Original-URL des Artikels: https://www.golem.de/news/datenschutz-bei-domains-wattislos-bei-whois-1803-133269.html    Veröffentlicht: 20.03.2018 09:15    Kurz-URL: https://glm.io/133269

Datenschutz bei Domains

Wattislos bei Whois?

Die Datenschutzgrundverordnung sorgt nicht nur bei vielen Unternehmen für rege Betriebsamkeit, sondern auch bei Registraren und Icann. Die geplanten Neuregelungen könnten für Sicherheitsforscher und Journalisten zum Problem werden.

Die Whois-Abfrage gehört für Ermittlungsbehörden, Sicherheitsforscher und Domainhändler zum Standardprozedere. Sie ermöglicht die Antwort auf die Frage: Wer genau steckt eigentlich hinter einer Domain? Doch die Abfrage steht vor grundlegenden Änderungen, die Recherchen in Zukunft schwierig bis unmöglich machen könnten. Das zeigt sich an angekündigten Änderungen auf internationaler Ebene bei der Internetaufsicht Icann und konkret an einer veränderten Whois-Abfrage bei der Denic.

Die Denic-Genossenschaft verwaltet die Domains für die Domainendung .de und hat jetzt, wie andere Anbieter auch, die Regeln für die Abfrage geändert. Nutzer sollen künftig begründen, warum sie eine bestimmte Information haben wollen. Schuld daran ist die ab Mai angewendete Datenschutzgrundverordnung.

Das Whois-System ist aber keine deutsche Eigenheit, sondern geht auf Verträge der lokalen Registrare - wie eben Denic, mit der seit dem vergangenen Jahr von der US-Regierung unabhängigen Internet Corporation for Assigned Names and Numbers (Icann) - zurück. In einigen Ländern gibt es darüber hinaus gesetzliche Grundlagen, welche Informationen veröffentlicht werden müssen - in Deutschland ist dies aber nicht der Fall.

Bislang konnten Nutzer eine Domainabfrage bei der Denic mit wenigen Klicks erledigen. Anders als andere Anbieter veröffentlichte Denic zwar keine E-Mail-Adressen oder Telefonnummern, aber auch die Angabe des Namens stellt ein personenbezogenes Datum dar. In Zukunft sollen die Einschränkungen der Auskunft daher noch drastischer werden.

"Datenschutzrechtlich ist schon lange umstritten, ob die Whois-Abfragen zulässig sind. Das Thema ist somit keineswegs neu, und die einschlägigen Vorschriften der DSGVO - etwa zum 'berechtigten Interesse' - unterscheiden sich auch nur wenig vom bisherigen Recht", sagte der Anwalt und Datenschutzexperte Niko Härting Golem.de. Da viele Domaininhaber aber "im Verborgenen agieren" wollten, würde letztlich "immer wieder das Datenschutzrecht an die Front geschickt, um zu argumentieren, dass Whois-Abfragen eingeschränkt oder abgeschafft werden sollten."

Erste Beschwerden im Jahr 2003

Das bestätigt Thomas Rickert, ebenfalls Anwalt. Er leitet beim Verband der Deutschen Internetwirtschaft Eco das Names and Numbers Forum. Rickert sagte Golem.de: "Bereits im Jahr 2003 hat die Artikel-29-Gruppe der EU-Datenschützer Icann das erste Mal angeschrieben und auf datenschutzrechtliche Probleme mit dem Whois-System hingewiesen." Geändert habe dies aber all die Jahre nichts.

Laut Rickert das am weitesten verbreitete Problem: Spam. "Wenn Sie in den USA eine generische TLD registrieren, dann bekommen Sie auf die Adresse meist nach wenigen Stunden die ersten Nachrichten", sagt er. Dies liege vor allem daran, dass Unternehmen in den USA bei Domainhändlern wie Godaddy den sogenannten Zonefile-Zugang beantragen können. "Der kann den Unternehmen kaum verwehrt werden, sonst drohen Beschwerden gegen die Betreiber", sagt Rickerts.

Doch bislang konnten es sich sowohl Icann als auch die Registrare leisten, die Anwendung des Datenschutzrechtes zu ignorieren. Das wird sich bald ändern.

