Wie viele Daten muss ein privater Domaininhaber preisgeben, wenn er eine Domain – und sei es nur für seine Mailbox – registriert? Dazu schwelt ein langer Streit zwischen Datenschützern und denen, die maximale Transparenz für notwendig halten, unter ihnen manche Strafverfolger und alle um ihre Marken- und Urheberrechte besorgten Instanzen samt ihrer Anwälte. Es hat aber die EU-Datenschutzgrundverordnung gebraucht, damit Zweck und Ziel der Datensammlung einmal grundsätzlich überdacht wird. Bei der Denic eG hat man sich nun zu einem radikalen Schnitt entschlossen, berichtet Denic CEO Jörg Schweiger am Rande der Domain Pulse Konferenz in München.

heise online: Die Denic hat sich auf ein neues Whois-Konzept festgelegt. Was genau sehen wir denn jetzt noch, wenn wir am 25. Mai eine Whois-Abfrage machen?

Schweiger: Wir sollten einen Schritt zurückgehen und erst einmal darüber sprechen, was wir überhaupt noch erfassen. Erfassen werden wir die Domaininhaberdaten. Was wir aber nicht mehr erfassen, sind die „AdminC“-Daten, die „TechC“-Daten sowie die „ZoneC“-Daten.

Stattdessen werden wir einen „Operational Contact“ in Form einer nicht-personalisierten E-Mail-Adresse einführen. Damit wollen wir einerseits einen Ansprechpartner im Falle von Missbrauch etablieren, praktisch einen Abuse Contact. Zum anderen soll die alte Rolle des TechC besser ausgefüllt werden. Heute stehen im TechC meist irrelevante Daten. Dabei ist das der Kontakt, der ursprünglich die rasche Ansprechbarkeit bei technischen und die Sicherheit betreffenden Problemen garantieren sollte. Natürlich werden wir weiter die technischen Daten erfassen, Name, Server-Daten, DNS-Key-Informationen und so weiter.

heise online: Und was wird nun noch publiziert?

Schweiger: Was wir nicht mehr erfassen, können wir auch nicht mehr publizieren. Was wir noch publizieren werden, ist, ob eine Domain registriert ist, und auch die genannten technischen Daten und eben den Operational Contact.

heise online: Hinter dem Role Account könnte der Privatmann stehen?

Schweiger: Nein, normalerweise steht da der Registrar oder Reseller. Wir bräuchten übrigens zur vertragsgerechten Bereitstellung unseres Dienstes noch nicht einmal den TechC. Im Sinn einer schnellen Erreichbarkeit bei technischen Fragen halten wir das aber für richtig, nur eben in Form eines nicht persönlichen Datums.

heise online: Bekomme ich auch eine Telefonnummer oder Postadresse dazu?

Schweiger: Nein, nur die E-Mail.

heise online: Gibt es Nutzungsarten des Whois, die dann nicht mehr funktionieren?

Schweiger: Wir haben gerade einen Test in unserem Whois laufen, der uns helfen soll, die Nutzung genauer zu evaluieren. Wir wollten die Zahl und Art genauer in Erfahrung bringen und auch, wie viele Anfragen von Staatsanwaltschaften kommen, wie viele von Ordnungsbehörden oder Steuerbehörden, wie viele von anderen, und bei wie vielen es sich um automatisierte Anfragen handelt. Die Analyse soll uns helfen zu entscheiden, wie wir künftig mit diesen Anfragen umgehen müssen.

heise online: Wie viele Whoisanfragen bekommt die Denic denn? Gibt es Zwischenergebnisse?

Schweiger: Wir bekommen knapp 5000 Anfragen pro Arbeitswoche und die Zahl ist schon bereinigt um die Anfragen, die automatisiert gestellt werden. Die machen rund 30 Prozent aller Anfragen aus. Ziel unserer Analyse sind letztlich Überlegungen, wie man eine hochgradige Automatisierung bei der Abarbeitung der Anfragen schaffen kann, natürlich auf rechtlich einwandfreier Basis. Wenn ein Domaininhaber selbst überprüfen will, ob seine Informationen korrekt im Whois erscheinen, sollte das ohne weiteres möglich sein.

heise online: Da geht es um die Daten hinter der „Mauer“, also die unveröffentlichten Daten?

Schweiger: Ja. Was wir künftig nicht mehr tun werden ist, Daten sofort herauszugeben ohne zu schauen, von wem die Anfrage kommt. Wir gehen übrigens davon aus, dass auch die bisherige Praxis noch rechtskonform wäre. Sie entspricht der Bundesdatenschutzverordnung. Natürlich bringt die DSGVO einige zusätzliche Pflichten zur Bestellung von Datenschutzbeauftragten oder auch deutlich höhere Strafen. Im Kern würden wir aber davon ausgehen, dass das, was wir bislang tun, auch unter der DSGVO rechtskonform wäre.

heise online: Warum dann überhaupt die Änderung?

