Zwei Jahrzehnte lange hat die Internet Corporation for Assigned Names and Numbers (ICANN) Domainregistries und Registrare zum fleißigen Datensammeln angehalten. Jetzt arbeitet die private Namensverwaltung mit Sitz in den USA unter Hochdruck daran, sich selbst und die Unternehmen auf das Inkrafttreten der Datenschutzgrundverordnung (GDPR) vorzubereiten. Eine interne "Task Force" soll die vertragliche Regeln der ICANN prüfen und auch die Folgen der Datenschutzgrundverordnung für ICANN als Datenverarbeiter abschätzen, sagte Vizepräsidentin Theresa Swinehart beim Treffen der ICANN in Johannesburg.

Über 60 einzelne Datenpunkte sammeln Registries zu einer einzigen Domainregistrierung, erklärte Becky Burr, Juristin und Datenschutzbeauftragte der US-Registry Neustar. "Wir sammeln, speichern und veröffentlichen einen Teil", fasste Burr zusammen. All diese Datenpunkte müssen jetzt auf den Prüfstand. Braucht die Registry die Daten und gibt es eine rechtliche Grundlage für deren Erhebung und Sammlung? Bislang haben Registries und Registrare stillschweigend die Zustimmung der Kunden angenommen, wenn diese nicht ausdrücklich widersprachen.

Statt dieser Opt-Out-Lösung müssen Domaininhaber künftig aber explizit zustimmen und das bei maximaler Information über die gesammelten Daten und deren Verwendung. Bei der Vielzahl an Datenpunkten könnte die Lösung über den "informed consent" durchaus schwierig sein. Die Weitergabe ganzer Datensätze an Dritte gehört zum Standard.

Whois – Verstoß gegen Datenschutzbestimmungen

Außerdem sind im Lauf der Jahre immer mehr Anforderungen an Datenerfassung und Speicherpflichten für Registrare und Registries hinzugekommen und nicht immer haben sie mit dem eigentlichen Betrieb der Domains zu tun. Groß war nicht zuletzt die Nachfrage von Trittbrettfahrern wie Strafverfolgern und Rechteinhabern, die stets auch auf die Veröffentlichung persönlicher Daten drängten.

Das heutige Whois sollte dabei eigentlich bereits jetzt der Vergangenheit angehören, sagte Volker Greimann, Chefjurist beim deutschen Registrar KeySystems. Schon jetzt verletze es Datenschutzbestimmungen durch die Publikation privater Daten, "nur wurde das bislang nicht verfolgt", so Greimann. Er riet, die Veröffentlichung von persönlichen Daten via Whois, mindestens für Privatpersonen, ganz abzuschaffen.