Auf die Plätze, fertig, DSGVO! (Teil 1: Domains)

""Einige Tage vor Inkrafttreten der DSGVO, der sogenannten Datenschutz-Grundverordnung, bereiteten sich alle betroffenen Akteure auf den Endspurt vor. Unternehmen und Organisationen, aber auch Registrare wie OVH, sahen sich mit mehreren Grauzonen konfrontiert, die zwischen den neuen Vorgaben der Europäischen Union auf der einen Seite und Verpflichtungen bestimmter Organisationen wie der ICANN auf der anderen Seite bestanden. Die genauen Hintergründe hierzu erfahren Sie im folgenden Artikel. Die Europäische Union hat die Datenschutz-Grundverordnung eingesetzt, damit alle EU-Bürger das garantierte Recht haben, zu entscheiden, ob Ihre personenbezogenen Daten im Internet veröffentlicht oder verarbeitet werden. Gerade erst hat der jüngste Skandal um Cambridge Analytica gezeigt, wie wichtig eine solche Garantie ist. Es existieren jedoch zwei entgegengesetzte politische Anschauungen, was die Veröffentlichung personenbezogener Daten im Internet betrifft, nämlich die der Europäischen Union und die der ICANN, der amerikanischen Aufsichtsbehörde für Domains. Die Problematik um Domains betrifft zahlreiche Akteure, ob private oder öffentliche Personen, Registrare, Registrys oder jene, die eine Domain registrieren. Die Herausforderung bestand darin, den Schutz personenbezogener Daten von Webhosting-Nutzern und der Inhaber von Domains und Websites zu garantieren und dabei die rechtlichen Verpflichtungen der internationalen Behörden einzuhalten.

Das „Calzone-Modell“ - eine bunte Mischung

Dass die DSGVO kommt, war seit deren Verabschiedung durch das Europäische Parlament im April 2016 eigentlich klar. Die ICANN ließ sich mit ihrer Reaktion jedoch viel Zeit. Am 28. Februar wurde in den USA ein provisorisches Modell vorgeschlagen, dass die Übereinstimmung zwischen den Vorschriften zu Domains und der neuen europäischen DSGVO gewährleisten sollte. Erst am 14. Mai wurde dieses Modell offiziell eingesetzt. Es ist unter dem Namen „Calzone Model“ bekannt und umfasst, ganz wie das bekannte italienische Gericht, eine Vielzahl an Zutaten, die zum Großteil aus schon vor langer Zeit gemachten Vorschlägen europäischer Akteure entstanden. „Dieses Modell bedeutet einen beachtlichen Fortschritt für die Konformität der Regelungen zu Domains mit der DSGVO“, so Rémi Loiseau, Registry Liaison Manager bei OVH.

Die Herausforderung des Whois

Das Whois ist die größte Herausforderung für die Anpassung an die DSGVO. Jede Person oder Organisation, die eine Domain registriert, muss bestimmte personenbezogene Daten angeben. Bisher waren diese Daten im Whois offen zugänglich. Das ist nun aufgrund der DSGVO nicht mehr erlaubt. Laut Suzanne Carranca, Registry Liaison Manager bei OVH, „hatte die Unternehmensgruppe in dieser Hinsicht dank dem kostenlosen OwO Dienst, mit dem bestimmte Informationen im Whois verborgen werden können, bereits einen großen Vorsprung. Die aktuelle Komplexität ist darauf zurückzuführen, dass das Whois insbesondere bei gTLDs öffentliche, halböffentliche, private, nationale und internationale Akteure betrifft. Aus diesem Grund ist OVH seit einem Jahr damit beschäftigt, Treffen und Schulungen zu organisieren und allen Beteiligten die notwendigen Informationen zu liefern, um sich auf die DSGVO abzustimmen“.

Transfer in unbekanntes Gebiet

Ein weiteres Problem stellt der Domaintransfer dar. Wie soll ein Domaininhaber seine Domain von einem Registrar zu einem anderen übertragen, wenn seine Kontaktdaten im Whois verborgen sind? Diese Frage blieb vom Calzone-Modell lange Zeit unbeantwortet. Aus diesem Grund hatte ein Komitee bestehend aus OVH und anderen Registraren einige Lösungsvorschläge an die ICANN geschickt. Diese wurden inzwischen von der ICANN anerkannt und dienen als Referenz für alle Beteiligten. Die Grundidee basiert auf der Verwendung des Auth-Codes – einem Sicherheitsschlüssel, der belegt, dass der rechtmäßige Domaininhaber den Transfer beantragt hat. Das FOA (Form of Approval) wird somit obsolet. Der Inhaber der Domain muss seine personenbezogenen Angaben an den neuen Registrar übermitteln. Rémi Loiseau sagt dazu: „Bei alledem ist es OVHs erste Priorität, für alle Domaininhaber die gleiche Servicequalität, die gleiche Sicherheit und den gleichen Schutz der personenbezogenen Daten zu gewährleisten.

Das Grundgerüst des neuen ICANN-Modells

• Die rechtliche Begründung für Erhebung, Verwendung und Veröffentlichung personenbezogener Daten im Whois beruht auf dem Ziel der ICANN, Vorschriften zu harmonisieren und dabei die Rechte der Domaininhaber zu berücksichtigen.
• Folgende Informationen sind öffentlich: Domainname, Informationen zu den primären und sekundären Domain-Name-Servern (DNS) der registrierten Domain, Informationen zur Registry sowie Registrierungs- und Ablaufdatum der Domain. Folgende Informationen können zusätzlich angegeben sein: Der Name des Inhabers ist nicht öffentlich, jedoch sollte die „Organisation“, zu der diese Person gehört, angezeigt werden. Die genaue Adresse des Inhabers ist nicht direkt einsehbar, doch wird eventuell der Staat oder seine Region angegeben. E-Mail-Adresse und Telefonnummer des Inhabers sind nicht öffentlich, dafür wird eine anonymisierte Adresse oder ein Kontaktformular angegeben. Das Gleiche gilt für die Administrator- und technischen Kontakte. 
• Die Vorhaltezeit der Daten bleibt gleich (bis 1 Jahr nach Ablauf der Domain bei OVH). 
• Das Modell gilt für alle von der ICANN akkreditierten Registrare und gTLDs.

Das Modell ist nicht verpflichtend für Registrys von ccTLDs, die selbst entscheiden können, ob sie die Vorgaben einhalten oder nicht. Viele europäische Registrys haben sich jedoch bereits dazu entschieden, die Identität natürlicher Personen entsprechend zu schützen und nur Angaben zu juristischen Personen anzuzeigen.  ""