Domain-Registrierung: Angaben zum Admin-C und Tech-C nicht länger Pflicht

Möchten Sie eine Domain registrieren, sind Sie gemäß den Richtlinien des DENIC eG (Deutsches Network Information Center) dazu verpflichtet, bestimmte Daten über Ihre Domain und Ihre Person beziehungsweise über Ihre Firma an die Registry und die zuständigen Registrare zu übermitteln.

Der sogenannte Whois-Eintrag bestand in der Vergangenheit aus den persönlichen Kontaktdaten des Domain-Inhabers, des administrativen Ansprechpartners (Admin-C) und des technischen Kontakts (Tech-C) sowie des Zonenverwalters (Zone-C). Mit Inkrafttreten der kontrovers diskutierten DSGVO (Datenschutz-Grundverordnung) sind nun allerdings weitaus weniger Angaben zur Domain-Registrierung erforderlich als früher.

Seit dem 25. Mai 2018: Geänderte Whois-Regelungen beim DENIC

Seit dem 25. Mai 2018 muss die bereits im Jahr 2016 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) verpflichtend umgesetzt werden. Schon seit Monaten sorgt sie für hitzige Diskussionen zwischen Datenschutz-Befürwortern und Wirtschaftsvertretern, die ihre Geschäftsmodelle bedroht sehen. Dabei ist noch völlig unklar, wie Juristen die DSGVO in Zukunft auslegen werden, und welche konkreten Konsequenzen sie für die Wirtschaft und andere Bereiche des täglichen Lebens haben wird.

Was ist zum Beispiel mit dem DENIC, das für die Verwaltung der deutschen Top-Level-Domain (.de) verantwortlich ist und dessen Arbeit aus Datenschutzperspektive durchaus kritisch gesehen werden kann? In einem Interview vom Februar 2018 stellte CEO Jörg Schweiger bereits klar, dass das DSGVO keine Änderungen des bewährten Whois-Systems vorgibt und solche deshalb auch gar nicht zwingend erforderlich seien. Und dennoch: Seit dem 25. Mai 2018 hat das DENIC seine Regelungen zur Datenerfassung und -ausgabe grundlegend erneuert. Ein Schritt, den kritische Stimmen als „radikal“ ansehen.

Nachdem das DENIC früher umfangreiche personenbezogene Daten über Domain-Inhaber, allgemeine und technische Ansprechpartner sowie Zonenverwalter nicht nur erfasste, sondern auch im Rahmen von Whois-Domain-Abfragen öffentlich zugänglich machte, sind diese Daten künftig für Dritte bis auf wenige Ausnahmen nicht mehr einsehbar. Die neue Informationspolitik des DENIC lässt sich auch den Domainbedingungen und Domainrichtlinien auf der Website der Non-Profit-Organisation entnehmen.

Ausschlaggebend für die Entscheidung war laut Angaben der Geschäftsleitung das Prinzip der Datensparsamkeit. Mit der proaktiven Prüfung und Anpassung seines Whois-Systems sieht sich das DENIC laut Pressemitteilungen in einer „Pionierrolle“: Man will auf mögliche Auslegungen der Datenschutz-Grundverordnung bestmöglich vorbereitet sein und zugleich für eine einheitliche Interpretation der DSGVO in Europa werben.

Die Kritik am DENIC ähnelt der grundsätzlichen Kritik am DSGVO. Viele finden, dass sie den Datenfluss zu restriktiv einschränken würde. Die langfristigen Konsequenzen der neuen Regelungen lassen sich allerdings noch gar nicht exakt abschätzen. Und während einige einen positiven Effekt auf den Datenschutz prognostizieren, beklagen andere, dass in vielen Bereichen Informationen nun deutlich schwerer zu gewinnen seien.

Auch die Zielgruppe des DENIC dürften deren Entscheidung unterschiedlich beurteilen: Der Hauptzweck der Whois-Domainabfrage, nämlich die Kontaktaufnahme mit dem Domainbetreiber bei allgemeinen, technischen oder rechtlichen Anfragen, erfüllt auch das neue System. Jedoch ist es jenen, die am Kauf einer bestimmten Domain interessiert sind, nicht mehr möglich, deren Verfügbarkeit und eventuelles Ablaufdatum zu ermitteln. Für Sicherheitsforscher und Journalisten waren die umfangreichen Whois-Einträgen zudem eine gute Recherchequelle, und auch vielen Unternehmen geht nun eine wichtige Datenbasis verloren, was zum Beispiel die amerikanische Internet Corporation for Assigned Names and Numbers (ICANN) stört. Eigentlich sind Registrare nämlich verpflichtet, der ICANN Angaben zum Administrator und technischen Kontakt einer Domain zu übermitteln. Genau diese Daten dürfen in Europa gemäß DSGVO aber voraussichtlich nicht mehr erfasst werden.

Der Nutzen für den Datenschutz ist aber unbestreitbar: Unseriöse Marketer und Organisationen konnten über die Whois-Abfrage nämlich problemlos Angaben zum Domaininhaber, Admin-C, Tech-C und Zone-C ermitteln und zu Werbe- und Betrugszwecken sammeln und speichern. Das wird durch die neuen Regelungen nun verhindert.

Wie die modifizierten Pflichtangaben bei der Domain-Registrierung im Detail aussehen und welche Daten man noch beim DENIC einsehen kann, erläutern die folgenden Abschnitte.

