Aktuelles, Branche - geschrieben von cp am Dienstag, Oktober 2, 2018 16:18 - noch keine Kommentare
DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen
Umfang erhobener Daten muss reduziert werden
[datensicherheit.de, 02.10.2018] Domain-Registrare müssen künftig einen geringeren Datenumfang von ihren Kunden erheben. Zuletzt hat die Internetverwaltung ICANN diesbezüglich einen Gerichtsstreit verloren. „Tatsächlich hat die ICANN die zweijährige Übergangsfrist zur DSGVO verschlafen und konnte sich im Streit über die datenrechtskonforme Erfassung von Domain-Besitzern nicht durchsetzen“, begründet Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG.
Dem vorausgegangen war ein Streit zwischen dem hier beheimateten Registrar EPAG und ICANN: Die ICANN wollte, dass die Kontaktdaten der technischen und administrativen Domain-Verwaltung (Tech-C und Admin-C) auch nach Inkrafttreten der EU-Datenschutzgrundverordnung erhoben und ihr mitgeteilt werden. EPAG jedoch weigerte sich, persönliche Daten zu verarbeiten, zu denen der Registrar keinen direkten Bezug hat. „Damit folgte die EPAG dem Beispiel der Denic, die für die Vergabe von .de-Domains zuständig ist und diese Informationen ebenfalls nicht mehr erfasst, wodurch der Datenzugang für Dritte deutlich eingeschränkt wurde“, erklärt Heutger. Mit einer Klage wollte die ICANN erreichen, dass zusätzliche Daten trotz DSGVO auch in Zukunft sowohl erhoben als auch ihr mitgeteilt werden können. Diese wies das Bonner Landgericht zurück, wodurch EPAG nicht mehr verpflichtet ist, Daten zur technischen sowie administrativen Domainverwaltung zu erheben.
Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG
Registrare, die sich seit 25. Mai 2018 datenschutzkonform verhalten wollen, fehlt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie des Ansprechpartners für technische und administrative Belange der Website. „So genannte Whois-Abfragen sind seit Inkrafttreten der DSGVO nicht mehr in der uns bekannten Form möglich. Davor konnte ein Domaininhaber zum Beispiel ganz einfach über eine Whois-Abfrage ermittelt werden, indem der Rechteinhaber auf der Website des Registrars die entsprechende Web-Adresse eingab. Sofort erhielt er Informationen über die Identität des Domaininhabers und den Ansprechpartner für technische und administrative Belange dieser Domain“, blickt der IT-Sicherheitsexperte zurück und ergänzt in Bezug auf den Gerichtstreit zwischen EPAG und ICANN: „Die ICANN beispielsweise konnte nicht glaubhaft darlegen, dass das Speichern jener Daten, die über die Information des Domaininhabers hinausgehen, erforderlich ist. Vor dem Hintergrund des in der DSGVO verankerten Grundsatzes der Datensparsamkeit konnte das Gericht nicht erkennen, wozu zusätzliche Daten erhoben werden.“ Zudem hat die ICANN eingeräumt, dass Domains registriert werden können, wenn diese drei Datensätze identisch sind.
In diesem Zusammenhang macht Heutger auch auf Zertifizierungsstellen aufmerksam: „Durch die Änderungen bei der Herausgabe von Daten, die im Zusammenhang mit einer Domain gespeichert werden dürfen, haben auch die Zertifizierungsstellen ihre Validierungsguidelines angepasst. Somit werden bei DV-Zertifikaten nicht mehr die im WHOIS hinterlegten E-Mail-Adressen zur Bestätigung herangezogen. Ebenso können bei OV- und EV-Zertifikaten die Angaben aus dem WHOIS nicht mehr für die Organisationsvalidierung genutzt werden.“
Weitere Informationen zum Thema:
PSW Group Blog
Daten im WHOIS minimieren: ICANN verschläft DSGVO-Frist
datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS
datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren