Datenschutz bei Domain-Anmeldungen Richter lassen die Icann abblitzen

Beim Anmelden einer Domain werden zu viele persönliche Daten gesammelt. Das hat das Landgericht Bonn anhand der DSGVO entschieden. Für die zentrale Vergabestelle für Internetadressen in den USA ist das ein Rückschlag.

Ethernet-Kabel (Symbolbild)
DPA

Ethernet-Kabel (Symbolbild)

Von


Die Richter am Landgericht Bonn haben eine erste Entscheidung entlang der EU-Datenschutzgrundverordnung (DSGVO) getroffen und der zentralen Vergabestelle für Internetadressen eine Abfuhr erteilt. Zwar wird die DSGVO erst seit einer Woche angewendet. Die Entscheidung aus Bonn könnte aber bereits Einfluss darauf haben, welche persönlichen Daten ein Nutzer bei der Anmeldung einer Domain künftig noch angeben muss.

Für die Internet Corporation for Assigned Names and Numbers (Icann) ist das ein Rückschlag. Das Non-Profit-Unternehmen kümmert sich darum, dass Website-Namen im Netz nicht doppelt vergeben werden und alle IP-Adressen zur richtigen Internetseite führen. Das Problem: Die Icann will nicht nur wissen, wer die Seite betreibt. Das US-Unternehmen will auch Namen, Adressen und Telefonnummern von der Person mit vollen Zugriffsrechten auf die Website (Admin-C) und einem technischen Verantwortlichen (Tech-C). Diese Datensammlung geht einigen Vertragspartnern zu weit.

Unter anderem wehrt sich der deutsche Domain-Händler Epag dagegen. Das Unternehmen aus Bonn darf Domains mit Erlaubnis der Icann in Deutschland, Österreich und der Schweiz verkaufen, muss aber laut Vertrag neben den persönlichen Daten des Seitenbetreibers auch Admin-C und Tech-C an die Icann übermitteln. Man sei dazu verpflichtet worden, personenbezogene Daten zu erheben und weiterzugeben, "obwohl wir dafür möglicherweise keine rechtliche Grundlage hatten", heißt es in einem Blogbeitrag. Einige Daten seien zudem überflüssig.

Icann stellt Eilantrag vor Gericht

Auf Grundlage der DSGVO hatte sich Epag dazu entschlossen, nur noch Adressdaten der Domain-Besitzer zu notieren und auf Admin-C und Tech-C zu verzichten. Man sehe sich gezwungen, die Daten "von Personen zu verarbeiten zu denen wir nicht einmal einen direkten Bezug haben", heißt es bei Epag.

Mit einer einstweiligen Verfügung versuchte die Icann diesen Vorstoß vor einer Woche zu verhindern ein. Doch Richter am Landgericht Bonn haben den Eilantrag nun abgewiesen und begründeten ihre Entscheidung (Pdf) damit, dass personenbezogene Daten nach Artikel 5 der DSGVO nur für "festgelegte, eindeutige und legitime Zwecke" erhoben werden dürfen. Der Admin-C und Tech-C sind demnach unnötig. Es genüge, wenn der Domain-Inhaber bekannt ist, um bei Verstößen kontaktiert zu werden.

Die Icann zeigt sich enttäuscht von dem Urteil. Zwar schätze man, dass sich das Gericht mit dem Fall so schnell beschäftigt habe, sagt John Jeffrey, der Leiter der Rechtsabteilung. Aber das Urteil habe "nicht die erhoffte Klarheit gebracht, die Icann gesucht hatte, als man die einstweilige Verfügung einreichte".

Laut Lars Steffen vom Eco-Verband der Internetwirtschaft ist die Datenschutz-Diskussion bei der Domain-Vergabe längst politisch geworden. Die Icann sammle so viele Daten, weil "unterschiedliche Interessen in der Community vorherrschen", sagt Lars Steffen im Gespräch mit SPIEGEL ONLINE. In den USA seien "vor allem "Strafverfolger und Markenrechtsvertreter an zusätzlichen Angaben wie dem Admin-C und Tech-C interessiert."

Die vielen Interessen seien auch der Grund, warum eine Reform bisher gescheitert ist und es keine Richtlinie gebe, die "nach unserer Auffassung den Vorgaben der DSGVO entspricht". Das führt die Vertragspartner unweigerlich in eine Zwickmühle: Registrare wie Epag würden vor die Wahl gestellt, ob sie gegen den Vertrag mit der Icann oder gegen die DSGVO verstoßen, sagt Steffen.

So hat die Denic auf die DSGVO reagiert

Die Denic hatte bereits im Februar dieses Jahres mit einer radikalen Änderung auf die DSGVO reagiert. Auch Admin-C und Tech-C werden nicht mehr abgefragt. Außerdem erfährt man dort nicht mehr öffentlich, wer eine Website mit der Endung ".de" betreibt.

Diese sogenannte Whois-Abfrage ist bei der Denic und auch bei anderen Firmen wie GoDaddy nicht länger möglich: Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic, GoDaddy und andere jetzt nur noch an Nutzer heraus, die per Formular ein berechtigtes Interesse nachweisen. Das gilt etwa für den Betreiber einer Website, der wissen möchte, was alles über ihn selbst gespeichert wird. Außerdem gibt die Denic auch dann Daten weiter, wenn Strafverfolger oder Finanzbehörden den Domain-Inhaber ermitteln wollen.

Die eingeschränkte Whois-Abfrage erschwert zudem Journalisten und IT-Sicherheitsforschern die Arbeit im Netz. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, Hintermänner solcher Netzwerke ausfindig zu machen und aufzudecken, wer sich hinter zwielichtigen Seiten verbirgt.

Das Thema Whois treibt auch die Icann um. Justiziar Jeffrey sagte nach dem Urteilsspruch, man werde weiter mit der EU im Gespräch bleiben, um zu klären, wie sich die DSGVO auf so genannte Whois-Abfragen auswirkt. Die Organisation gibt seit Kurzem auch nicht mehr uneingeschränkt alle Daten eines Domain-Inhabers heraus, bezeichnet das aber als "Zwischenlösung".



insgesamt 22 Beiträge
Alle Kommentare öffnen
Seite 1
themistokles 01.06.2018
1.
Nun ja, über die Auskünfte über die Admin- Zugänge kann man ja noch diskutieren. Aber die restlichen Daten? Sollten eigentlich selbstverständlich sein und ich würde es begrüßen, wenn so etwas sogar Pflicht werden würde. Denn nicht alle Seiten im Internet haben legalen Content ...
Steve B 01.06.2018
2. Impressum vs. WhoIs?
Wie passt dieses Versteckspiel bei den Whois-Abfragen eigentlich zu der Pflicht, den Betreiber im Impressum einer Website zu benennen?
count.number 01.06.2018
3. Was früher für Alle transparent war ist es jetzt nicht mehr
Vor der DSVGO konnte jeder bei der DENIC den Domäneninhaber und rechtlich Verantwortlichen einsehen. Jetzt nicht mehr.. Was jetzt daran gut sein soll, will mir nicht so einleuchten.
M. Michaelis 01.06.2018
4.
Das ist nicht nur ein Rückschlag für die ICANN sondern auch für die Tansparenz im Internet. Das hat mit Datenschutz nichts zu tun sondern schützt vor allem Kriminelle. Ein so hirnloser Datenschutz ist schlichtweg eine Katastrophe.
vox veritas 01.06.2018
5.
Find ich gut. Journalisten müssen auch nicht alles wissen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.