Tuvalus Registry muss die DSGVO einhalten

Erst die bald beginnende Anwendung der DSGVO habe bei der Icann für hektische Betriebsamkeit gesorgt. "Die anstehenden Änderungen sind in den Kreisen von Icann und vieler Registrare lange nicht durchdiffundiert", sagt der Anwalt Thomas Rickert. Mit Anwendung der EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 müssen die Regeln der Verordnung nämlich auch von solchen Registraren eingehalten werden, die gar nicht aus Europa stammen. Denn die Regeln der DSGVO sind von ausländischen Unternehmen auch dann anzuwenden, wenn die Daten europäischer Bürger verarbeitet werden. Wenn also Europäer zum Beispiel Domains mit der Endung des Inselstaates Tuvalu im indischen Ozean erwerben, muss auch die dortige Registry im Zweifel DSGVO-Compliance nachweisen.

Neben den einzelnen Registraren ist aber auch Icann selbst betroffen. Es wird sich wohl selbst mit den jeweiligen Verantwortlichen als "Joint-Data-Controller" einstufen und hat somit eine direkte Verantwortung für die Datenverarbeitung. Icann wird demnach mitverantwortlich sein für die Verwaltung aller Daten, die weltweit bei der Registrierung von Domains erhoben werden. Weil sie die hohen Strafzahlungen von bis zu vier Prozent des globalen Umsatzes fürchtet, drängt die Organisation auf eine Umsetzung bei den lokalen Nics.

Icann setzt die eigenen Regeln zurzeit nicht konsequent durch

Normalerweise sind die Registrare durch ihre Verträge mit Icann verpflichtet, der Internetverwaltung aus dem kalifornischen Marina del Ray in Kalifornien Kontaktinformationen zur Verfügung zu stellen. Bereits im vergangenen Jahr hat Icann allerdings angekündigt, bis zur Entwicklung eines eigenen Rahmenwerkes zur Übereinstimmung der Abfragen mit der EU-Datenschutzgrundverordnung keine rechtlichen Schritte gegen Registrare einzuleiten, die diese Pflichten verletzen.

Hier beginnt das Problem. Denn im Whois-Eintrag einer Domain finden sich in der Regel gleich mehrere personenbezogene Daten. Neben dem Namen und einer Mailadresse ist das oft noch die Anschrift der Nutzer oder auch eine Telefonnummer. Welche Daten angegeben werden müssen, unterscheidet sich von Registrar zu Registrar - die die Vorgaben von Icann alle unterschiedlich auslegen. In Deutschland ist bei der Registrierung einer .de-Domain zum Beispiel immer eine natürliche Person als Admin-C anzugeben - anders als in den USA, wo hier auch eine juristische Person, also zum Beispiel ein Unternehmen, eingetragen werden kann.

Die reine Erhebung der Daten dürfte für die meisten Registrare rein juristisch gesehen kein Problem darstellen. Sie können ein Interesse geltend machen, die eigenen Vertragspartner zu kennen. Das Recht zur Veröffentlichung der Daten aber müsste anders begründet werden. "Schon bei der Weitergabe an eine andere Registry oder andere Vertragspartner müsste das aber gut begründet werden und ist umstritten", sagt Rickert.

Das Problem für Icann und die Registrare: Um die Daten erheben und später im Rahmen des Whois veröffentlichen zu können, brauchen sie eine juristische Grundlage. Bereits im vergangenen Jahr änderte Icann daher seine Verträge um einen Passus, der den Registraren die Pflicht auferlegt, die Zustimmung der Nutzer einzuholen, ihre Daten im Rahmen von Whois der Öffentlichkeit auf Anfrage bereitzustellen.

Wird eine solche Einwilligung zur Pflicht bei Schluss des Vertrages zwischen Registrar und Domainkäufer, wäre diese Erlaubnis allerdings juristisch kaum haltbar, jedenfalls in Europa. Denn nach den Grundsätzen der Datenschutzgrundverordnung muss eine taugliche Einwilligung aus dem freien Willen der Nutzer entstehen und darf auch nicht vorausgewählt sein. Juristen sprechen dann von einem Opt-in-Verfahren. Außerdem könnte eine solche freiwillige Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden. Die Einwilligung muss zudem so dokumentiert werden, dass dies bei Gericht nachgewiesen werden kann.

