die »Art. 29 Data Protection Working Party«, die mit Vertretern der Datenschutzbehörden aus der EU-Kommission, jedem EU-Mitgliedsland sowie dem Europäischen Datenschutzbeauftragten besetzt ist, erhebliche datenschutzrechtliche Bedenken. So sieht das neue RAA eine Art Vorratsdatenspeicherung für Registrare vor. Die so genannte »Data Retention Specification« verpflichtet die Registrare, für die Dauer des Vertragsverhältnisses sowie weitere zwei Jahre nach dessen Ende, insbesondere den vollständigen Namen, Adresse, eMail, Telefonnummer, die WHOIS-Daten und die Art der mit der Registrierung erworbenen Domain-Dienstleistungen zu speichern. Für immerhin 180 Tage müssen die Registrare ausserdem die Zahlungsdaten und Logfiles ihrer Kunden speichern; dazu gehören auch die IP-Adresse, HTTP-Header, Faxnummer sowie Skype-Name, sofern diese Daten im Rahmen der Registrierung verwendet wurden. Die Frist berechnet sich ab dem jeweiligen Zeitpunkt der Interaktion zwischen Registrar und Domain-Inhaber, ist also von der Vertragslaufzeit grundsätzlich unabhängig.
Wie aus einem erst jetzt veröffentlichten Schreiben der »Working Party« vom 6. Juni 2013 hervorgeht, verstößt eine solche Speicherpflicht nach ihrer Ansicht mangels gesetzlicher Grundlage gegen Datenschutzrecht in allen 27 (inzwischen 28) Mitgliedsländern der EU. Allein der Umstand, dass die Daten für Zwecke der Rechtsverfolgung nützlich sein könnten, macht ihre umfangreiche Speicherung auch nach Vertragsende nicht zulässig. Darüber hinaus protestiert die Working Party gegen die Schaffung von solchen Speicherpflichten durch ein privates Unternehmen, um die Rechtsverfolgung zu erleichtern; sofern zulässig und geboten, liege es an den nationalen Regierungen, solche Pflichten unter Beachtung sowohl von Artikel 8 der Europäischen Menschenrechtskonvention als auch Artikel 17 des Internationalen Pakts über bürgerliche und politische Rechte zu schaffen.
ICANN hat den Bedenken der Working Party durch eine im RAA enthaltene Verzichtserklärung Rechnung getragen, wonach ein Registrar zur Vermeidung von Rechtsverstößen eine Befreiung von der Pflicht zur Datenspeicherung verlangen kann. Da das Schreiben der Working Party ausdrücklich als gemeinsame Stellungnahme aller 27 nationalen Datenschutzbehörden gekennzeichnet ist, sind Registrare, die sich an Verbraucher und Unternehmen in Europa richten, grundsätzlich gehalten, von der Ausnahmeregelung im RAA Gebrauch zu machen. Ob ICANN die Rechtsansicht der Working Party teilt und für eine Verzichtserklärung im Sinne des RAA ausreichen lässt, ist derzeit aber noch unklar.
Eine vertiefte Betrachtung zur Situation finden Sie bei internetcommerce.org.