Die Diskussionen um das neue Registrar Accreditation Agreement (RAA) reissen nicht ab: die europäische »Art. 29 Data Protection Working Party« geht weiterhin davon aus, dass der reformierte Grundlagenvertrag zwischen der Internet-Verwaltung ICANN und den Domain-Registraren gegen europäisches Datenschutzrecht verstößt.
Im Juni 2013 hatte sich ICANN mit den Registraren auf eine Neufassung des RAA verständigt. Sie bringt zahlreiche Änderungen für die Praxis mit sich. Dazu gehören unter anderem die Pflicht zur Validierung der Daten des Inhabers im Rahmen der Registrierung einer Domain sowie eine Art Vorratsdatenspeicherung für Registrare, wonach sie für die Dauer des Vertragsverhältnisses sowie weitere zwei Jahre nach dessen Ende insbesondere den vollständigen Namen, Adresse, eMail, Telefonnummer, die WHOIS-Daten und die Art der mit der Registrierung erworbenen Domain-Dienstleistungen speichern müssen. Hiergegen erhob die »Art. 29 Data Protection Working Party«, die mit Vertretern der Datenschutzbehörden aus der EU-Kommission, jedem EU-Mitgliedsland und dem Europäischen Datenschutzbeauftragten besetzt ist, erhebliche datenschutzrechtliche Bedenken. ICANN versuchte, diesen Bedenken durch eine im RAA enthaltene Verzichtserklärung Rechnung zu tragen, wonach ein Registrar zur Vermeidung von Rechtsverstößen eine Befreiung von der Pflicht zur Datenspeicherung verlangen kann. Allerdings sprach ICANN der »Working Party« die Kompetenz ab, eine für europäische Registrare verbindliche Stellungnahme (»legal opinion«) zum Vorliegen eines solchen Rechtsverstosses abzugeben.
Die Retourkutsche folgte Anfang Januar 2014. In einem erneuten Schreiben wies Chairman Jacob Kohnstamm darauf hin, dass ICANN den Bedenken der »Working Party« nicht ausreichend Rechnung getragen habe, weshalb man die Diskussion nun fortsetze. Jeder europäische Registrar sei an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates gebunden. Diese verpflichtet die Mitgliedsstaaten in Artikel 6 e), dass personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Dem RAA sei ein solchermaßen legitimer Zweck nicht zu entnehmen. Man fordert ICANN daher wiederum auf, diese Stellungnahme als verbindlich anzuerkennen, sofern ein in Europa ansässiger Domain-Registrar eine Befreiung verlangt. Dabei betont die »Working Party« nochmals eindringlich, dass sich alle 28 EU-Mitgliedsländer dieser Einschätzung angeschlossen haben.
Parallel verlangt nun der erste europäische Registrar von ICANN eine Befreiung von der Pflicht zur Datenspeicherung: der französische Provider OVH SAS macht geltend, dass Teile des RAAs gegen französisches Datenschutzrecht verstoßen. Dabei beruft sich OVH auf die »legal opinion« eines französischen Anwalts, der eine Verletzung von Artikel 6-5 des Loi n° 78-17 du 6 janvier 1978 annimmt, das sich aus Richtlinie 95/46/EG ableitet. Allerdings verlangt OVH keine vollständige Befreiung, sondern lediglich eine Reduzierung der Speicherfrist von zwei auf ein Jahr nach Ende des Registrierungsvertrages. ICANN beabsichtigt, diesem Wunsch zu entsprechen, möchte aber zuerst der Öffentlichkeit die Gelegenheit geben, sich bis Ende Februar 2014 zu äussern. Das Problem birgt für Registrare enorme Sprengkraft: nur wer das reformierte RAA akzeptiert, darf seinen Kunden Domains mit neuer globaler Domain-Endung anbieten.