Icann versucht, dem Problem zu begegnen, indem der Zugriff auf die gespeicherten Informationen zumindest etwas erschwert werden soll - wohl in der Hoffnung, dass die Datenschutzbehörden die Lösung nicht beanstanden werden. Welches Modell sich dabei durchsetzen wird, ist noch unklar. Um in dem Bereich für mehr Klarheit zu sorgen, hat Eco unter Mitarbeit von Rickert das sogenannte GDPR-Domain-Industry-Playbook veröffentlicht. Nach Ansicht des Verbandes erfüllt keine der derzeit von Icann vorgeschlagenen Lösungen die Anforderungen der kommenden Verordnung.

Nutzer sollen berechtigtes Interesse nachweisen

Um dem Problem entgegenzuwirken, hat Icann drei Lösungsvorschläge entwickelt, die den Zugang zu den Daten zum Teil erheblich erschweren würden. Die erste Option ist die, die Denic derzeit umgesetzt hat: Nutzer müssen selbst einen Grund angeben, um die Daten sehen zu können. Nach den Maßstäben der Datenschutzgrundverordnung sollen sie also ein "berechtigtes Interesse" nachweisen, die Daten einzusehen.

Die Denic bietet in dem entsprechenden Formular mehrere Antwortmöglichkeiten an. Nutzer können etwa angeben, dass sie selbst Inhaber der Domain sind und die Angaben lediglich auf Richtigkeit prüfen wollen, oder dass sie die Domain oder deren Nutzung für "rechtlich problematisch" halten und deswegen Informationen über den Admin der Domain einholen wollen. Auch Ermittlungsbehörden können angeben, dass sie die Daten für Ermittlungen benötigen.

In einem Freitextfeld muss zudem eine individuelle Begründung für die Abfrage eingegeben werden. Mit den Nutzungsbedingungen der Denic müssen Anwender bestätigen, dass sie "die ausgegebenen Daten nur zu diesen Zwecken nutzen werden." Bei "Missachtung dieser Versicherung" behält sich Denic nicht näher genannte "rechtliche Schritte" vor. Außerdem sollen Anwender in diesem Fall von der Nutzung der Whois-Abfrage ausgeschlossen werden können.

Diese Angaben wirken etwas kurios. Denn erstens ist weder die Angabe eines Namens noch eine andere Registrierung zur Nutzung der Abfrage notwendig. Unklar ist also, auf welcher Grundlage Denic die Nutzung der Whois-Funktion für einzelne Nutzer sperren wollte oder überhaupt könnte.

Unklar ist auch, auf welcher Grundlage Denic die angekündigten "rechtlichen Schritte" einlegen könnte, immerhin ist die Genossenschaft selbst weder Datenschutzbehörde noch ein Organ der Strafverfolgung. Das sieht auch Niko Härting so: "Warum es gegen geltendes Recht verstoßen soll, falsche Angaben zu machen, erschließt sich mir nicht. Dies mag zwar gegen die Denic-Nutzungsbedingungen verstoßen. Welche Sanktionen sich darauf ableiten sollen, ist jedoch rätselhaft."

Denic dürfte auch kaum in der Lage sein, alle eingehenden Anfragen händisch zu überprüfen und ein "berechtigtes Interesse" jeweils zu bejahen. Jede Woche sollen rund 5.000 individuelle Anfragen bei dem Verband auflaufen.

Auf mehrere detaillierte Anfragen von Golem.de zu den neuen Nutzungsbedingungen der Whois-Abfrage antwortet Denic nur: "Zu Ihren Fragen möchten wir Ihnen mitteilen, dass Denic, wie auch andere Registrierungsstellen, die von Ihnen erwähnte Änderung der Whois-Abfrage zum Zwecke statistischer Auswertungen vorgenommen hat." Die jetzt eingeführten Änderungen sollen nämlich nur als Grundlage für eine grundlegende Überarbeitung des deutschen Whois dienen.

