Die Domain-Registrierungsdatenbank WHOIS kommt den Grunds\u00e4tzen der Datensparsamkeit der DSGVO nicht nach. Registratoren einer Domain erheben zu viele personenbezogenen Daten. Zuletzt wurde deshalb ein Gerichtsverfahren er\u00f6ffnet. Die EPAG (der hierzulande t\u00e4tige Registrar der ICANN als WHOIS-Betreiber) sah sich einer einstweiligen Anordnung gegen\u00fcber, die ICANN musste jedoch eine Niederlage einstecken.<\/p>\n
Hinter WHOIS verbirgt sich ein Protokoll, das es erm\u00f6glicht, Informationen von einem verteilten Datenbanksystem zu Domains sowie IP-Adressen und den jeweiligen Eigent\u00fcmern abzufragen. Schon seit Ende der 2000er Jahre k\u00f6nnen Inhaber von .de-Domains nicht mehr \u00fcbers WHOIS-Protokoll abgefragt werden. Daf\u00fcr muss man die DENIC-Website besuchen. Mittels Captcha ist die Website seit Mitte der 2010er Jahre gegen automatisierte Zugriffe gesichert.<\/p>\n
Stellt man eine WHOIS-Abfrage, erh\u00e4lt man die Daten des Eigent\u00fcmers der Website sowie die des Admin-C (Administrative Contact) aus der WHOIS-Datenbank. Dieser fungiert als technischer Betreuer einer Website. Anfragen geschehen aus unterschiedlichen Gr\u00fcnden: Es haben sich technische Probleme mit der Seite ergeben, die Seite k\u00f6nnte bestimmte Rechte (z. B. Urheberrechte) verletzen oder ein K\u00e4ufer interessiert sich f\u00fcr die Domain und m\u00f6chte den richtigen Ansprechpartner ermitteln.<\/p>\n
Seit Beginn der Datenschutz-Grundverordnung (DSGVO) wurden die Daten etwas reduziert: Dritte k\u00f6nnen nur noch technische Informationen zu Nameserver und Mailadressen zum Aufnehmen des Kontakts abfragen. Inhaber selbst k\u00f6nnen die eingetragenen Daten zeitbegrenzt \u00fcber einen Link abrufen. Gesonderte Formulare erlauben es Dritten, weitere Informationen anzufordern, jedoch funktioniert das nur als Beh\u00f6rde oder wenn Rechtsstreitigkeiten vorliegen.<\/p>\n
Die WHOIS-Abfrage sieht also seit Beginn der DSGVO im Mai 2018 recht mager aus. So sind auch Daten weiterer Personen wie Tech-C und Admin-C nicht mehr in der WHOIS-Datenbank abfragbar. H\u00e4ufig sind das jedoch dieselben Personen, sodass eine Datensammlung dieser Art tats\u00e4chlich unn\u00f6tig ist. Erfragt wurden verschiedene Daten wie Namen, Anschriften, E-Mail-Adressen, Telefon- sowie Fax-Nummern s\u00e4mtlicher beteiligter Personen. Die Daten wurden im Ausland gespeichert und durch die WHOIS-Abfrage \u00f6ffentlich zug\u00e4nglich gemacht. Die Gefahr des Datenmissbrauchs stieg dadurch extrem.<\/p>\n
Die zust\u00e4ndige Internet Corporation for Assigned Names and Numbers (ICANN) hatte \u2013 wie jedes Unternehmen \u2013 zwei Jahre Zeit, die Domaindatenbank an die DSGVO anzupassen. Jedoch hat sie diese Zeit ungenutzt verstreichen lassen. Erst ein halbes Jahr vor Inkrafttreten der DSGVO begann die ICANN, immerhin die Basis f\u00fcr eine DSGVO-konforme WHOIS-Abfrage zu schaffen.<\/p>\n
Die ICANN war der \u00dcberzeugung, dass alle bisherigen Daten trotz Inkrafttreten der DSGVO abgefragt werden sollen. Die EPAG jedoch, der in Deutschland beheimatete Registrar, teilte in einem Blogbeitrag mit, keine personenbezogenen Daten von Personen zu verarbeiten, „zu denen wir nicht einmal einen direkten Bezug haben \u2013 die Admin- und Tech-Kontakte.“<\/p>\n
Daraufhin klagte die ICANN vor dem Landgericht Bonn. Man wollte mit einer einstweiligen Anordnung erreichen, dass EPAG die Daten weiterhin zur Verf\u00fcgung stellt. Das Bonner Landgericht jedoch wies den Antrag auf einstweilige Anordnung gegen EPAG ab. In der Entscheidung<\/a> (PDF) wird erkl\u00e4rt, dass die ICANN nicht glaubhaft darlegen konnte, dass Datenspeicherungen, die \u00fcber den Domaininhaber hinausgehen, f\u00fcr ihre Zwecke erforderlich seien. Wenngleich „ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verl\u00e4sslicher erscheinen“ l\u00e4sst, m\u00fcsse der Domaininhaber nicht zwangsl\u00e4ufig personenverschieden vom Admin-C und Tech-C sein, er k\u00f6nne „all jene Funktionen auf sich vereinigen“, hei\u00dft es in der Begr\u00fcndung.<\/p>\n Es sei vor dem Grundsatz der Datensparsamkeit nicht erkennbar, warum die zus\u00e4tzlichen Datens\u00e4tze von der WHOIS-Datenbank erhoben werden. Die ICANN habe zudem einger\u00e4umt, dass Domains auch registriert werden k\u00f6nnen, wenn die drei Datens\u00e4tze identisch seien. Wenngleich die ICANN die schnelle Entscheidung begr\u00fc\u00dft, sei jedoch nicht die rechtliche Klarstellung zum Umsetzen der DSGVO geschaffen. Die Organisation wird also auch k\u00fcnftig mit der EU-Kommission und den europ\u00e4ischen Datenschutzbeauftragten diskutieren.<\/p>\n