Die Domain-Registrierungsdatenbank WHOIS kommt nach Einschätzung der Experten der PSW Group den Grundsätzen der Datensparsamkeit der DSGVO nicht nach. Denn die Registratoren einer Domain erheben zu viele personenbezogene Daten. Darauf machen die IT-Sicherheitsexperten (www.psw-group.de) vor Kurzem aufmerksam und verweisen auf ein entsprechendes Urteil des Landgerichts Bonn. „Bei WHOIS handelt es sich um ein Protokoll, das es ermöglicht, Informationen von einem verteilten Datenbanksystem zu Domains sowie IP-Adressen und den jeweiligen Eigentümern abzufragen. Immerhin wurde mit Inkrafttreten der Datenschutz-Grundverordnung die Datenherausgabe etwas reduziert“, erklärt Christian Heutger, Geschäftsführer der PSW Group.

Christian Heutger, Geschäftsführer der PSW Group.

Christian Heutger, Geschäftsführer der PSW Group.

Wer bis dahin nämlich eine WHOIS-Abfrage stellte, erhielt demnach die Daten des Eigentümers der Website sowie die des Administrators aus der WHOIS-Datenbank. Erfragt werden konnten verschiedene Daten wie Namen, Anschriften, E-Mail-Adressen, Telefon- sowie Fax-Nummern sämtlicher beteiligter Personen. „Das Problem ist, dass damit zu viele Daten erhoben und diese dann auch noch im Ausland gespeichert und durch die entsprechende Abfrage öffentlich zugänglich gemacht wurden“, erläutert Heutger die datenschutzrechtliche Problematik.

Die für die WHOIS-Datenbank zuständige Internet Corporation for Assigned Names and Numbers (ICANN) musste sich zwar den Regeln der DSGVO beugen, begann jedoch viel zu spät damit, die Basis für eine DSGVO-konforme WHOIS-Abfrage zu schaffen. Darüber hinaus ist die Organisation der Überzeugung, dass alle bisherigen Daten trotz Inkrafttreten der DSGVO abgefragt werden sollen.

„Dagegen immerhin wehrt sich die EPAG, der in Deutschland beheimatete Registrar. Sie will keine personenbezogenen Daten mehr von Personen verarbeiten, zu denen kein direkter Bezug besteht. Darunter fallen insbesondere die Kontakte zu Administratoren von Web-Seiten“, so Heutger weiter.

Die darauffolgende Klage der ICANN vor dem Landgericht Bonn verlor die Organisation. Das Gericht wies den Antrag auf einstweilige Anordnung gegen EPAG mit der Begründung ab, dass vor dem Grundsatz der Datensparsamkeit nicht erkennbar sei, warum die zusätzlichen Datensätze von der WHOIS-Datenbank erhoben werden. Wenngleich die ICANN die schnelle Entscheidung begrüßt, sei jedoch nicht die rechtliche Klarstellung zur Umsetzung der DSGVO geschaffen, so Heutger weiter. Die Organisation werde also auch künftig mit der EU-Kommission und den europäischen Datenschutzbeauftragten diskutieren. Weitere Informationen gibt es unter: www.psw-group.de/blog/whois-domain-datenbank-kommt-grundsatz-der-datensparsamkeit-nicht-nach/6552.

Dr. Jörg Schröper ist Chefredakteur der LANline.