DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen

Umfang erhobener Daten muss reduziert werden

[datensicherheit.de, 02.10.2018] Domain-Registrare müssen künftig einen geringeren Datenumfang von ihren Kunden erheben. Zuletzt hat die Internetverwaltung ICANN diesbezüglich einen Gerichtsstreit verloren. „Tatsächlich hat die ICANN die zweijährige Übergangsfrist zur DSGVO verschlafen und konnte sich im Streit über die datenrechtskonforme Erfassung von Domain-Besitzern nicht durchsetzen“, begründet Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG.

Dem vorausgegangen war ein Streit zwischen dem hier beheimateten Registrar EPAG und ICANN: Die ICANN wollte, dass die Kontaktdaten der technischen und administrativen Domain-Verwaltung (Tech-C und Admin-C) auch nach Inkrafttreten der EU-Datenschutzgrundverordnung erhoben und ihr mitgeteilt werden. EPAG jedoch weigerte sich, persönliche Daten zu verarbeiten, zu denen der Registrar keinen direkten Bezug hat. „Damit folgte die EPAG dem Beispiel der Denic, die für die Vergabe von .de-Domains zuständig ist und diese Informationen ebenfalls nicht mehr erfasst, wodurch der Datenzugang für Dritte deutlich eingeschränkt wurde“, erklärt Heutger. Mit einer Klage wollte die ICANN erreichen, dass zusätzliche Daten trotz DSGVO auch in Zukunft sowohl erhoben als auch ihr mitgeteilt werden können. Diese wies das Bonner Landgericht zurück, wodurch EPAG nicht mehr verpflichtet ist, Daten zur technischen sowie administrativen Domainverwaltung zu erheben.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

Registrare, die sich seit 25. Mai 2018 datenschutzkonform verhalten wollen, fehlt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie des Ansprechpartners für technische und administrative Belange der Website. „So genannte Whois-Abfragen sind seit Inkrafttreten der DSGVO nicht mehr in der uns bekannten Form möglich. Davor konnte ein Domaininhaber zum Beispiel ganz einfach über eine Whois-Abfrage ermittelt werden, indem der Rechteinhaber auf der Website des Registrars die entsprechende Web-Adresse eingab. Sofort erhielt er Informationen über die Identität des Domaininhabers und den Ansprechpartner für technische und administrative Belange dieser Domain“, blickt der IT-Sicherheitsexperte zurück und ergänzt in Bezug auf den Gerichtstreit zwischen EPAG und ICANN: „Die ICANN beispielsweise konnte nicht glaubhaft darlegen, dass das Speichern jener Daten, die über die Information des Domaininhabers hinausgehen, erforderlich ist. Vor dem Hintergrund des in der DSGVO verankerten Grundsatzes der Datensparsamkeit konnte das Gericht nicht erkennen, wozu zusätzliche Daten erhoben werden.“ Zudem hat die ICANN eingeräumt, dass Domains registriert werden können, wenn diese drei Datensätze identisch sind.

In diesem Zusammenhang macht Heutger auch auf Zertifizierungsstellen aufmerksam: „Durch die Änderungen bei der Herausgabe von Daten, die im Zusammenhang mit einer Domain gespeichert werden dürfen, haben auch die Zertifizierungsstellen ihre Validierungsguidelines angepasst. Somit werden bei DV-Zertifikaten nicht mehr die im WHOIS hinterlegten E-Mail-Adressen zur Bestätigung herangezogen. Ebenso können bei OV- und EV-Zertifikaten die Angaben aus dem WHOIS nicht mehr für die Organisationsvalidierung genutzt werden.“

Weitere Informationen zum Thema:

PSW Group Blog
Daten im WHOIS minimieren: ICANN verschläft DSGVO-Frist

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO