Der Europäische Datenschutzausschuss hat in einem Brief Stellung zu dem ersten Vorschlag der ICANN über ein neues Modell der Whois-Datenbank genommen (wir hatten berichtet). Der Vorschlag hatte Zugriffsberechtigungen für Strafverfolger aber auch Inhaber von Markenrechten, Security Experten, sowie individuelle Nutzer auf personenbezogene Daten der Whois-Einträge vorgesehen. Die Datenschützer betonen die Notwendigkeit zwischen den verschiedenen Verarbeitungstätigkeiten der Zugriffsberechtigungen zu unterscheiden. Die ICANN vermische die Zwecke ihrer eigenen Datenverarbeitung im Rahmen der Whois-Datenbank mit möglichen berechtigten Interessen Dritter, die ggf. als Rechtsgrundlage für deren Erhebung bzw. Zugriff auf die Whois Daten dienen. Dabei verweist der Ausschuss auf Art. 6 Abs. 1 S. 1 lit. f DSGVO, der eine Verarbeitung zur Wahrung der berechtigten Interessen eines Dritten ermöglicht, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Personenbezogene Daten aus der Whois-Datenbank könnten demnach Dritten zur Verfügung gestellt werden, wenn diese ein berechtigtes Interesse an der Datenverarbeitung haben und geeignete Schutzmaßnahmen zur Weitergabe in angemessenem und auf das erforderliche beschränkte Maß getroffen seien. Dazu gehöre auch die Mitteilung der Informationen an die betroffene Person.
Erhebung personenbezogener Daten der Registranden
Auch zu dem Streitpunkt des Umfangs erhobener Daten nimmt der Ausschuss in dem Brief Stellung und bestätigte die Position des Landgerichts Bonn. Datenschutzrechtlich sei die Angabe personenbezogener Daten einzelner Mitarbeiter der Registranden, die administrative oder technische Funktionen erfüllen, nicht erforderlich. Registranden seien daher nicht verpflichtet diese anzugeben und könnten stattdessen auf die Kontaktdaten der Registranden selbst verweisen.
Die Möglichkeit weitere personenbezogene Kontaktdaten freiwillig anzugeben solle den Betroffenen transparent mitgeteilt werden. Zudem stellt der Ausschuss klar, dass lediglich personenbezogene Daten vom Anwendungsbereich der DSGVO umfasst sind und Kontaktdaten einer juristischen Person nicht den Anforderungen unterliegen. Die Tatsache, dass Registranden auch eine juristische Person sein können, rechtfertige jedoch keine uneingeschränkte Veröffentlichung personenbezogener Daten von Mitarbeitern der juristischen Person.
Dauer der Datenverarbeitung und Aufbewahrungsfristen
Der Brief adressiert ebenfalls die zweijährige Aufbewahrungsfrist, die von der ICANN nach Beendigung der Domain Name Registrierung vorgesehen ist. Die ICANN solle demonstrieren wofür eine Speicherung der personenbezogenen Daten über zwei Jahren erforderlich sei. Zur Erinnerung: gemäß dem Grundsatz der Speicherbegrenzung dürfen personenbezogene Daten nur so lange verarbeitet werden, wie für den Zweck erforderlich ist, für den sie erhoben wurden (Art. 5 Abs. 1 lit. e DSGVO).
Bis zu einer DSGVO-konformen Whois-Datenbank wird also noch etwas Zeit vergehen.
Zusammenfassung Datenschutz-News KW 28/2018 - Datenschutzbeauftragter Tim Klein
21. Juli 2018 @ 14:58
[…] Der Zank um die Whois-Datenbanken geht in die nächste Runde, durch einen Brief vom Europäischen Datenschutzausschuss. Hier jeweils ein Artikel dazu aus IT-Sicht und Datenschutz-Sicht. […]