Datenschutz bei Domain-Anmeldungen Richter lassen die Icann abblitzen

Beim Anmelden einer Domain werden zu viele persönliche Daten gesammelt. Das hat das Landgericht Bonn anhand der DSGVO entschieden. Für die zentrale Vergabestelle für Internetadressen in den USA ist das ein Rückschlag.
Ethernet-Kabel (Symbolbild)

Ethernet-Kabel (Symbolbild)

Foto: Victoria Bonn-Meuser/ dpa

Die Richter am Landgericht Bonn haben eine erste Entscheidung entlang der EU-Datenschutzgrundverordnung (DSGVO) getroffen und der zentralen Vergabestelle für Internetadressen eine Abfuhr erteilt. Zwar wird die DSGVO erst seit einer Woche angewendet. Die Entscheidung aus Bonn könnte aber bereits Einfluss darauf haben, welche persönlichen Daten ein Nutzer bei der Anmeldung einer Domain künftig noch angeben muss.

Für die Internet Corporation for Assigned Names and Numbers (Icann) ist das ein Rückschlag. Das Non-Profit-Unternehmen kümmert sich darum, dass Website-Namen im Netz nicht doppelt vergeben werden und alle IP-Adressen zur richtigen Internetseite führen. Das Problem: Die Icann will nicht nur wissen, wer die Seite betreibt. Das US-Unternehmen will auch Namen, Adressen und Telefonnummern von der Person mit vollen Zugriffsrechten auf die Website (Admin-C) und einem technischen Verantwortlichen (Tech-C). Diese Datensammlung geht einigen Vertragspartnern zu weit.

Unter anderem wehrt sich der deutsche Domain-Händler Epag dagegen. Das Unternehmen aus Bonn darf Domains mit Erlaubnis der Icann in Deutschland, Österreich und der Schweiz verkaufen, muss aber laut Vertrag neben den persönlichen Daten des Seitenbetreibers auch Admin-C und Tech-C an die Icann übermitteln. Man sei dazu verpflichtet worden, personenbezogene Daten zu erheben und weiterzugeben, "obwohl wir dafür möglicherweise keine rechtliche Grundlage hatten", heißt es in einem Blogbeitrag . Einige Daten seien zudem überflüssig.

Icann stellt Eilantrag vor Gericht

Auf Grundlage der DSGVO hatte sich Epag dazu entschlossen, nur noch Adressdaten der Domain-Besitzer zu notieren und auf Admin-C und Tech-C zu verzichten. Man sehe sich gezwungen, die Daten "von Personen zu verarbeiten zu denen wir nicht einmal einen direkten Bezug haben", heißt es bei Epag.

Mit einer einstweiligen Verfügung versuchte die Icann diesen Vorstoß vor einer Woche zu verhindern ein. Doch Richter am Landgericht Bonn haben den Eilantrag nun abgewiesen und begründeten ihre Entscheidung (Pdf)  damit, dass personenbezogene Daten nach Artikel 5 der DSGVO nur für "festgelegte, eindeutige und legitime Zwecke" erhoben werden dürfen. Der Admin-C und Tech-C sind demnach unnötig. Es genüge, wenn der Domain-Inhaber bekannt ist, um bei Verstößen kontaktiert zu werden.

Die Icann zeigt sich enttäuscht von dem Urteil. Zwar schätze man, dass sich das Gericht mit dem Fall so schnell beschäftigt habe, sagt John Jeffrey, der Leiter der Rechtsabteilung. Aber das Urteil habe "nicht die erhoffte Klarheit gebracht, die Icann gesucht hatte, als man die einstweilige Verfügung einreichte".

Laut Lars Steffen vom Eco-Verband der Internetwirtschaft ist die Datenschutz-Diskussion bei der Domain-Vergabe längst politisch geworden. Die Icann sammle so viele Daten, weil "unterschiedliche Interessen in der Community vorherrschen", sagt Lars Steffen im Gespräch mit SPIEGEL ONLINE. In den USA seien "vor allem "Strafverfolger und Markenrechtsvertreter an zusätzlichen Angaben wie dem Admin-C und Tech-C interessiert."

Die vielen Interessen seien auch der Grund, warum eine Reform bisher gescheitert ist und es keine Richtlinie gebe, die "nach unserer Auffassung den Vorgaben der DSGVO entspricht". Das führt die Vertragspartner unweigerlich in eine Zwickmühle: Registrare wie Epag würden vor die Wahl gestellt, ob sie gegen den Vertrag mit der Icann oder gegen die DSGVO verstoßen, sagt Steffen.

So hat die Denic auf die DSGVO reagiert

Die Denic hatte bereits im Februar dieses Jahres mit einer radikalen Änderung auf die DSGVO reagiert . Auch Admin-C und Tech-C werden nicht mehr abgefragt. Außerdem erfährt man dort nicht mehr öffentlich, wer eine Website mit der Endung ".de" betreibt.

Diese sogenannte Whois-Abfrage ist bei der Denic und auch bei anderen Firmen wie GoDaddy nicht länger möglich: Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic, GoDaddy und andere jetzt nur noch an Nutzer heraus, die per Formular ein berechtigtes Interesse nachweisen. Das gilt etwa für den Betreiber einer Website, der wissen möchte, was alles über ihn selbst gespeichert wird. Außerdem gibt die Denic auch dann Daten weiter, wenn Strafverfolger oder Finanzbehörden den Domain-Inhaber ermitteln wollen.

Die eingeschränkte Whois-Abfrage erschwert zudem Journalisten und IT-Sicherheitsforschern die Arbeit im Netz. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, Hintermänner solcher Netzwerke ausfindig zu machen und aufzudecken, wer sich hinter zwielichtigen Seiten verbirgt.

Das Thema Whois treibt auch die Icann um. Justiziar Jeffrey sagte nach dem Urteilsspruch, man werde weiter mit der EU im Gespräch bleiben, um zu klären, wie sich die DSGVO auf so genannte Whois-Abfragen auswirkt. Die Organisation gibt seit Kurzem auch nicht mehr uneingeschränkt alle Daten eines Domain-Inhabers heraus, bezeichnet das aber als "Zwischenlösung ".

Die Wiedergabe wurde unterbrochen.