Nach den drastischen Einschnitten in das jahrzehntealte WHOIS-System durch die Datenschutzgrundverordnung stellt die EU-Kommission die Internet-Verwaltung ICANN erneut vor juristische Herausforderungen: die »Revised Directive on Security of Network and Information Systems« lässt auch das Domain Name System nicht unberührt.
Im Dezember 2020 hat die EU-Kommission ihre neue »Cybersicherheitsstrategie« vorgestellt, deren Ziel es ist, die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Zur Verbesserung der digitalen und physischen Widerstandsfähigkeit kritischer Einrichtungen und Netze schlägt die Kommission dazu eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie, »NIS 2«) vor. Sie soll im Aktionsfeld »Widerstandsfähigkeit, technologische Unabhängigkeit und Führungsrolle« ein globales und offenes Internet gewährleisten; digitale Infrastrukturen wie »Internet-Knoten, DNS-Anbieter, TLD-Namen-Register« zählen dabei ausdrücklich zu den Sektoren, die vom Kommissionsvorschlag abgedeckt sind. In einem ersten Schritt wird der Vorschlag Gegenstand von Verhandlungen zwischen den beiden gesetzgebenden Organen – dem Rat der Europäischen Union und dem Europäischen Parlament – sein. Sobald der Vorschlag angenommen und verabschiedet ist, müssen die EU-Mitgliedstaaten die NIS-2-Richtlinie binnen 18 Monaten nach ihrem Inkrafttreten umsetzen.
Die Initiative hat auch ICANN auf den Plan gerufen, schon weil die in den USA ansässige Organisation nach den Erfahrungen mit der Datenschutzgrundverordnung um die Wirkung von Gesetzesvorhaben in der EU weiß. Am 19. März 2021 hat ICANN daher eine Stellungnahme zur NIS2 bei der EU-Kommission hinterlegt. Auf 12 Seiten beleuchtet ICANN die möglichen Auswirkungen auf das DNS. So stört sich ICANN an der weiten Definition des Begriffs »DNS service provider«; es genüge, die eigene Domain zu hosten oder andere dabei zu unterstützen, um unter anderem erhöhte administrative und Compliance-Pflichten samt der damit verbundenen Kosten auszulösen. ICANN regt daher an, den Begriff der infrastrukturkritischen DNS-Provider enger zu fassen. Noch grössere Bedeutung haben für ICANN aber die Domain-Registrierungsdaten. So sieht die NIS 2 den Zugriff auf Daten natürlicher Personen »upon lawful and duly justified requests« vor. Hierzu schlägt ICANN vor, dass die NIS 2 verpflichtendes Recht im Sinne von Art. 6 (1) c und Art. 6 (1) (3) der DSGVO in allen Mitgliedsstaaten wird, so dass der Zusatz »in compliance with Union data protection law« gestrichen werden kann; offenbar möchte man so Haftungsrisiken für Registries und Registrare im Falle der rechtswidrigen Weitergabe von Daten umgehen, die bei einer sonst gemäß DSGVO notwendigen Interessenabwägung erforderlich würde. Außerdem würde das Verfahren so deutlich beschleunigt.
Ferner stört sich ICANN daran, dass Registries und Registrare die Integrität und Verfügbarkeit ihres Datenbestands garantieren müssten. Diese Garantien könnten unmöglich gegeben werden. Neben ICANN haben inzwischen auch das »At-Large Advisory Committee«, die DENIC eG, Verisign Inc., die European Internet Services Providers Association, RIPE NCC sowie die International Trademark Association (INTA) ihre Stellungnahmen bei der EU-Kommission eingereicht. Ob sie Gehör finden, bleibt vorerst abzuwarten.