DatenschutzInternetrecht

ICANN – WHOIS-Abfrage nicht DSGVO-konform

Seit 1998 die gemeinnützige Partnerschaft Internet Corporation for Assigned Names and Numbers („ICANN“) gegründet worden ist, widmet diese sich der Sicherheit, Stabilität und Interoperabilität des Internets.[1] Die ICANN kontrolliert das Namensystem des Internets und hat somit einen großen Einfluss auf die Entwicklung des World Wide Webs. Eine weitere Funktion des Repertoires der ICANN ist die Abfrage von Kontaktinformationen aus Datenbanken, sogenannte WHOIS-Abfragen. Seit das System 1982 online gegangen ist, hat sich an diesem System jedoch nicht viel geändert – bis jetzt?[2]

Was sind Namensserver?

Um heute eine Internetseite aufzurufen, geben wir eine Domäne ein und gelangen auf die gewünschte Internetseite. Hierfür wird dem Computer oder Server eine eindeutige IP-Adresse zugeordnet, mit welcher dieser aus dem Internet erreichbar sind. Es handelt sich bei einer IP-Adresse um eine Zahlenabfolge, die weltweit einzigartig ist.

Wir geben in den Browser aber keine Zahlenfolge ein, sondern einen Domain-Namen, wie beispielsweise „uni-passau.de“. Das Domain Name System („DNS“) „übersetzt“ die Domäne in die ihr zugrundeliegende IP-Adresse.

Wie funktioniert eine DNS-Abfrage?

Wenn ein Computer versucht, eine Domain aufzulösen, beispielsweise „uni-passau.de“, dann „fragt“ der Computer bei verschiedenen Servern nach, ob diese „wissen“, welche IP-Adresse zu der Domain „uni-passau.de“ gehört. Dies macht der Computer solange, bis ein Server ihm die Adresse liefert.

Was ist das WHOIS-System?

Wenn man einen solchen Domain-Namen registriert, muss es dafür einen Verantwortlichen geben. Diese Person ist verantwortlich für alle diejenigen Prozesse, die über diese Domain laufen. So kann beispielsweise über eine Domain nicht nur eine Website, sondern auch ein E-Mail-Server betrieben werden.

Hier kommt WHOIS ins Spiel. Es handelt sich hierbei um „Who Is responsible…“, also wer die Verantwortung für eine Domain trägt. Wenn man eine Domain registrieren möchte, muss man neben der zu registrierenden Domain auch folgende private Daten veröffentlichen:

  • Name
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Technischer Kontakt
  • Administrativer Kontakt

Diese Daten sind öffentlich im Internet einsehbar.[3]

Wie funktioniert eine WHOIS-Datenbankabfrage?

Eine WHOIS-Abfrage funktioniert ähnlich wie eine DNS-Abfrage, um die IP-Adresse einer Domain aufzulösen. Startet man eine WHOIS-Abfrage, werden die ICANN-Server kontaktiert und die entsprechenden Datenbank-Ergebnisse werden dem Benutzer zur Verfügung gestellt. Wenn die Abfrage erfolgreich gewesen ist, werden die Daten über den Domain-Inhaber ausgegeben.[4]

Datenschutzrechtliche Bedenken – schon seit 2003?!

Schon vor 17 Jahren, im Jahr 2003, hat die Artikel-29-Datenschutzgruppe die ICANN darauf aufmerksam gemacht, dass die WHOIS-Datenabfrage der ICANN nicht datenschutzkonform ist.[5] Die Artikel-29-Datenschutzgruppe ist eine unabhängige Arbeitsgruppe des europäischen Datenschutzausschusses, welcher sich bis zum Inkrafttreten der DSGVO mit dem Schutz personenbezogener Daten befasst hatte[6]. Wenn man eine Domain in den USA registriert hat, bekam man schon in den ersten Stunden E-Mails von verschiedenen Unternehmen[7], die Dienstleistungen aller Art, wie beispielsweise die Gestaltung einer Website, anboten.

