Nachdem wir bereits in früheren Beiträgen (hier und hier) die Funktionsweise der Geolokalisierung und den Ursprung der dafür erforderlichen Daten aus der Whois-Datenbank betrachtet haben, wollen wir uns in diesem Beitrag der datenschutzrechtlichen Perspektive der Whois-Datenbank widmen. Schließlich kann es sich auch bei den Kontaktinformationen des Besitzers einer IP-Adresse um personenbezogene Daten handeln, welche im Rahmen einer Whois-Abfrage durch jedermann abgerufen werden können. Daher stellt sich die Frage, ob die Veröffentlichung der Daten aus der Whois-Datenbank überhaupt zulässig ist.
Die verschiedenen Registrierungsstellen, die für die Vergabe von IP-Adressenbereichen zuständig sind (in Europa z.B. das RIPE NCC), veröffentlichen die Daten der Besitzer der IP-Adressen in der Whois-Datenbank. Diese Daten werden im Rahmen der Registrierung einer Domain oder der Vergabe von IP-Adressen in die Whois-Datenbank eingepflegt.
Dabei kann die Handhabung im Umgang mit der Erhebung und Veröffentlichung von Whois-Daten zwischen den verschiedenen Registries bereits variieren. Besonders veröffentlichungswillige Registries kommen immer wieder in die Kritik. Dies war z.B. der Fall als die Internet Corporation for Assigned Names and Numbers (ICANN) im Jahr 2006 vorschlug Telefonnummern von IP-Adressen-Besitzern im Rahmen von Whois-Einträgen öffentlich bereitzustellen.
Whois und DSGVO
Doch nun kommt ein weiterer wichtiger Aspekt hinzu der die Whois-Datenbank erheblich einschränken könnte: die Datenschutz-Grundverordnung, welche seit dem 25.5.2018 anwendbar ist, hat bereits ihre Auswirkungen auf die Whois-Abfrage. Denn das Whois-Protokoll stellt Daten zur Verfügung, die in den Anwendungsbereich der DSGVO fallen (z.B. Eigentümer, Name, Adresse, E-Mail-Adresse oder Telefonnummer einer Domain) und somit deren Anforderungen unterliegen. Die DSGVO verlangt, dass vor der Verarbeitung und Veröffentlichung personenbezogener Daten die Einwilligung der betroffenen Person einzuholen ist, wenn keine andere gesetzliche Grundlage besteht und zwar auch wenn das Unternehmen nicht in der EU ansässig ist. Der Anwendungsbereich der DSGVO ist durch das sogenannte Marktortprinzip bereits eröffnet, wenn sich das Angebot des Unternehmens an EU-Bürger wendet.
Dementsprechend sind auch Daten aus der Whois-Datenbank von der DSGVO betroffen und die Konformität der Whois-Datenbank mit der DSGVO steht in Frage. Schließlich wurden bisher die Daten ohne Einwilligung der Betroffenen veröffentlicht und waren für jedermann einsehbar. Die ICANN hatte bisher keine Lösung vorstellen können, die den europäischen Datenschützern reicht.[1] Während Strafverfolger mögliche Zugriffsrechte auf die gesamte Datenbank fordern, lehnt die Artikel-29-Gruppe dies ab und fordert eine konkretere Regelung des Zugriffs auf die künftig nicht mehr veröffentlichten Domaininhaberdaten. Auch die Sicherheit der Verarbeitung, die Speicherdauer und Datenübermittlungen in Drittländer stehen im Fokus der Kritik der Datenschützer. Deutsche Anbieter wie die Denic haben die Whois-Kontaktdaten bereits gesperrt. Die ICANN hingegen stellt die Informationen noch zur Verfügung und riskiert damit hohe Bußgelder zahlen zu müssen, denn seit dem 25.5. können Bußgelder von bis zu vier Prozent des Jahresumsatzes des verantwortlichen Unternehmens festgesetzt werden.
Die ICANN möchte eine Whois-Datenbank zur Verfügung stellen, die z.B. Strafermittlern, IT-Sicherheitsforschern und Markenrechtsanwälten teilweise Zugriff auf die Informationen ermöglicht und warnt, dass von einer Einschränkung Cyber-Kriminelle profitieren können. Doch dieser Vorschlag entspricht ebenfalls nicht der DSGVO. In der Tat könnte jedoch die Aufdeckung von Phishing-Angriffen, Spammern und Bot-Netzen mittels Whois-Abfragen erschwert werden. Auch die Verlässlichkeit der Geolokalisierung und die Ermittlung des Anbieters einer Webseite (wir hatten berichtet) würde nicht mehr im selben Umfang möglich sein. Die ICANN fordert in einer Mitteilung eine Ausnahmeregelung für die DSGVO und genug Zeit, um ein tragfähiges Modell zu implementieren.[2]
Streit zwischen den Registries
Der Vorschlag der ICANN für das neue Whois-Verfahren hat auch bereits Streitigkeiten innerhalb der Hierarchie der Registries ausgelöst. Die deutsche Registry EPAG, des kanadischen Unternehmens Tucows, hatte der ICANN mitgeteilt, aufgrund der DSGVO nicht nur eingeschränkt Whois Daten veröffentlichen, sondern auch keine administrativen und technischen Daten von Registranden mehr erfassen zu wollen, da dies gegen die DSGVO verstoße. Die ICANN fordert die Erfassung dieser Daten noch immer, auch wenn der Zugriff darauf in Zukunft eingeschränkt werden soll und hat bereits Klage gegen die EPAG eingereicht. Dies soll zu einer Klärung der unterschiedlichen Auslegung der DSGVO führen.[1] Die Entwicklung des Verfahrens und der Verlauf der Diskussion zwischen ICANN, Datenschützern und interessierten Kreisen bleibt daher mit Spannung zu beobachten.
[1] ICANN Mitteilung vom 25.5.2018, https://www.icann.org/news/announcement-2018-05-25-en.
[1] ARTICLE 29 Data Protection Working Party, Brief vom 11.04.2018 an Göran Marby, President and CEO of the Board of Directors der ICANN, https://www.icann.org/en/system/files/correspondence/jelinek-to-marby-11apr18-en.pdf.
[2] ICANN, Mitteilung vom 12.04.2018, https://www.icann.org/news/announcement-2018-04-12-en.
[3] ICANN Mitteilung vom 25.5.2018, https://www.icann.org/news/announcement-2018-05-25-en.