Das US-Unternehmen Facebook Inc. scheint die Grenzen der Datenschutzgrundverordnung (DSGVO) ausloten zu wollen: über das Markenschutzunternehmen AppDetex richtete Facebook über 500 Anfragen an mehrere Domain-Registrare, um an nicht-öffentliche WHOIS-Daten zu gelangen. Großer Erfolg war der Aktion bisher noch nicht beschieden.
Wie das Branchenblog domainincite.com berichtet, hat sich AppDetex an eine nicht genannte Anzahl von Domain-Registraren gewandt und unter Berufung auf eine Verletzung von Facebook-Marken die Herausgabe sämtlicher nicht-öffentlicher WHOIS-Daten zum Domain-Inhaber gefordert, einschließlich aller Informationen zum Admin-C und zum Tech-C. Zur Begründung machte das Unternehmen geltend, dass Facebook diese Daten benötige, um eine Verletzung geistigen Eigentums zu untersuchen, zu verhindern, mit den rechtsverletzenden Parteien sowie relevanten Service-Dienstleistern in Kontakt zu treten und um rechtliche Maßnahmen gegen den Domain-Inhaber zu ermöglichen. Genannt werden dabei offenbar fünf Facebook-Marken, nämlich Facebook, FB, Instagram, Oculous und WhatsApp. Allerdings geht AppDetex mit dem Auskunftsverlangen noch einen Schritt weiter: die Registrare sollen zusätzlich mitteilen, welche anderen Domains auf den Inhaber der rechtsverletzenden Adresse bzw. dessen eMail-Adresse jeweils registriert sind. Auch zu diesen Domains möchte AppDetex dann Auskunft über alle nicht-öffentlichen WHOIS-Daten.
Zur Begründung dieses Verlangens beruft sich AppDetex auf Artikel 6 Abs. 1 lit. f DSGVO. Nach dieser Vorschrift ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Ein konkretes Auskunftsrecht gegenüber Domain-Registraren ergäbe sich dabei in Verbindung mit der »Temporary Specification for gTLD Registration Data«; dort stellt die Regelung 4.1 folgenden Grundsatz auf:
Registrar and Registry Operator MUST provide reasonable access to Personal Data in Registration Data to third parties on the basis of a legitimate interests pursued by the third party,
macht jedoch in wörtlicher Anlehnung an die DSGVO eine Ausnahme, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Allerdings hat diese Regelung nur vorübergehenden Charakter; eine endgültige Lösung steht noch aus.
Ans Licht der Öffentlichkeit kam der gesamte Vorgang, nachdem sich AppDetex in einem Schreiben vom 13. Juli 2018 bei ICANN beschwerte. Es seien keine effektiven Prozesse etabliert worden, die sicherstellen, dass die Registrare für einen Zugang zum nicht-öffentlichen Teil der WHOIS-Daten sorgen. Lediglich acht Registrare hätten auf die Anfrage überhaupt geantwortet, sieben davon jedoch, ohne die gewünschten Auskünfte zu erteilen. Die einzig positive Antwort hätte man von FBS Inc. erhalten; der seit 2013 ICANN-akkreditierte Registrar hat den Sitz aber in der Türkei, also nicht in der EU. Eine Spitze nicht verkneifen konnte sich der irische Registrar Blacknight Internet Solutions Ltd.; er gab an, die Auskunft erteilen zu wollen, wenn ihn ein irisches Gericht dazu verpflichte. AppDetex hat inzwischen angekündigt, seine Auskunftsverlangen fortzusetzen; auch diese Frage dürfte also möglicherweise vor einem Gericht landen.