DSGVO: Neue Whois-Regeln für Domainkäufer und -verkäufer?

Diese Konsequenzen haben die neuen Datenschutzrichtlinien für Besitzer, Verkäufer und Käufer von Domains?.

 

Mehr Rechte für Nutzer, mehr Pflichten und Regeln für Unternehmen, die Daten von Usern und Kunden verarbeiten: Seit Ende Mai 2018 gelten mit der Datenschutzgrundverordnung der EU (DSGVO) neue Spielregeln. Konsequenterweise ist auch ein Bereich betroffen, der bereits im Vorfeld viele Fragen aufgeworfen hat und weiterhin diskutiert wird:


Der Zugriff auf das Whois-Verzeichnis wird deutlich eingeschränkt. Es ist nicht mehr ohne weiteres möglich, mit wenigen Mausklicks die Identität von Domaininhabern in Erfahrung zu bringen. Aber bedeutet das tatsächlich eine neue Belastung für Domainverkäufer oder gar für Interessenten bereits registrierter Domains?

 

Was schränkt die DSGVO bei Whois-Abfragen ein?

Bei Kaufinteresse einer bereits registrierten Domain war es vor Inkrafttreten der neuen Datenschutzverordnung (DSGVO) recht einfach, die Kontaktdaten des aktuellen Inhabers zu ermitteln. Diese unkomplizierte Möglichkeit, mit dem Besitzer oder Vorbesitzer Kontakt aufzunehmen, besteht in dieser Form nicht mehr. Die Inhaberdaten einer Domain können nicht mehr per simplem Mausklick über das Whois-Datenbanksystem erfragt werden.

Die Neuregelung besagt, dass nur noch begründete Abfragen erlaubt sind. Allerdings war es auch schon vor Inkrafttreten der DSGVO nicht möglich, das Whois-Verzeichnis zu missbräuchlichen Zwecken zu nutzen. Der Captcha-Schutz und andere Einschränkungen von Suchkriterien galten bereits als erfolgreiche Abwehrmethode gegen Daten-Phishing von E-Mail- und Telefonkontakten.

 

Welche neuen Rechte haben Domainbesitzer durch die DSGVO?

Mit der neuen Datenschutzverordnung sind private Domaininhaber ebenso geschützt wie Internet-User. Somit müssen Domaininhaber nicht mehr befürchten, regelmäßig mit Spam, unerwünschter Telefonakquise oder postalischer Werbung behelligt zu werden.

Allerdings ist es deutlich erschwert, Nachfragen von potenziellen Kaufinteressenten zu erhalten. Bei registrierten, aber nicht für einen Webauftritt genutzten Domains stehen die Chancen deutlich schlechter, dass ein Kaufinteressent direkt in Kontakt mit dem Besitzer tritt. Doch für diesen Aspekt gilt: Eine solche Vorgehensweise war bisher oft gar nicht empfehlenswert.

Für den Handel mit Domains haben sich seit langem "Trusted Partner" wie zum Beispiel Sedo als Plattformen entwickelt, die zwischen Anbietern und Nachfragern einer Domain vermitteln. Insofern überwiegt der positive Aspekt, dass den Inhabern einer Domain mehr "“Privatsphäre“ eingeräumt wird.

 

Warum erheben sich kritische Stimmen gegen die neuen Whois-Regeln?

Wie nicht anders zu erwarten, haben die Neuregelungen der Whois-Abfragen zahlreiche kritische Stimmen auf den Plan gerufen. Sicherheitsexperten und Kriminologen geben zu bedenken, dass diese Einschränkung der Internetkriminalität und einer Erhöhung des Spamaufkommens Tür und Tor öffnet. Denn Domains kommen häufig als Absender von Spam-Mails zum Einsatz. Deren Besitzer ausfindig zu machen, wird nun deutlich schwieriger.

