Whois: Bedrohung durch die DSGVO

Fortbestand des „öffentlichen Internetverzeichnisses“ zurzeit durch die neue europäische Datenschutz-Grundverordnung (DSGVO) gefährdet

Mit Beiträgen von Yann Lequerler, Jurist bei OVH mit Spezialisierung auf Domain-Fragen, und Marianne Georgelin, Verantwortliche für Registration Policy bei der AFNIC.

[datensicherheit.de, 28.06.2018] Das Whois, eine Wortschöpfung aus dem englischen „Who is“, erlaubt jedem Internetnutzer, den Inhaber einer Domain zu ermitteln. Der Fortbestand dieses „öffentlichen Internetverzeichnisses“, das häufig und manchmal missbräuchlich genutzt wird, ist zurzeit durch die neue europäische Datenschutz-Grundverordnung (DSGVO) bedroht. Einige Registrys, wie zum Beispiel die AFNIC (Association Française pour le Nommage Internet en Coopération), die unter anderem die Domains .fr verwaltet, haben bereits Vorkehrungen getroffen, um den Zugriff auf Informationen zum Domaininhaber einzuschränken. Werden andere diesem Beispiel folgen? Wird der Schutz der persönlichen Daten des Domaininhabers ebenso zum Kriterium für die Wahl der Domainendung wie die Originalität der URL oder ihre SEO-Optimierung? Die Diskussion ist eröffnet.

DSGVO: Warum sind wir alle betroffen?

Die europäische Datenschutz-Grundverordnung (DSGVO), die im Mai 2016 im Amtsblatt der Europäischen Union angekündigt wurde, tritt am 25. Mai 2018 in Kraft. Dieser Text hat Vorrang vor nationalen Gesetzen und vereinheitlicht so das Datenschutzrecht personenbezogener Daten auf europäischer Ebene. OVH hat erst kürzlich sein Engagement zu diesem Thema verstärkt und damit begonnen, die Allgemeinen Geschäftsbedingungen im Rahmen der DSGVO sowie des von OVH mitverfassten CISPE Code of Conduct zu überarbeiten.
Dieser europäische Verordnungstext stellt eine Revolution der elektronischen Verarbeitung personenbezogener Daten dar. Daher ist er zunehmend in aller Munde und steht auch bei den Geschäftsleitungen großer Unternehmen auf der Tagesordnung. Der Umgang mit personenbezogenen Daten ist nun wesentlich strikter geregelt, als in den meisten bisherigen nationalen Bestimmungen. Datenschutz-Folgenabschätzung (1), Datenübertragbarkeit, Einholen und Widerruf der Einwilligung oder Profiling von Nutzern − die DSGVO veranlasst viele große und kleine Unternehmen, ihre Prozesse mit der neuen Regelung in Einklang zu bringen. Abgesehen von den drohenden Strafen, die in der Tat abschreckend sind (es drohen bis zu 4 % des Unternehmensumsatzes), geht es für die Unternehmen auch und vor allem darum, den Nutzern, die sich zunehmend um Schutz und Verwendung ihrer personenbezogenen Daten sorgen, mehr Garantien zu geben.

Die Verarbeitung personenbezogener Daten bei der Domainregistrierung: ein Konflikt zwischen den Ansichten zum Schutz des Privatlebens in Europa und den USA

In diesem Kontext steht die rechtliche Diskussion zwischen europäischen Domain Registrys wie AFNIC und Registraren wie OVH (führender Registrar in Frankreich und Platz 2 in Europa) auf der einen Seite und der ICANN auf der anderen Seite. Als bedeutendste Regulierungsstelle des Internets verwaltet die ICANN die Vergabe der Top-Level-Domains (gTLD). Die Organisation unterliegt amerikanischem Recht und akkreditiert Registrys wie VeriSign (.com, .net), Donuts (die einen Teil der neuen Extensions wie .social, .media, .email etc. verwaltet), Affilias (.info, .pro, …) oder etwa die Stadt Paris (.paris), sowie Registrare (beispielsweise OVH).