Versuche einer DSGVO-konformen WHOIS-Abfrage

Erste Entwürfe schon im Jahr 2017

Im Jahr 2017 ist versucht worden, die Daten, die eine WHOIS-Anfrage anzeigt, zu ändern. In einem neuen System sollen verschiedene Daten des Domain-Anmelders ausgeblendet werden, sofern es sich um eine natürliche Person handelt.

Ausgeblendet werden demnach der Name, die Straße, die Stadt, die Postleitzahl, die Telefonnummern, etwaige Faxnummern sowie die E-Mail-Adresse. Sofern es sich bei dem administrativen Kontakt als auch bei dem technischen Kontakt um eine natürliche Person handelt, werden ebenfalls die oben genannten Daten aus Datenschutzgründen ausgeblendet. Jedoch werden die E-Mail-Adressen des technischen und administrativen Kontaktes weiterhin veröffentlicht, um so eine Kontaktmöglichkeit zu gewährleisten.

Sollte es sich bei der Person, die die Domain anmeldet, um eine juristische Person (also etwa um ein Unternehmen) handeln, so sollten alle Kontaktdaten veröffentlicht werden.[8]

Modell von 2018 nicht DSGVO-konform

Kurz vor dem Inkrafttreten der DSGVO am 25. Mai 2018[9] ist am 23. Mai 2018[10] ein weiterer Entwurf der ICANN erschienen, wie mit personenbezogenen Daten aus der WHOIS-Abfrage umzugehen ist. Aus diesem Entwurfsschreiben geht hervor, dass der Name, die Straße, der Ort, die Postleitzahl, die Telefonnummer, sowie die Faxnummer nicht in der WHOIS-Abfrage angezeigt werden dürfen.

Für die administrativen sowie technischen Kontakte werden Name, Straße, Ort, Unternehmen, Provinz/Staat, Postleitzahl, Land, Telefonnummern sowie Faxnummern ebenfalls ausgeblendet. Diese beiden Kontaktpersonen oder –Organisationen können jedoch einwilligen, dass ihre Daten veröffentlicht werden.[11] Es handelt sich somit um ein verbessertes System des Entwurfes aus November 2017.

Weitere Lösung der ICANN aus dem Jahr 2018

Mitte Juni 2018 ist dann eine weitere Lösung der ICANN in Kooperation mit Fieldfisher Germany LLP und der Rickert Rechtsanwaltsgesellschaft mbH erarbeitet worden. Hierbei handelte es sich schon um ein recht datenschutzfreundliches Konzept. Bei der WHOIS-Abfrage würden demnach keinerlei personenbezogenen Daten wie Telefonnummern oder E-Mail-Adressen derjenigen Person angezeigt werden, die die Domain registriert hat. Lediglich der Internetdienstleister, welcher die Domain bei der ICANN registriert hat, musste eine E-Mail-Adresse sowie eine Telefonnummer bereitstellen, unter welcher man sich bezüglich möglicher Rechtsverstöße melden könnte.

Auch wenn es nicht mehr so einfach ist, an die Kontaktdaten der Domaininhaber zu kommen, so stehen doch Mittel und Wege bereit, um im Falle einer Rechtsverletzung oder Kontaktaufnahme mit dem jeweiligen Inhaber der Domain in Kontakt zu treten. Das beschriebene Konzept sieht hier vor, dass man begründen muss, weswegen man bestimmte Kontaktinformationen benötigt. Diese Gründe gehen von der Vertragsabwicklung über Kontaktanfragen bis hin zu Rechtsverletzungen.[12]

Ein Vergleich zur deutschen Denic

Die Denic, der deutsche Monopolist auf „.de“-Domains ist der ICANN in Sachen DSGVO-konforme WHOIS-Abfrage einen Schritt voraus. Wenn hier eine Datenbank-Abfrage zu einer .de-Domain (https://www.denic.de/webwhois/) gestartet wird, werden lediglich die technischen DNS-Server angezeigt. Selbst die Organisation, die eine Domain registriert hat, wird hier nicht angezeigt. Weiterhin werden zwei verschiedene Kontaktmöglichkeiten zur Verfügung gestellt. Die „General Request“ kann für allgemeine und technische Anfragen benutzt werden. An den sogenannten „Abuse Contact“ wendet man sich, sofern man Anfragen oder Hinweise einer möglichen Rechtsverletzung über die Domain mitteilen möchte. Durch die angegebenen Kontaktinformationen tritt man mit dem Internetdienstleister in Verbindung, welcher die Domain angemeldet hat.

Möchte man jedoch Informationen über den Domain-Inhaber direkt von der Denic erhalten, so geschieht dies nur unter bestimmten Voraussetzungen. Hierfür muss man begründen, weswegen die Daten benötigt werden. Es ist beispielsweise möglich, an Daten zu kommen, wenn es um Namens- und Kennzeichenrechte geht, die über die Domain verletzt worden sind. Auch Behörden können Daten abfragen, genauso können Domaindaten im Zuge einer zivilrechtlichen Pfändung abgefragt werden. Ebenfalls können Insolvenzverwalter die Daten eines Domaininhabers im Zuge ihrer Verwaltungsaufgaben abrufen. Wird über eine bei der Denic registrierten deutschen Internetseite rechtswidriger Inhalt verbreitet, so ist es in einem begründeten Fall möglich, Informationen über den Inhaber der Domain direkt von der Denic zu erlangen. In allen anderen Fällen ist eine Datenabfrage über die Denic nicht möglich.[13]

Neues zentrales Abfragemodell

Derzeit arbeitet die ICANN an einem weiteren Modell, welches im Gegensatz zum derzeitigen, dezentralen Modell auf einen zentralen Ansatz setzt. Hierbei soll ein sogenannter „Central Gateway Manager“ zum Einsatz kommen, welcher alle WHOIS-Anfragen bearbeitet. Der Central Gateway Manager soll jedoch nicht für die Allgemeinheit zugänglich sein, sondern lediglich für zugelassene Benutzer und Einrichtungen. Dies sind beispielsweise „Civil and criminal law enforcement authorities“, „Data protection and regulatory authorities“, „Judicial authorities“, „Consumer rights organizations“ sowie „Cybersecurity authorities“. [14]

Wie auch bereits im Entwurfsmodell vom Juni 2018 muss der Benutzer auch bei dem neuen Entwurf begründen, weswegen er die Kontaktdaten benötigt. Ferner muss der Benutzer seine Berechtigung zur Abfrage der Kontaktdaten des Domaininhabers beweisen.[15]

Die Anfragen, welche der „Central Gateway Manager“ bearbeitet, sollen nach dem von der ICANN vorgelegten Bericht in drei Kategorien unterteilt werden. Sogenannte „Urgent Requests“ sind Anfragen, bei denen eine Gefahr für Leib und Leben, kritische Infrastrukturen oder die Ausbeutung von Kindern droht. Eine weitere Kategorie sind sogenannte „ICANN Administrative Proceedings“. Diese beschreiben administrative Prozesse und Verfahren der ICANN. Zuletzt gibt es noch „All other requests“, zu denen alle weiteren Anfragen, welche sich nicht den beiden anderen Kategorien zuordnen lassen, zählen.[16]

Kritik am geplanten System

Das geplante System der ICANN erntet nicht nur Lob, sondern auch Kritik. Wie bereits beschrieben, würden beim neuen System die Anfragen in drei Kategorien eingeteilt. Anhand dieser Kategorien wird die Anfrage einer Dringlichkeit zugeordnet. Je nach Dringlichkeit soll die Bearbeitungszeit dann von einem Tag bis zu zehn Tage dauern[17]. Wenn es nun um eine dringliche Anfrage geht, diese aber nicht in den Aspekt „Urgent Requests“ fällt, kann es sein, dass man durchaus ein paar Tage warten muss. Derzeit erfolgen die Anfragen auf Knopfdruck, man bekommt das Ergebnis sofort angezeigt. Auch sind die WHOIS-Abfragen derzeit kostenlos. Das neue System soll jedoch bis zu 9 Millionen US-Dollar kosten. Dies bedeutet, dass die Nutzer der WHOIS-Datenbank künftig für ihre Abfragen zahlen müssten.[18]