Außerdem gibt es bis heute eine hitzige Debatte innerhalb der Branchenvertreter, ob sämtliche Whois-Daten nicht mehr angezeigt werden sollten oder ob man sie zumindest eingeschränkt darstellen könnte - z.B. kein Vor-und Nachname, aber E-Mailadresse. Einigkeit scheint es noch nicht zu geben, denn die zahlreichen Vergabestellen und Registrare gehen individuelle/unterschiedliche Wege: Nominet, der Betreiber der britischen Endung .uk verlangt bei einer eingeschränkten Whois-Auskunft eine Gebühr, die deutsche Denic, Verwalterin der Endung .de zeigt keinerlei Daten an. Kevin Murphy vom Branchenblog domainincite.com hat eine Übersicht der 33 europäischen ccTLD Verwaltungen und deren Whois-Regelungen zusammengefasst.

 

Wie berechtigt sind die kritischen Stimmen gegen die Whois-Neuregelung?

Wer eine Website erwirbt oder betreibt, um damit ein unlauteres Geschäftsmodell zu verfolgen, kann sich ab sofort scheinbar in der Sicherheit wiegen, als Verantwortlicher erst einmal unentdeckt zu bleiben. Auf der anderen Seite ist es bei umfassenden Gesetzesnovellen traditionell zu erwarten, dass sie im Laufe der Zeit noch einige Korrekturen und eine stetige Verfeinerung erfahren.

Es ist kaum denkbar, dass zusätzlicher Datenschutz für Internet-User und Domaininhaber auf Dauer gleichzeitig mit mehr Missbrauch von Internetdomains einhergehen muss.

Nachvollziehbar ist der Unmut der Registrare und Registries, nicht genügend Zeit für die Umstellung auf technischer und administrativer Ebene zu haben: Bis zum letzten Augenblick gab es keine finale Entscheidung seitens der ICANN, wie denn die neue Whois-Regelung auszusehen habe, so dass nicht alle Betroffene eine rechtzeitige und konkrete Umsetzung schaffen konnten.

Welche Argumente sprechen für die Einschränkung von Whois-Abfragen?

Die Whois-Datenbanken konnten in der Vergangenheit vor allem deshalb missbräuchlich genutzt werden, weil man nicht gezwungen wurde, zuerst einen Grund für die Abfrage anzugeben. Die Daten von Domain-Inhabern waren praktisch öffentlich zugänglich.

Zudem durfte jede nationale Vergabestelle oder jeder Domain-Registrar selbst entscheiden, in welcher Vollständigkeit oder Tiefe er die Daten der Domainbesitzer erfasste. Nun sieht die DSGVO vor, dass eine Abfrage nur mit einer plausiblen und berechtigten Begründung erfolgen kann.

Das massenhafte "Grabbing" von Informationen wird dadurch vielleicht nicht gänzlich unmöglich, aber in hohem Maße erschwert. Damit ist weniger das Geschäftsmodell der Whois-Plattformen-Anbieter infrage gestellt als vielmehr die unlauteren Absichten von systematisch operierenden Kontaktdaten-"Grabbern".

 

Zusammenfassung und Ausblick:

 

  •  Die EU-weite Datenschutzgrundverordnung schränkt unter anderem den automatisierten Zugriff auf das Whois-Verzeichnis ein.

  • Anfrager müssen plausible und prüfbare Gründe anführen, warum sie persönliche Daten eines Domaininhabers in Erfahrung bringen wollen.

  • Durch die Neuregelung sind private Domaininhaber vor Kontaktdaten-Phishing und den lästigen Konsequenzen besser geschützt: zum Beispiel vor Spam-Fluten im E-Mail-Postfach und unerwünschten Telefonkontakten.

  • Für Domainverkäufer und Domainkäufer erwachsen weder neue Nachteile noch Vorteile.

  • Es ist zu erwarten, dass einige Lücken und neue Schlupflöcher der DSGVO mittel- bis langfristig durch Rechtsprechungen in jeweiligen Einzelfällen geschlossen werden.