Auslegungssache 138: Datenschutz im Domain-System

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.

Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.

Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten – vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.

„Redacted for Privacy“

Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch „Redacted for Privacy“. Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.

Rickert verteidigt die neue Praxis, die alte sei datenschutzrechtlich nicht haltbar gewesen. Zudem überschätze man den Wert der Registrierungsdaten bei der Bekämpfung von Cyberkriminalität. Über 50 Prozent der Phishing-Fälle liefen über kompromittierte Websites legitimer Betreiber. Wichtiger als der Zugriff auf Inhaberdaten sei die schnelle Reaktion durch Domainsuspendierung.

Es werde (etwas) Licht

Die ICANN arbeitet an Lösungen wie dem Registration Data Request System (RDRS), das Anfragen an die richtigen Stellen weiterleitet. Überdies soll die EU-Richtlinie NIS2 mit ihrem Art. 28 neue Rechtsgrundlagen für die Herausgabe von Domaindaten schaffen. Unternehmensdaten sollen wieder veröffentlicht werden müssen, und berechtigte Anfragen binnen 72 Stunden beantwortet werden.

Die Diskussion zeigt exemplarisch am wichtigen DNS den Konflikt zwischen Datenschutz und berechtigten Transparenzinteressen. Während die einen das „Going Dark“ des Whois-Systems beklagen, sehen andere darin eine überfällige Korrektur datenschutzwidriger Praktiken.

Episode 138:

Hier geht es zu allen bisherigen Folgen:

(hob)