Datenschutz bei Domains: Wattislos bei Whois?

Die Whois-Abfrage gehört für Ermittlungsbehörden, Sicherheitsforscher und Domainhändler zum Standardprozedere. Sie ermöglicht die Antwort auf die Frage: Wer genau steckt eigentlich hinter einer Domain? Doch die Abfrage steht vor grundlegenden Änderungen, die Recherchen in Zukunft schwierig bis unmöglich machen könnten. Das zeigt sich an angekündigten Änderungen auf internationaler Ebene bei der Internetaufsicht Icann und konkret an einer veränderten Whois-Abfrage bei der Denic.

Die Denic-Genossenschaft verwaltet die Domains für die Domainendung .de und hat jetzt, wie andere Anbieter auch, die Regeln für die Abfrage geändert. Nutzer sollen künftig begründen, warum sie eine bestimmte Information haben wollen. Schuld daran ist die ab Mai angewendete Datenschutzgrundverordnung.

Das Whois-System ist aber keine deutsche Eigenheit, sondern geht auf Verträge der lokalen Registrare - wie eben Denic, mit der seit dem vergangenen Jahr von der US-Regierung unabhängigen Internet Corporation for Assigned Names and Numbers (Icann) - zurück. In einigen Ländern gibt es darüber hinaus gesetzliche Grundlagen, welche Informationen veröffentlicht werden müssen - in Deutschland ist dies aber nicht der Fall.

Bislang konnten Nutzer eine Domainabfrage bei der Denic mit wenigen Klicks erledigen. Anders als andere Anbieter veröffentlichte Denic zwar keine E-Mail-Adressen oder Telefonnummern, aber auch die Angabe des Namens stellt ein personenbezogenes Datum dar. In Zukunft sollen die Einschränkungen der Auskunft daher noch drastischer werden.

Stellenmarkt

1. Hays AG, Schleswig-Holstein
2. Robert Bosch GmbH, Abstatt

"Datenschutzrechtlich ist schon lange umstritten, ob die Whois-Abfragen zulässig sind. Das Thema ist somit keineswegs neu, und die einschlägigen Vorschriften der DSGVO - etwa zum 'berechtigten Interesse' - unterscheiden sich auch nur wenig vom bisherigen Recht", sagte der Anwalt und Datenschutzexperte Niko Härting Golem.de. Da viele Domaininhaber aber "im Verborgenen agieren" wollten, würde letztlich "immer wieder das Datenschutzrecht an die Front geschickt, um zu argumentieren, dass Whois-Abfragen eingeschränkt oder abgeschafft werden sollten."

Erste Beschwerden im Jahr 2003

Das bestätigt Thomas Rickert, ebenfalls Anwalt. Er leitet beim Verband der Deutschen Internetwirtschaft Eco das Names and Numbers Forum. Rickert sagte Golem.de: "Bereits im Jahr 2003 hat die Artikel-29-Gruppe der EU-Datenschützer Icann das erste Mal angeschrieben und auf datenschutzrechtliche Probleme mit dem Whois-System hingewiesen." Geändert habe dies aber all die Jahre nichts.

Laut Rickert das am weitesten verbreitete Problem: Spam. "Wenn Sie in den USA eine generische TLD registrieren, dann bekommen Sie auf die Adresse meist nach wenigen Stunden die ersten Nachrichten", sagt er. Dies liege vor allem daran, dass Unternehmen in den USA bei Domainhändlern wie Godaddy den sogenannten Zonefile-Zugang beantragen können. "Der kann den Unternehmen kaum verwehrt werden, sonst drohen Beschwerden gegen die Betreiber", sagt Rickerts.

Doch bislang konnten es sich sowohl Icann als auch die Registrare leisten, die Anwendung des Datenschutzrechtes zu ignorieren. Das wird sich bald ändern.