Schweiger: Wir gehen davon aus, dass die Rechtslage im Verlauf der Zeit eine andere Interpretation findet.

heise online: Das klingt etwas kryptisch……

Schweiger: Nun, für uns legt bislang der hessische Datenschutzbeauftragte die Datenschutzbestimmungen aus. Wir gehen einfach davon aus, dass sich dessen Interpretation unterscheidet von der anderer Datenschutzbeauftragten in Deutschland und Europa. Und da kann es sein, dass eine europaweit einheitliche Interpretation sich durchsetzt und wir wollen das nicht abwarten, sondern proaktiv damit umgehen.

heise online: Nehmen wir mal an, die Einschränkung der Veröffentlichung und die Automatisierung der Zugriffsrechte verursacht einen Haufen Probleme, ist dann ein Roll-Back zum jetzigen Status denkbar?

Schweiger: Wir wollen beim Whois einen anderen Weg beschreiten. Es kann sein, dass wir für die Umsetzung noch etwas länger brauchen als bis zum Mai, daher sagen wir, dass wir davon ausgehen, dass auch unser bisheriges System rechtskonform ist. Aber ich sehe uns auf einem Weg zu einem veränderten Whois und zu einer gemeinsamen europäischen Interpretation des Rechts.

25 von 27 jüngst gefragten ccTLDs (country code Top Level Domains) haben nach meiner Kenntnis jeweils eigene Konzepte. Es hat also noch nicht geklappt mit der Einheitlichkeit….

Wir haben als eine der allerersten Registries dafür geworben, zu einer einheitlichen Lösung zu kommen. Das Argument war, dass das einheitlich in Europa umgesetzt werden muss. In der Realität sieht es aber nicht so aus, das hat mit der Datenqualität und mit den Policies und ganz profan mit Größenordnungen zu tun. Eine TLD mit 1000 Domains kann mit jeglichen Anfragen auch nicht-automatisiert umgehen. Bei 16 Millionen muss ich genau überlegen, ob ich alle Anfragen durch personalintensive Nachforschungen auf das berechtigte Zugriffsinteresse untersuchen muss.

heise online: Lässt sich die Überprüfung des berechtigten Interesses denn überhaupt automatisieren?

Schweiger: Ich bin mir sicher, dass es Anfragen gibt, die wir heute beantworten, in Zukunft aber nicht mehr, einfach weil die Rechtsgrundlage dafür fehlt. Mit unserer laufenden Whois-Analyse wollen wir Lösungsansätze für eine mögliche automatische Prüfung entwickeln, etwa anhand von Angaben, die ein Anfrager im Nachgang machen muss.

Ich gehe aber nicht davon aus, dass das rechtssicher für jede Art von Anfrage geht. Das ist der Teil der DGSVO-Umsetzung, an dem wir noch eine Weile arbeiten werden. Wir müssen mal schauen, ob unsere Industrie in der Lage sein wird, mit möglichen Lösungen aufzuwarten. Man kann sich vorstellen, dass es Dritte gibt, die Anfrager akkreditieren. Ich müsste beispielsweise als Denic keine Staatsanwaltschaften akkreditieren, sondern ich hätte dafür einen Akkreditierungsdienstleister.

heise online: Es gibt ja die Idee, dass die ICANN als Akkreditierungsdienstleister auftritt, gerade auch für nicht-europäische Strafverfolgungsbehörden, wäre das für die Denic denkbar?

Schweiger: Da möchte ich mich heute noch nicht abschließend äußern. Ich halte es allerdings für schwierig, das für nicht-europäische Staatsanwaltschaften zu tun. Eine europäische Akkreditierungsstelle wäre für mich vorstellbar. Aber auf einen Akkreditierungsdienstleister zu vertrauen, der von ICANN gestellt wird – das würde ich doch hinterfragen wollen.

heise online: Bringt uns diese Whois-Revolution nun wirklich ein Stück mehr Datenschutz?

Schweiger: Wir führen eine sehr sehr intensive Diskussion, und als country code Top Level Domain haben wir überhaupt gar keine Verpflichtung, Whois-Daten zu veröffentlichen. Das bedeutet, letztlich könnten wir von jetzt auf gleich das Whois abschalten. Punkt.

heise online: Warum tut man das nicht?

Schweiger: Das ist eine etwas blauäugige Sicht, denn dann könnten beispielsweise Markeninhaber nicht mehr herauskriegen, wer Domaininhaber ist und dann würden sie den verklagen, der als einziger diese Daten hat. Damit würden wir uns möglicherweise einer Menge von Klagen aussetzen.

Mehr Datenschutz? Ja, ich glaube schon, wir werden weniger personenbezogene Daten veröffentlichen. Dadurch haben wir mehr Datenschutz. Wir haben allerdings auch mehr Datenschutz für die, die das Internet für maliziöse Zwecke nutzen wollen. Das bedeutet, dass es durchaus sein kann, dass wir Leute begünstigen, die wir nicht begünstigen wollen. (amo)