Einige der vertraglichen Verpflichtungen, um als Registrar bei der ICANN akkreditiert zu werden und die Endungen der für gTLD und neue gTLD zuständigen Registrys zu vermarkten, scheinen nicht vereinbar mit dem künftigen europäischen Gemeinschaftsrecht.

Hierzu gehört auch die Verbreitung personenbezogener Daten (Adressen) des Domaininhabers im Rahmen des Whois-Dienstes, die von den Registrys und Registraren zu übermitteln sind(2). Das ist jedoch nicht alles: Die Übermittlung dieser Daten vom Registrar über das Registry bis hin zu weiteren Domainverwaltern an die ICANN wirft weitere Fragen auf. Zum Beispiel zum Transfer personenbezogener Daten außerhalb der Europäischen Union und zu deren Aufbewahrungsdauer. Darüber hinaus sind auch die Verantwortlichkeitsbereiche der einzelnen Parteien nicht klar definiert: Wer ist zuständig für die Verarbeitung und wie sind beispielsweise die Verpflichtungen im Falle eines Datenlecks?
Die DSGVO schreibt außerdem vor, dass Nutzer besser über die Verarbeitung und den konkreten Zweck ihrer personenbezogenen Daten informiert werden. Und zwar noch bevor der Registrar vom Nutzer eine informierte Einwilligung einholt. Es wird schnell deutlich, dass es viel Arbeit bedeutet, die aktuellen Praktiken mit den in der DSGVO aufgeführten Pflichten in Einklang zu bringen.

In Deutschland ist die Denic die zentrale Regierungsstelle und verwaltet das Register aller .de-Domains. Mit Inkrafttreten der DSGVO werden nur noch die Kontaktdaten des Domaininhabers, zwei zusätzliche E-Mail-Adressen als Kontaktmöglichkeit für Missbrauchsfälle sowie allgemeine und technische Anfragen wie auch die üblichen technischen Domaindaten erfasst. Was die Denic nicht mehr erfasst: AdminC“-Daten, „TechC“-Daten sowie „ZoneC“-Daten.
Die zwei nicht personalisierten Mail-Adressen liegen in der Verantwortung des Registrars. Sie sind notwendig für allgemeine und technische Anfragen („General Request“) sowie für Missbrauchsmeldungen („Abuse“).

Warum das Whois ein Problem darstellt

Das Whois ist ein frei zugänglicher Dienst, über den man Informationen zum Domaininhaber erhalten kann: Name, Vorname, (gegebenenfalls) Unternehmen, postalische und elektronische Adresse und Telefonnummer. Durch diesen langjährigen Internetdienst, der 1982 eingerichtet wurde, konnte man verzeichnen und ermitteln, wer Informationen über das Arpanet, den Vorgänger des Internets, übermittelte. Der Dienst wurde seither von sämtlichen Registrys auf der Grundlage von mehr oder weniger homogenen RFC-Standards gemeinsam fortgeführt. Dies geschah einerseits aus Gründen der Transparenz, auf die die Pioniere des Internets großen Wert legten. Vermutlich wurde das Whois aber auch beibehalten, weil sich die verschiedenen Interessensgruppen des Internets − Registrare, Gerichte, Markeninhaber, Organisationen zur Eindämmung von Spam, Autoren urheberrechtlich geschützter Werke usw. − darüber einig waren, dass ein solcher Dienst notwendig ist.

Whois stellt folglich von Grund auf ein Problem für den Schutz des Privatlebens dar. Die öffentliche Verbreitung der Identität sowie weiterer Angaben zum Inhaber einer Domain ermöglicht die kommerzielle Nutzung dieser Daten ohne vorhergehende Einwilligung, und natürlich auch Spam. Bestimmte Unternehmen haben sich darauf spezialisiert, die Daten aus dem Whois in regelmäßigen Abständen zu extrahieren, um den Inhalt zu archivieren und diese Daten anschließend zu vermarkten – auch zusammen mit weiteren Angaben basierend auf der wahrscheinlichen Tätigkeit des Inhabers (Registrant), auf die anhand der Wörter im Domainnamen (die vor dem Punkt der Top-Level-Domain stehen) geschlossen werden kann.