Fazit

Das Abfragesystem der ICANN ist ständig im Wandel. Sind zu Beginn noch alle Daten der Websitebetreiber frei einsehbar gewesen, so hat sich mit dem Inkrafttreten der DSGVO im Jahr 2018 vieles geändert und ein Großteil der Daten wurde bereits zensiert. Das neue WHOIS-System der ICANN ist bestimmt ein großer Schritt in Richtung datenschutzkonforme WHOIS-Abfragen. Jedoch schwingt aufgrund der längeren Bearbeitungsdauer sowie der Abfrage-Kosten ein säuerlicher Beigeschmack mit. Das neue Konzept der ICANN und der „Central Gateway Manager“ sollen jedoch frühestens 2022 online gehen.[19] Somit bleibt noch Zeit für etwaige Veränderungen des Konzepts.


[1] Welche Aufgabe erfüllt die ICANN?, ICANN.org, 25.02.2012, zuletzt abgerufen am 28.09.2020.

[2] History of WHOIS, ICANN.org, Stand Juli 2017, zuletzt abgerufen am 28.09.2020.

[3] About WHOIS, whois.icann.org, Stand Juli 2017, zuletzt abgerufen am 28.09.2020.

[4] DNS and WHOIS – How it Works, whois.icann.org, Stand Juli 2017, zuletzt abgerufen am 28.09.2020.

[5] Gierow, Wattislos bei Whois?, Golem.de, 20.03.2018, zuletzt abgerufen am 29.09.2020.

[6] Artikel-29-Datenschutzgruppe, zuletzt abgerufen am 09.10.2020.

[7] Gierow, Wattislos bei Whois?, Golem.de, 20.03.2018, (vgl. Fn. 5).

[8] Aaron/iThreat Cyber Group, Strawman Proposal For WHOIS Compliance With GDPR, icann.org, 11.11.2017, zuletzt abgerufen am 29.09.2020.

[9] Art. 99 Abs. 2 DSGVO.

[10] Marby, Temporary Specification for gTLD Registration Data, icann.org, 23.05.2020, zuletzt abgerufen am 29.09.2020.

[11] Marby, Temporary Specification for gTLD Registration Data, icann.org, 23.05.2020 (vgl. Fn. 10).

[12] Fieldfisher Germany LLP/ Rickert Rechtsanwaltsgesellschaft mbH (Hrsg.), GDPR Domain Industry Playbook, icann.org, 13.06.2018, zuletzt abgerufen am 30.09.2020.

[13] Auskunft über den Inhaber einer bestimmten Domain, denic.de, zuletzt abgerufen am 06.10.2020.

[14] Kemper, ICANN: WHOIS-Abfragen werden komplizierter und teurer, internetworld.de, 20.08.2020, zuletzt abgerufen am 06.10.2020.

[15] Kemper, ICANN: WHOIS-Abfragen werden komplizierter und teurer, internetworld.de, 20.08.2020 (vgl. Fn. 14).

[16] Hitzelsberger, Aktueller Bericht der EPDP-Arbeitsgruppe legt nahe, dass WHOIS-Abfragen kostenpflichtig werden, domain-recht.de, 19.08.2020, zuletzt abgerufen am 07.10.2020.

[17] Kemper, ICANN: WHOIS-Abfragen werden komplizierter und teurer, internetworld.de, 20.08.2020 (vgl. Fn. 14).

[18] Münchehofe, WHOIS Abfragen ändern sich, domainalliance.de, zuletzt abgerufen am 07.10.2020.

[19] Hitzelsberger, Aktueller Bericht der EPDP-Arbeitsgruppe legt nahe, dass WHOIS-Abfragen kostenpflichtig werden, domain-recht.de, 19.08.2020 (vgl. Fn. 16).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*