Künftig will Denic einem Interview der Journalistin Monica Ermert zufolge bei automatischen Anfragen nur noch eine "nichtpersonalisierte E-Mail-Adresse" herausgeben. Dieser Kontakt wäre letztlich nur geeignet, um dringliche Security-Probleme zu melden oder Kontakt mit einem Provider aufzunehmen. Recherchen zu Personen hinter einer Webseite wären dann zum Beispiel für Sicherheitsforscher oder Journalisten nicht mehr ohne weiteres möglich. Denn weitergehende Daten würden dann nur an akkreditierte Nutzer herausgegeben.

Berechtigte Nutzer sollen sich akkreditieren

Das würde dann dem zweiten von Icann vorgeschlagenen Modell entsprechen. Unter diesem Modell würden dann nur noch akkreditierte Personen einen vollständigen Zugriff auf die Informationen bekommen. Wie genau eine solche Akkreditierung aussehen könnte und welche Voraussetzungen dafür erfüllt sein müssten, ist derzeit aber noch unklar - und könnte sich von Registrar zu Registrar unterscheiden.

International tätige Journalisten oder Sicherheitsforscher müssten sich dann unter Umständen bei mehreren Stellen akkreditieren und dabei ganz unterschiedliche Verfahren durchlaufen. Sollte sich diese Lösung durchsetzen, könnte es gerade für diese Berufsgruppen zu erheblichen Problemen kommen.

Aber auch Privatnutzer, die etwas über den Inhaber eines Onlineshops in Erfahrung bringen wollen, wären in ihrer Recherche erheblich eingeschränkt. Rickert sagt dazu: "Mit dem Besteck, das im Besteckkasten ist, wird es zu großen Einschränkungen kommen." Denn für eine Veröffentlichung weitergehender Whois-Informationen bräuchte es ohne freiwillige Einwilligung eine gesetzliche Grundlage.

Eine dritte Variante würde Privatnutzer ohne erhebliche Ressourcen fast komplett von den Informationen des Whois ausschließen. Damit würden Informationen nur noch mit einem Gerichtsbeschluss herausgegeben. Dies würde einerseits hohe Kosten verursachen und andererseits einen erheblichen administrativen Aufwand bedeuten, der nur bei wenigen Recherchen praktisch umsetzbar und begründbar wäre.

Welche Lösung sich am Ende durchsetzen wird, ist derzeit noch unklar. Datenschützer sprechen sich unter Leitung der Berliner Datenschutzbeauftragten für mehr Datensparsamkeit und das Akkreditierungsmodell aus. Ob es dazu kommt, ist aber offen, erst einmal wird es wohl verschiedene Übergangslösungen geben.

Deutliche Kritik an dem vorgeschlagenen Modell üben vor allem Regierungsstellen. So kritisierte David Redl, Chef der US National Telecommunications and Information Administration (NTIA), den Vorschlag. "Die Vereinigten Staaten werden nichts akzeptieren, was den Zugang zu Whois-Informationen verhindert oder ihn so erschwert, dass das Whois praktisch nutzlos wird, um legitime Zwecke zu erfüllen, die kritisch sind für die fortgesetzte Stabilität und Sicherheit des Internets." Auch Vertreter der EU-Kommission sollen sich vor Ort kritisch geäußert haben.

Ein Vetorecht haben die USA allerdings nicht mehr, seit die Kontrolle der Icann durch die US-Regierung beendet wurde.  (hg)


Verwandte Artikel:
Icann: Anonyme Domains soll es nicht mehr geben   
(10.04.2013, https://glm.io/98650 )
Streit um .amazon: Amazonas-Staaten wollen sich Amazon nicht beugen   
(30.10.2017, https://glm.io/130888 )
Cambridge Analytica: Wahlkampf für Trump mit 50 Millionen Facebook-Profilen   
(19.03.2018, https://glm.io/133390 )
Strafe verhängt: Diese Nutzerdaten teilt Whatsapp weiterhin mit Facebook   
(16.03.2018, https://glm.io/133372 )
McFadden-Prozess: OLG München bestätigt Abschaffung der Störerhaftung   
(15.03.2018, https://glm.io/133358 )

© 1997–2020 Golem.de, https://www.golem.de/