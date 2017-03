(Bild: heise online / Monika Ermert)

Die Internet Corporation Assigned Names and Numbers segelte bislang gerne unter dem Datenschutzradar der Behörden hindurch. Mit dem Inkrafttreten der Datenschutzgrundverordnung könnte sich das grundsätzlich ändern.

Die Internet Corporation for Assigned Names and Numbers (ICANN) kann wegen Verstößen gegen europäisches Datenschutzrecht ab dem kommenden Jahr Ziel kostspieliger Klagen werden. Das machte Giovianni Buttarelli, European Data Protection Supervisor, der privaten Namensverwaltung auf deren 58. Treffen in Kopenhagen klar. Über viele Jahre habe die ICANN von den Datenschützern erhobene Forderungen in den Wind geschlagen. Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung im kommenden Jahr könnte es für die ICANN teuer werden.

Vor 13 Jahren hatte sich die Artikel29-Gruppe der europäischen Datenschützer mit drei Fragen erstmals an die private Namensverwaltung gewandt, erinnerte Buttarelli: Warum kann ein Domainnutzer seinen Eintrag nicht ebenso aus dem öffentlichen Anschlussverzeichnis sperren lassen wie ein Telefonanschlussinhaber? Gibt es eine datenschutzfreundlichere Variante für das Whois? Wie wird der massenhafte Verkauf von Domaindaten an Dritte gerechtfertigt? Bislang sei die ICANN die Antworten zu Zweck und Verhältnismäßigkeit von Whois und Datentransfers jedoch schuldig geblieben.

Ursprünglich dienten die im Whois verzeichneten Daten dazu, Inhaber bei technischen Problemen kontaktieren zu können. Die Daten darüber hinaus zu nutzen sei nicht einfach so gerechtfertigt, sagte der Vorsitzende der Artikel-29-Arbeitsgruppe, der dänische Datenschutzbeauftragte Wilbert Thomesen.

"Wenn die ICANN ein Problem damit hat, wie Datenschutzprinzipien umgesetzt werden, können wir helfen, bevor wir die erste Klage haben", versicherte Buttarelli. Dass es eine solche Klage geben werde, wenn ICANN keine Änderungen vornimmt, daran ließen er und Thomesen wenig Zweifel. Die europäischen Datenschutzbeauftragten seien ab Mai 2018 verpflichtet, Verstöße zu verfolgen.

Streitgegenstand: Whois, Datentransfers, Data Retention

Registrare und Nutzervertreter haben seit mehr als einem Jahrzehnt auf Widersprüche zwischen den von ICANN gemachten Vertragsklauseln und nationalem Datenschutzrecht aufmerksam gemacht. Hohe Wellen schlug zuletzt eine vor allem auf die Initiative von Strafverfolgern und Urheberrechts- und Markeninhabern eingeführte Vorratsdatenspeicherung für Domaininhaberdaten. Ausnahmeregelungen räumt die ICANN Registraren aus Ländern mit strikten Datenschutzbestimmungen nur widerwillig und nicht selten erst nach jahrelangen Verhandlungen ein.

Einer lokalen Datenhaltung für Whois-Daten samt möglicher Einschränkungen für den Zugriff hat die ICANN auch durch die Entscheidung für ein "Thick Whois" einen Riegel vorgeschoben. Ein aktueller Effekt der Thick Whois-Politik ist, dass Registrare in Europa demnächst Daten ihrer .com-Domaininhaber an die .com-Registry VeriSign übertragen müssen. Ob das mit der Datenschutzgrundverordnung überhaupt möglich sei, wollte am Montag Keith Drazek von VeriSign von Buttarelli und seinen Kollegen wissen. Betroffen ist immerhin ein erklecklicher Teil der 142 Millionen .com-Adressen.

Datenschutzrechtlich umstritten und wettbewerbsrechtlich fragwürdig sind schließlich die Auflagen der ICANN zur Absicherung der Registrydaten. Über Jahre war lediglich das US-Unternehmen Iron Mountain als Back-Up-Escrow-Provider zugelassen.

Um einen US-Transfer der Registrierdaten kamen Registrare und Registries für generische Top Level Domains am Ende also nie herum. Die .de-Registrierstelle Denic versucht derzeit, mit einem eigenen Escrow-Service eine Bresche zu schlagen. Allerdings: Für den Denic-Escrow-Service müssen Registrare bezahlen, die Speicherung bei Iron Mountain übernimmt die ICANN, und die würde auf die Daten im Streitfall nach wie vor gerne zugreifen. (anw)