Die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Kommission trat am 25. Mai in Kraft. Am 17. Mai hatte die ICANN endlich eine vorläufige Fassung für gTLD Registries und Registrare bekannt gegeben. Die vorläufige Fassung, die nach 90 Tagen überprüft wird, wird eine deutliche Reduzierung der Informationen, die bei der Durchführung von WHOIS-Anfragen angezeigt werden, nach sich ziehen. Dennoch werden die Registranten weiterhin die gleichen Informationen wie bisher liefern müssen.
Die Änderungen, die sich nur auf generische Top Level Domains (gTLDs) wie .com, .berlin und .shop beziehen, erfolgen zwei Jahre nach Verabschiedung der GDPR am 14. April 2016 und werden nun, nach Ablauf einer zweijährigen Übergangsfrist, am 25. Mai 2018 in Kraft treten. Trotz dieses Zeitrahmens hat die ICANN, die vorläufige Fassung für gTLD-Registrierungsdaten, erst am 17. Mai genehmigt, wobei ein Entwurf bereits am 11. Mai veröffentlicht wurde. Registries und Registrare hatten 7 Tage Zeit, um Änderungen an ihren Systemen abzuschließen und umzusetzen, oder 14 Tage, wenn sie bereits begonnen hatten, als der Entwurf veröffentlicht wurde. Das heißt, wenn sie auf den Prozess der ICANN, der im Schneckentempo voranging, gewartet hatten.
Die GDPR wurde von der europäischen Kommission entwickelt, um Einzelpersonen mehr Kontrolle über ihre Daten, die bei Unternehmen liegen, einschließlich derer bei Registries und Registraren, zu geben. Sie gilt auch für Unternehmen außerhalb der EU, die Daten über Bürger und Einwohner der EU besitzen. Die Auswirkungen sind weitreichend und die Strafen für Verstöße sind hoch – Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens, abhängig davon, welcher Betrag höher ist, können verhängt werden.
Die Genehmigung einer vorläufigen Fassung durch die ICANN ist das Ergebnis einer 12-monatigen Beratung mit der Community und „ein wichtiger Schritt, um die ICANN und ihre Vertragsparteien in Übereinstimmung mit der GDPR zu bringen“, sagte die Vorsitzende der ICANN, Cherine Chalaby. „Obwohl es noch einige ungeklärte Punkte gibt, bringt die Verabschiedung dieser vorläufigen Fassung uns auf den richtigen Weg, um das WHOIS im öffentlichen Interesse halten und gleichzeitig die GDPR bis zum 25. Mai einzuhalten“.
Die vorläufige Fassung wird vom ICANN Board in 90 Tagen überprüft, um ihre Verabschiedung, falls erforderlich, zu bestätigen. Sie muss auch die Zustimmung der Europäischen Kommission finden, deren Datenschutzgruppe nach Artikel 29 im April diesen Jahres Bedenken zu den Vorschlägen der ICANN geäußert hat.
Was sollte also am 25. Mai geschehen sein? Registry Betreiber und Registrare sind weiterhin verpflichtet, alle WHOIS-Informationen für generische Top Level Domains (gTLDs) zu sammeln. Allerdings erhalten WHOIS-Abfragen im Gegenzug nur „dünne“ Daten, die rein technisch sind, aber ausreichen, um den herausgebenden Registrar, den Status der Registrierung, sowie das Erstellungs- und Verfallsdatum jeder Registrierung zu identifizieren, nicht aber persönliche Daten.
Für Dritte, die ein berechtigtes Interesse daran haben, Zugang zu den nicht veröffentlichten Daten der Registry oder der Registrare zu erhalten, gibt es immer noch Mittel und Wege, auf diese Daten zu zugreifen. Anfragen können über den herausgebenden Registrar gestellt werden und dieser ist verpflichtet, in einer angemessenen Zeit zu antworten. Wenn keine Antwort eingeht, steht der ICANN ein Beschwerdemechanismus zur Verfügung. Sollten einzelne Parteien ihren Verpflichtungen aus diesem vorläufigen Entwurf oder ihren Vereinbarungen mit der ICANN nicht nachkommen, kann die Abteilung für Vertragseinhaltung der ICANN kontaktiert werden, um eine Beschwerde einzureichen.
Die Änderungen unterscheiden sich nicht von denen, die von mehreren europäischen Länderdomain-Registries (ccTLD) durchgeführt werden. Einige, wie die österreichische Registry nic.at, haben eine „dünnes“ Modell für die Registrierung von Domain-Namen eingeführt, aber juristische Personen oder Unternehmen müssen weiterhin „dicke“ WHOIS-Daten veröffentlichen lassen. Andere, wie die DENIC, die deutsche ccTLD Registry, erfassen lediglich Kontaktdaten des Domaininhabers, wie zusätzliche E-Mail Adressen als Anlaufstellen für Missbrauchsmeldungen und allgemeine und technische Anfragen sowie die üblichen technischen Domain-Daten, die dem ICANN Modell ähneln.
Registrare sind frustriert. Auf der Domain Pulse-Konferenz im Februar in München, äußerten die Registrare Bedenken über das langsame Tempo der Beratungen und wie spät Lösungen, nicht nur von der ICANN, sondern auch von den ccTLD Registries, angeboten werden.
Die Registrare zeigten sich frustriert darüber, dass die gesamte Branche nur langsam Lösungen entwickelte und diese erst im Februar fertig gestellt wurden. Die Änderungen erfordern erhebliche Ressourcen, um sie umzusetzen. In einer Branche, die mit hauchdünnen Margen arbeitet, ist das keine ideale Situation.
Manche sind auch der Ansicht, dass die Änderungen ein Segen für Cyberkriminelle sein werden. Krebs on Security hat festgestellt, dass „Cyberkriminelle ihre wirklichen Informationen nicht in WHOIS-Registrierungsdaten verwenden… eigentlich alle Informationen, die sie angeben – und insbesondere Informationen, die sie über mehrere Domains und Cyberkriminalitäts-Kampagnen hinweg wiederverwenden – sind von unschätzbarem Wert, sowohl für die Cyberkriminellen Gruppen und deren Operationen, als auch letztlich zu ermitteln, wer für diese Aktivitäten verantwortlich ist.“ Und während einige Cyberkriminelle die Vorteile des Datenschutzes nutzen, „basierend auf unzähligen Untersuchungen, die ich mit WHOIS durchgeführt habe, um Unternehmen und Betreiber von Cyberkriminalität aufzudecken, würde ich wetten, dass Cybercrooks diese Dienste häufiger nicht nutzen“.