Natürlich kann das Whois für legitime Zwecke genutzt werden, beispielsweise zum Markenschutz (durch Anti-Cybersquatting oder Anti-Typosquatting Dienste oder das Trademark Clearinghouse). Manch andere Einsatzzwecke sind da schon überraschender. Es ist zum Beispiel möglich, Benachrichtigungsdienste zu abonnieren, die nicht auf der Domain basieren, sondern auf deren Inhaber. So können Ihre Wettbewerber auch darüber informiert werden, welche neuen Domains Sie gerade registrieren lassen!

Diese Dienste, die die Daten des Whois ausnutzen, operieren heute in einer rechtlichen Grauzone, die durch die DSGVO geschlossen werden soll. Amerikanische Akteure, allen voran die ICANN, müssen jedoch noch von den Vorteilen eines Modells überzeugen werden, das mehr Schutz für persönliche Daten bietet. Auch wenn Anonymität es einigen ermöglicht, Domains zu registrieren, auf denen sie umstrittene oder widerrechtliche Inhalte veröffentlichen können, ist sie doch gleichzeitig eine Garantie für die Meinungsfreiheit. Cybermobbing, das an sich schon eine unangenehme Erfahrung darstellt, kann schnell zur Belästigung „in real life“ werden, wenn sich der Eigentümer einer Website beispielsweise zu einer religiösen, sexuellen oder politischen Gemeinschaft bekennt.

Die AFNIC als Vorreiter der eingeschränkten Verbreitung von Whois-Daten

Die nationalen Endungen (ccTLD), wie zum Beispiel .de, .fr, .be, … sind vertraglich nicht in gleicher Weise mit der ICANN verbunden wie die generischen Endungen. Sie werden direkt und vollkommen unabhängig von den jeweiligen Staaten verwaltet. So wurde in Frankreich die AFNIC, eine gemeinnützige Organisation, vom Staat als Registrierungsstelle für .fr und geografische Endungen für Regionen in Übersee (.re, .tf, .yt, .pm und .wf) eingesetzt.

Da die AFNIC mit der ICANN lediglich durch eine gegenseitige Anerkennungsvereinbarung verbunden ist, führte sie 2006 ein Verfahren zur Anonymisierung der Whois-Daten ein, das grundsätzlich für jede Privatperson (natürliche Person) gilt, die eine Domain unter .fr, .re, .tf, .yt, .pm oder .wf registriert.
Im Eintrag für Ihre Website im Whois-Verzeichnis werden Ihre persönlichen Adressdaten (Name, Adresse, Telefon usw.) somit durch eine Bemerkung zum eingeschränkten Zugriff ersetzt. Diese Adressdaten sind nur zugänglich, wenn ein ausdrückliches und begründetes Ersuchen an die juristische Abteilung der AFNIC gerichtet wird, woraufhin ein sogenanntes Verfahren zur Aufhebung der Anonymität (franz.: „procédure de levée d‘anonymat“) eingeleitet wird. Geschäftliche Kontaktdaten, die vom Vertreter einer juristischen Person (Eigentümer, Verwaltungs- und Rechnungskontakt oder technischer Kontakt, die auch ein und dieselbe Person sein können) angegeben werden, bleiben hingegen im Whois frei zugänglich.
Das Vorgehen der AFNIC wurde von der französischen Datenschutzbehörde CNIL und durch eine Entscheidung des Pariser Berufungsgerichts aus dem Jahr 2012 bestätigt und hat sich inzwischen als wegweisend erwiesen. Einige andere Registrys, die für die Verwaltung nationaler Endungen zuständig sind, haben sich seither an dieser Verfahrensweise orientiert. So findet sich dieses optionale System einer eingeschränkten Verbreitung personenbezogener Daten auch bei der Registrierung einer Domain auf .eu (von EURid verwaltet) oder .cat (neue Endung für Katalonien).

