NIS2-Umsetzung: DENIC gibt bestimmte Inhaberdaten von .de-Domains frei

Seit dem 6. Dezember 2025 gelten in Deutschland neue Transparenzpflichten für .de-Domain-Registrierungen. Wie DENIC in seinem Blog mitteilt, wirken sich die Regelungen auch unmittelbar auf die WHOIS-Abfrage für .de-Domains aus. Hintergrund ist die nationale Umsetzung der europäischen NIS2-Richtlinie zur Cybersicherheit.

Die Domainabfrage stellt nunmehr zusätzliche Informationen bereit. Bei allen .de-Domains wird grundsätzlich das jeweils verwaltende DENIC-Mitglied veröffentlicht – also der Provider, über den die Domain registriert und administrativ betreut wird. Damit gibt es zu jeder .de-Domain eine klar benannte und kontaktierbare Stelle, selbst wenn die Inhaberdaten aus Datenschutzgründen nicht angezeigt werden dürfen.

Bei Domains juristischer Personen wie Unternehmen, Vereinen oder Organisationen werden Name und Anschrift des Domaininhabers, E-Mail-Adresse und Telefonnummer sowie das Datum der Domainregistrierung öffentlich sichtbar. Hinzu kommen Name und Kontaktdaten des verwaltenden DENIC-Mitglieds. Bei Domains natürlicher Personen bleiben personenbezogene Inhaberdaten hingegen weiterhin geschützt – hier sind lediglich das Registrierungsdatum sowie Name und Kontaktdaten des DENIC-Mitglieds einsehbar. Diese waren früher einmal auch frei einsehbar.

Die Änderungen sind Teil der umfassenden NIS2-Umsetzung in Deutschland. Das NIS2-Umsetzungsgesetz verschärft die Cybersicherheitsanforderungen erheblich und zwingt Unternehmen sowie staatliche Stellen, Informationssicherheit als strategische Daueraufgabe zu begreifen. Deutschland nutzt den Spielraum der Richtlinie konsequent aus und geht teilweise über die europäischen Mindestvorgaben hinaus.

Zugriff auf nicht-öffentliche Daten

Domaininhaber können weiterhin ihre eigenen, bei DENIC gespeicherten Daten einsehen. Dazu ist eine entsprechende Legitimation im Rahmen der Domainabfrage erforderlich, etwa durch Eingabe der Postleitzahl oder Bestätigung per E-Mail-Link. Darüber hinaus können Dritte wie Rechteinhaber, Behörden, Insolvenzverwalter oder Anspruchsteller mit vollstreckbarem Titel bei Vorliegen eines berechtigten Interesses und nach Einzelfallprüfung Einsicht in nicht öffentlich sichtbare Daten erhalten. DENIC stellt dafür spezialisierte Formulare bereit.

Die WHOIS-Abfrage liefert die erweiterten Informationen in strukturierter Form als Text oder JSON. Die Regelungen sollen insbesondere Missbrauch durch falsche oder unvollständige Registrierungsdaten reduzieren und die Kontaktaufnahme bei rechtlichen Problemen erleichtern.

Risk Assessment ab April 2026

In Phase II, die am 14. April 2026 startet, werden Contact- und Domainaufträge einem automatisierten Risk Assessment unterzogen. Das System arbeitet mit einem Ampel-Prinzip und klassifiziert Domains nach Risikograd (Low/Suspicious/High Risk). Auffälligkeiten in den Registrierungsdaten – etwa verdächtige IP-Adressen, Namen oder Muster – lösen eine Verifizierungsanfrage beim zuständigen DENIC-Mitglied aus.

Reagiert der Provider nicht oder kann die Daten nicht verifizieren, drohen Konsequenzen: Die betroffene Domain wird in Quarantäne versetzt, was ihre DNS-Auflösung deaktiviert, und kann bei weiterem Ausbleiben einer Reaktion gelöscht werden. Domaininhaber werden innerhalb der ersten drei Wochen zusätzlich per E-Mail über die Verifizierungsanfrage informiert. DENIC-Mitglieder müssen künftig sicherstellen, dass alle Registrierungsdaten korrekt und verifizierbar sind, einschließlich valider Telefonnummern und E-Mail-Adressen.

Die NIS2-Richtlinie erfasst DNS- und TLD-Anbieter wie DENIC als kritische Infrastruktur. Die Anforderungen von NIS2 gelten auch für Klein- und Kleinstunternehmen, die für ihre Kunden Domains verwalten. In Deutschland sind schätzungsweise 29.500 Unternehmen von den neuen Cybersicherheitspflichten betroffen.

Unternehmen sollten ihre .de-Domains umgehend überprüfen und sicherstellen, dass alle Registrierungsdaten vollständig, korrekt und aktuell sind. Besonders wichtig ist die Validierung von E-Mail-Adressen und Telefonnummern, da diese in Phase II systematisch geprüft werden. Die EU-Kommission arbeitet bereits an weiteren Anpassungen der NIS2-Richtlinie.

(mki)