DNS-Sicherheit: Domaininhaber sollen Telefonnummer hinterlegen müssen
Inhaber von Internetdomains könnten künftig verpflichtet werden, bei der Registrierung ihre vollständigen Adressdaten inklusive Telefonnummern anzugeben. Eine entsprechende Vorlage habe am Dienstag der Innenausschuss des Europaparlaments beschlossen, berichtete der Europaabgeordnete Patrick Breyer(öffnet im neuen Fenster) . Der federführende Industrieausschuss fordere zudem die Überprüfung der Registrierungsdaten.
Nach Ansicht des Piraten-Politikers könnten die Pläne "das Ende von 'whois privacy'-Diensten zur stellvertretenden Registrierung von Domains bedeuten und die Sicherheit von Aktivisten und Whistleblowern bedrohen" . Bislang werden beispielsweise von der deutschen TLD-Verwaltung Denic keine Telefonnummern gefordert oder gar überprüft.
Hintergrund der Debatte ist die geplante Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS). Zu dem im Dezember 2020 vorgelegten Entwurf der EU-Kommission(öffnet im neuen Fenster) muss sich das Europaparlament in den anstehenden Verhandlungen positionieren.
Mehr Daten für mehr Sicherheit
Der Vorschlag der EU-Kommission sieht in Artikel 23 bislang lediglich vor, dass die Datenbanken mit den Domänennamen-Registrierungsdaten "einschlägige Angaben enthalten, anhand derer die Inhaber der Domänennamen und die Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können" . Der Innenausschuss ergänzt diesen Passus dahingehend, dass diese Angaben mit "ihren Namen, physischen und E-Mail-Adressen und ebenso ihren Telefonnummern" konkretisiert werden.
Die Pflege dieser Datenbanken hat nach Ansicht der EU-Kommission das Ziel, "einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domänennamensystems zu leisten" . Die Datenschutzvorschriften der EU in Bezug auf personenbezogene Daten, das heißt die Datenschutzgrundverordnung (DSGVO), seien "mit der gebotenen Sorgfalt zu beachten" .
Die Denic selbst hält diese Registrierungspflicht nicht für die Sicherheit, Stabilität und Resilienz des DNS erforderlich. So liefere die Identifikation derjenigen Person, die eine Domain registriere, keine Informationen über die Stelle, die die tatsächliche technische Kontrolle über den Namensraum ausübe und noch weniger über die Einrichtungen, die Inhalte oder Dienste innerhalb dieses Namensraums bereitstellten, heißt es in einer Stellungnahme(öffnet im neuen Fenster) .