Folgendes ist jedoch zu beachten: Bei Endungen wie .paris, .alsace, .bzh, .corsica, … oder auch .ovh, für welche die AFNIC die Rolle eines technischen Dienstleisters (Registry Service Provider) übernimmt, handelt es sich nicht um nationale Endungen (ccTLD), sondern um generische Top-Level-Domains (gTLD). Diese Endungen unterliegen daher vertragsrechtlich den Vereinbarungen mit der ICANN, deren Bestimmungen zurzeit keine Anonymisierung der Angaben im Whois zulassen. Die Möglichkeiten zur eingeschränkten Verbreitung bieten daher um einiges weniger Schutz, wie wir im Folgenden sehen werden.

Grenzen der Anonymisierungs-Dienste (Privacy Services) für gTLDs

Was gTLDs betrifft (.com, .org, .net, .ovh, .top, .pro, .xyz, .paris, .online, .mobi, um nur einige zu nennen, die bei OVH am häufigsten verkauft werden), macht die ICANN klare Vorgaben zur Verwaltung der Registrys. Und hier gelten völlig andere Spielregeln. Auch wenn die ICANN Verfahrensweisen zum Thema „Privacy“ im Whois zulässt (ohne sie jedoch zu unterstützen), erlaubt sie selbst bei natürlichen Personen keine vollständige Anonymisierung. Ihr(e) Name(n) und Vorname(n) – im Plural für den Fall, dass Eigentümer und Verwaltungs-, Rechnungs- und technischer Kontakt nicht ein und dieselbe Person sind – werden systematisch im Whois angezeigt.

Einige Registrys setzen zwar nicht auf die eingeschränkte Verbreitung von Whois-Daten, haben aber interessante Zwischenlösungen gefunden (auch wenn diese nicht unbedingt zufriedenstellend sind). So hat zum Beispiel das Registry für .amsterdam den Zugriff auf seinen Whois-Server eingeschränkt und verlangt von Anfragenden zunächst die Unterzeichnung eines Nutzungsvertrages. Wieder andere Registrys lehnen es grundsätzlich ab, dass durch Registrare Teil-Anonymisierungsverfahren egal welcher Art eingeführt werden.

Soweit dies von dem für die jeweilige Endung zuständigen Registry erlaubt ist, bietet OVH einen optionalen kostenlosen Anonymisierungsdienst (Privacy Service) für bestimmte Angaben im Whois an: für Postadresse, E-Mail und/oder Telefonnummer (für natürliche Personen, juristische Personen können nur ihre E-Mail-Adresse verbergen). Im Rahmen des OWO Dienstes leitet OVH Ihre E-Mails über eine E-Mail-Adresse weiter, die speziell für diesen Zweck eingerichtet wird und über einen Spamschutz verfügt, und sendet Ihnen gegebenenfalls empfangene Postsendungen (wie zum Beispiel ein Aufforderungsschreiben) nach. Dabei wird Ihre Adresse zu keiner Zeit verbreitet oder gar weiterverkauft.
Der OWO Dienst bietet so einen minimalen Schutz, kann aber weder die Anonymität des Inhabers noch einen umfassenden Schutz gegen unerwünschte Werbeangebote gewährleisten. Denn der Abgleich von Daten durch Dritte ist zwar illegal, jedoch nicht unmöglich.

