Altersteilzeit für Whois

Im Alter von nur 38 Jahren tritt der allseits beliebte Internetdienst Whois zwangsweise in den Vorruhestand. Denn mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 kann er seine Tätigkeit nicht mehr im gewohnten Umfang ausüben.

Bislang gab die Whois-Datenbank allen Interessierten uneingeschränkt Auskunft über die für eine Internet-Domain Verantwortlichen. Die technischen Ansprechpartner (Tech-C) und den Verantwortlichen für den Name Service (Zone-C) konnte man hinter Funktionsbezeichnungen wie „Hostmaster“ verstecken, doch der administrativ Verantwortliche (Admin-C) musste namentlich genannt werden; mit Anschrift, Telefonnummer und E-Mail-Adresse. Das machte das Internet ein bisschen weniger anonym.

Da es sich aber bei diesen Informationen um personenbezogene Daten handelt, fallen sie unter die Vorschriften der EU-DSGVO. Und die schreibt künftig vor, dass nicht einfach ohne Genehmigung und die genaue Angabe von Sinn und Zweck Daten gespeichert werden dürfen. Und schon gar nicht an Dritte weitergegeben.

An die im englischen Sprachraum als GDPR, General Data Protection Regulation, bezeichneten Vorschriften muss sich jeder halten, dessen Angebot in irgendeiner Weise auf EU-Bürger abzielt. Also auch die chinesische Handelsplattform Alibaba oder ein amerikanischer Verlag mit Angeboten für EU-Europäer.

Und natürlich eine Internetinstitution wie die ICANN. Die „Internet Corporation for Assigned Names and Numbers“ koordiniert die Vergabe von Domain-Namen und Internetadressen und hatte bislang ihre nationalen Vertragspartner verpflichtet, die Daten von Domain-Verantwortlichen via Whois öffentlich zu machen. Wegen der für Website-Besucher gewünschten Transparenz.

Das bringt die ICANN-Vertragspartner in die unschöne Situation, entweder vertragsbrüchig zu werden oder gegen EU-Gesetze zu verstoßen. Es gab darum in den letzten Monaten Vorschläge der ICANN, wie künftig mit den Whois-Daten zu verfahren ist. Bislang allerdings hält die EU-Kommission diese Ideen für nicht hinreichend. Und auch wenn sich EU-Kommission und ICANN auf einen gemeinsamen Nenner einigen, wäre da noch der EuGH. Der hat schon das Safe-Harbor-Abkommen, das die Übermittlung personenbezogener Daten aus der EU in die USA regelte, gekippt und dürfte eine zu laxe Regelung bezüglich Whois schnell kassieren.

Was die ICANN zu tun gedenkt, ist zurzeit offen. Denn in Sachen Datenschutz weichen die Vorstellungen der ICANN-Mitglieder erheblich voneinander ab. So verstehen autoritär regierte Staaten wie China und Russland unter Datenschutz vor allem das Recht ihrer Sicherheitsbehörden, die Daten vor ihren Bürgern und dem Ausland zu schützen. In den USA befürchtet man, dass durch die EU-Vorgaben aus „Business Companies“ künftig „Compliance Companies“ werden. Der Chef der US National Telecommunications and Information Administration hat schon angekündigt, dass er den Whois-Dienst auf jeden Fall erhalten will.

Was auch immer dabei herauskommt – den Whois-Dienst, wie wir ihn kennen, wird es wohl künftig nicht mehr geben. Das entspricht zwar der europäischen Datenschutzphilosophie, bedeutet aber auch ein Stück weniger Transparenz.

Dabei könnte man das Problem pragmatisch lösen. Wegen der Impressumspflicht müssen sich die Verantwortlichen fast aller Websites ohnehin outen. Und die automatisierte Abfrage per Kommandozeilen-Tool gibt zum Beispiel beim deutschen Registrar DENIC die Daten des Admin-C nicht mehr aus. Will man den administrativ Verantwortlichen einer Domain herausfinden, muss man dazu ein Formular ausfüllen und ein Captcha lösen.

Jürgen Seeger