Seit dem 25. Mai 2018 muss die bereits im Jahr 2016 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) verpflichtend umgesetzt werden. Schon seit Monaten sorgt sie für hitzige Diskussionen zwischen Datenschutz-Befürwortern und Wirtschaftsvertretern, die ihre Geschäftsmodelle bedroht sehen. Dabei ist noch völlig unklar, wie Juristen die DSGVO in Zukunft auslegen werden, und welche konkreten Konsequenzen sie für die Wirtschaft und andere Bereiche des täglichen Lebens haben wird.
Was ist zum Beispiel mit dem DENIC, das für die Verwaltung der deutschen Top-Level-Domain (.de) verantwortlich ist und dessen Arbeit aus Datenschutzperspektive durchaus kritisch gesehen werden kann? In einem Interview vom Februar 2018 stellte CEO Jörg Schweiger bereits klar, dass das DSGVO keine Änderungen des bewährten Whois-Systems vorgibt und solche deshalb auch gar nicht zwingend erforderlich seien. Und dennoch: Seit dem 25. Mai 2018 hat das DENIC seine Regelungen zur Datenerfassung und -ausgabe grundlegend erneuert. Ein Schritt, den kritische Stimmen als „radikal“ ansehen.
Nachdem das DENIC früher umfangreiche personenbezogene Daten über Domain-Inhaber, allgemeine und technische Ansprechpartner sowie Zonenverwalter nicht nur erfasste, sondern auch im Rahmen von Whois-Domain-Abfragen öffentlich zugänglich machte, sind diese Daten künftigfür Dritte bis auf wenige Ausnahmen nicht mehr einsehbar. Die neue Informationspolitik des DENIC lässt sich auch den Domainbedingungen und Domainrichtlinien auf der Website der Non-Profit-Organisation entnehmen.
Ausschlaggebend für die Entscheidung war laut Angaben der Geschäftsleitung das Prinzip der Datensparsamkeit. Mit der proaktiven Prüfung und Anpassung seines Whois-Systems sieht sich das DENIC laut Pressemitteilungen in einer „Pionierrolle“: Man will auf mögliche Auslegungen der Datenschutz-Grundverordnung bestmöglich vorbereitet sein und zugleich für eine einheitliche Interpretation der DSGVO in Europa werben.
Die Kritik am DENIC ähnelt der grundsätzlichen Kritik am DSGVO. Viele finden, dass sie den Datenfluss zu restriktiv einschränken würde. Die langfristigen Konsequenzen der neuen Regelungen lassen sich allerdings noch gar nicht exakt abschätzen. Und während einige einen positiven Effekt auf den Datenschutz prognostizieren, beklagen andere, dass in vielen Bereichen Informationen nun deutlich schwerer zu gewinnen seien.
Auch die Zielgruppe des DENIC dürften deren Entscheidung unterschiedlich beurteilen: Der Hauptzweck der Whois-Domainabfrage, nämlich die Kontaktaufnahme mit dem Domainbetreiber bei allgemeinen, technischen oder rechtlichen Anfragen, erfüllt auch das neue System. Jedoch ist es jenen, die am Kauf einer bestimmten Domain interessiert sind, nicht mehr möglich, deren Verfügbarkeit und eventuelles Ablaufdatum zu ermitteln. Für Sicherheitsforscher und Journalisten waren die umfangreichen Whois-Einträgen zudem eine gute Recherchequelle, und auch vielen Unternehmen geht nun eine wichtige Datenbasisverloren, was zum Beispiel die amerikanische Internet Corporation for Assigned Names and Numbers (ICANN) stört. Eigentlich sind Registrare nämlich verpflichtet, der ICANN Angaben zum Administrator und technischen Kontakt einer Domain zu übermitteln. Genau diese Daten dürfen in Europa gemäß DSGVO aber voraussichtlich nicht mehr erfasst werden.
Der Nutzen für den Datenschutz ist aber unbestreitbar: Unseriöse Marketer und Organisationen konnten über die Whois-Abfrage nämlich problemlos Angaben zum Domaininhaber, Admin-C, Tech-C und Zone-C ermitteln und zu Werbe- und Betrugszwecken sammeln und speichern. Das wird durch die neuen Regelungen nun verhindert.
Wie die modifizierten Pflichtangaben bei der Domain-Registrierung im Detail aussehen und welche Daten man noch beim DENIC einsehen kann, erläutern die folgenden Abschnitte.