Kontaktdaten der Domain-Verwaltung
Wegen DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen
Registrare, die sich seit 25. Mai 2018 datenschutzkonform verhalten wollen, fehlt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie des Ansprechpartners für technische und administrative Belange der Website
Domain-Registrare müssen künftig einen geringeren Datenumfang von ihren Kunden erheben. Zuletzt hat die US-amerikanische Internetverwaltung ICANN diesbezüglich einen Gerichtsstreit verloren. "Tatsächlich hat die ICANN die zweijährige Übergangsfrist zur DSGVO verschlafen und konnte sich im Streit über die datenrechtskonforme Erfassung von Domain-Besitzern nicht durchsetzen", begründet Christian Heutger, Geschäftsführer der PSW Group GmbH & Co. KG.
Dem vorausgegangen war ein Streit zwischen dem hier beheimateten Registrar EPAG und ICANN: Die ICANN wollte, dass die Kontaktdaten der technischen und administrativen Domain-Verwaltung (Tech-C und Admin-C) auch nach Inkrafttreten der EU-Datenschutzgrundverordnung erhoben und ihr mitgeteilt werden. EPAG jedoch weigerte sich, persönliche Daten zu verarbeiten, zu denen der Registrar keinen direkten Bezug hat. "Damit folgte die EPAG dem Beispiel der Denic, die für die Vergabe von .de-Domains zuständig ist und diese Informationen ebenfalls nicht mehr erfasst, wodurch der Datenzugang für Dritte deutlich eingeschränkt wurde", erklärt Heutger. Mit einer Klage wollte die ICANN erreichen, dass zusätzliche Daten trotz DSGVO auch in Zukunft sowohl erhoben als auch ihr mitgeteilt werden können. Diese wies das Bonner Landgericht zurück, wodurch EPAG nicht mehr verpflichtet ist, Daten zur technischen sowie administrativen Domainverwaltung zu erheben.
Registrare, die sich seit 25. Mai 2018 datenschutzkonform verhalten wollen, fehlt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie des Ansprechpartners für technische und administrative Belange der Website.
"So genannte Whois-Abfragen sind seit Inkrafttreten der DSGVO nicht mehr in der uns bekannten Form möglich. Davor konnte ein Domaininhaber zum Beispiel ganz einfach über eine Whois-Abfrage ermittelt werden, indem der Rechteinhaber auf der Website des Registrars die entsprechende Web-Adresse eingab. Sofort erhielt er Informationen über die Identität des Domaininhabers und den Ansprechpartner für technische und administrative Belange dieser Domain", blickt der IT-Sicherheitsexperte zurück und ergänzt in Bezug auf den Gerichtstreit zwischen EPAG und ICANN: "Die ICANN beispielsweise konnte nicht glaubhaft darlegen, dass das Speichern jener Daten, die über die Information des Domaininhabers hinausgehen, erforderlich ist. Vor dem Hintergrund des in der DSGVO verankerten Grundsatzes der Datensparsamkeit konnte das Gericht nicht erkennen, wozu zusätzliche Daten erhoben werden." Zudem hat die ICANN eingeräumt, dass Domains registriert werden können, wenn diese drei Datensätze identisch sind.
In diesem Zusammenhang macht Heutger auch auf Zertifizierungsstellen aufmerksam: "Durch die Änderungen bei der Herausgabe von Daten, die im Zusammenhang mit einer Domain gespeichert werden dürfen, haben auch die Zertifizierungsstellen ihre Validierungs-Guidelines angepasst. Somit werden bei DV-Zertifikaten nicht mehr die im WHOIS hinterlegten E-Mail-Adressen zur Bestätigung herangezogen. Ebenso können bei OV- und EV-Zertifikaten die Angaben aus dem WHOIS nicht mehr für die Organisationsvalidierung genutzt werden." (PSW Group: ra)
eingetragen: 07.10.18
Newsletterlauf: 30.10.18
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.