An dieser Stelle eine Warnung an jene, die versucht sind, bei der Registrierung einer Domain falsche Informationen anzugeben: Dieser Trick kann einem teuer zu stehen kommen. Die ICANN führt regelmäßig Kontrollen durch und kann beim Registrar eine Kopie des Identitätsnachweises des Inhabers anfordern. In Betrugsfällen hat sie das Recht, die Abschaltung der Domain zu verlangen. Genau aus diesem Grund, d. h. um die Richtigkeit der Informationen zu überprüfen, muss der Registrar jedes Jahr eine E-Mail an jeden Inhaber einer generischen Domain (gTLD) senden und um Bestätigung der Angaben bitten, die bei der Registrierung gemacht wurden. Außerdem verstößt man durch falsche Angaben auch gegen die besonderen Vertragsbedingungen, die man gegenüber OVH mit der Bestellung seiner Dienstleistungen unterzeichnet hat. Gleiches gilt für Inhaber von Domains mit der Endung .fr, deren Adressen in 25.000 Fällen pro Jahr durch die AFNIC überprüft werden, und deren Registrare ebenfalls zur Aktualisierung verpflichtet sind.

Bleibt noch der „Proxy-Registrierungsservice“, bei dem Sie einen Dritten dafür bezahlen, dass er Ihre Angaben durch die seinen im Whois ersetzt. Dieser Service ist jedoch teuer (schließlich geht der Dritte rechtliche Risiken ein, wenn er die Haftung als Inhaber übernimmt) und wurde insbesondere von anspruchsberechtigten Unternehmen bereits vor Gericht angegriffen, für die dieses Verfahren zur Anonymisierung der Domaininhaber das Einreichen von Klagen enorm erschwert.

Was ist die Zukunft des Whois?

Die Frist bis zum Inkrafttreten der DSGVO in den nächsten Monaten erhöht den Druck. Die ICANN wird die Empfehlungen der europäischen Registrys und Registrare, die eine Arbeitsgruppe gebildet haben, berücksichtigen müssen.

Diese Arbeitsgruppe, zu der auch die AFNIC und OVH gehören, arbeiten zurzeit daran, ein für die Beteiligten akzeptables Modell zu entwerfen, das die Praktiken der ICANN an das Gemeinschaftsrecht anpasst. Diese mit Sicherheit hitzigen Diskussionen betreffen einerseits die Verfahren zur Anonymisierung der Whois-Angaben. Allgemeiner geht es auch um den Lebenszyklus jener Daten, die von Registrys und Registraren im Rahmen ihrer Tätigkeit gesammelt werden. Wo werden diese Daten gespeichert? Wie lange werden sie nach Ablauf eines Vertrages aufbewahrt? Es stellen sich viele Fragen, bei denen die Nutzer dank der DSGVO ein Anrecht darauf haben, genaue und zufriedenstellende Antworten zu erhalten.

Dies könnte zu einer Klärung der verschiedenen Schutzniveaus führen, die von den Registrys für die personenbezogenen Daten der Registranten angeboten werden. Die Wahl Ihres nächsten Domainnamens wird das vermutlich nicht leichter machen… Aber jetzt wissen Sie wenigstens, dass es einen guten Grund dafür gibt.

Wir werden auf diese Debatten und ihre Tragweite beim Treffen des Koordinierungskomitees der AFNIC am 12. Oktober zurückkommen. Dieses steht ausnahmsweise allen offen, um über die DSGVO und ihre Auswirkungen auf unser Business und die betroffenen Kunden zu diskutieren.

Fortsetzung folgt…

(1) Eine Folgenabschätzung ist bei der Übertragung von personenbezogenen Daten außerhalb der EU oder in Fällen vorgeschrieben, die mit Risiken verbunden sind.
(2) Bei einigen Domainendungen übernehmen die Registrare die Veröffentlichung des Whois. Das ist der Unterschied zwischen „Thick“ und „Thin“ Whois. So ist zum Beispiel die Endung .com zurzeit ein „Thin Whois“. Das heißt, dass der Registrar das Whois veröffentlicht. Dieses System wird sich ändern. Die ICANN hat eine neue Leitlinie veröffentlicht, die alle Registrys, die gTLD-Domains verwalten, dazu verpflichtet, das „Thick Whois“-Verfahren einzuführen. Das bedeutet, dass das Registry selbst die Veröffentlichung des Whois übernimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017