Tipp

Sichern Sie sich jetzt eine günstige Domain bei 1&1!

Domain-Inhaber: Persönliche Daten werden erfasst, aber nicht herausgegeben

Ein Domain-Inhaber ist im Rahmen der Domain-Registrierung der Vertragspartner einer Vergabestelle. Entscheiden Sie sich dafür, eine Webadresse zu registrieren, erhalten Sie die Inhaberschaft der Domain. Bei einem Domain-Inhaber muss es sich jedoch nicht zwangsläufig um eine natürliche Person handeln. Möchten Sie eine Webadresse beispielsweise für Ihre Firma registrieren, kann auch diese samt Rechtsformzusatz als Inhaber der Domain eingetragen werden. Zudem ist es möglich, eine natürliche Person oder eine Firma als Mitinhaber der Domain zu benennen. Weitere Pflichtangaben neben dem Namen des Domain-Inhabers sind die Postanschrift sowie Telefonnummer und E-Mail-Adresse. Die Angabe eines Postfachs genügt nicht.

Zwar erhebt das DENIC diese personenbezogenen Daten auch nach Inkrafttreten der DSGVO weiterhin, sie macht sie aber nicht mehr in der Whois-Domainabfrage verfügbar. Name, Postanschrift, Telefonnummer und persönliche E-Mail-Adresse müssen also lediglich dem zuständigen Registrar übermittelt werden. Um die Funktionsfähigkeit einer Domain zu ermöglichen, sind nach wie vor technische Daten zu Nameserver und DNS-Keys erforderlich – sie bleiben deshalb auch Teil der Datenerfassung und -ausgabe. Davon abgesehen kann man bei einer öffentlichen Whois-Domain-Abfrage nur noch den Registrierungsstatus der Domain einsehen(registriert/nicht registriert).

Abgeschafft: Admin-C

Vor dem 25. Mai 2018 musste man im Rahmen der Domain-Registrierung zusätzlich zum Inhaber auch eine natürliche Person als administrativen Ansprechpartner nennen. Die entsprechenden Kontaktdaten umfassten genau wie beim Domain-Inhaber Namen, Postanschrift, Telefonnummer und E-Mail-Adresse und wurden unter dem Begriff „Admin-C“ zusammengefasst. Diese Daten werden gemäß der neuen Whois-Regelung nicht mehr erhoben und zwangsläufig auch nicht mehr angezeigt.

Stattdessen ist das DENIC dazu übergegangen, ergänzend zu den persönlichen Pflichtangaben zum Domain-Inhaber zwei nicht personalisierte E-Mail-Adressen abzufragen: eine für allgemeine und technische Anfragen und eine zur Anzeige rechtswidriger oder missbräuchlicher Nutzung einer Domain (Domain-Abuse). Für die Adressen ist der jeweilige Registrar verantwortlich.

Ebenfalls abgeschafft: Tech-C und Zone-C

Die persönlichen Kontaktdaten des Ansprechpartners für technische Fragen zu einer Domain fasste man bisher unter dem Kürzel Tech-C zusammen. Mit der proaktiven Reaktion des DENIC auf das Datensparsamkeits-Prinzip in der DSGVO werden auch sie nicht mehr erfasst und können deshalb auch nicht mehr in der Whois-Domainabfrage eingesehen werden. Als Ersatz dient nun die E-Mail-Adresse für allgemeine und technische Anfragen.

Wollte man außerdem einen Nameserver für eine registrierte Domain delegieren, musste man zudem Informationen über den verantwortlichen Zonenverwalter (Zone-C) an die Registry übermitteln. Diese bisherige Pflichtangabe entfällt in den neuen Richtlinien ersatzlos.

Ausnahmeregelungen

Mit dem Ende der DSGVO-Schonfrist hat sich die deutsche TLD-Registry dazu entschieden, personenbezogene Daten zu Domain-Inhabern, administrativen und technischen Ansprechpartnern sowie Zonenverwaltern nicht mehr ungeprüft an Dritte weiterzugeben.

Gegenüber bestimmten Individuen und Personengruppen besteht für das DENIC aber weiterhin eine gesetzliche Auskunftspflicht. Dazu zählen:

  • Behörden/Organe der Strafverfolgung und Gefahrenabwehr
  • Befugte Anspruchsteller zur zivilrechtlichen Pfändung domainvertraglicher Ansprüche
  • Besitzer von Markenrechten mit begründeter Annahme, dass die jeweilige Domain geltende Namens- oder Kennzeichenrechte verletzt

Daten werde man jedoch nur gegen Nachweis eines „berechtigten Interesses“ herausgeben, wie CEO Jörg Schweiger betont. Ob ein Anspruch besteht, werde man je nach Einzelfall entscheiden. Um die mehreren Tausend Whois-Anfragen pro Tag bearbeiten zu können, sollen teilautomatisierte Prozesse und Systeme zum Einsatz kommen.

So werden Domain-Inhaber und Zertifizierungsstellen, die eine Domain-Validierung durchführen oder ein digitales Zertifikat herausgeben wollen, bei der Nutzung der Domain-Abfrage automatisch anhand der hinterlegten Domain-Postleitzahl oder E-Mail-Adresse verifiziert. Andere Interessengruppen – wie Behörden oder Markenrechtsinhaber – sollen dagegen von menschlichem Personal identifiziert und akkreditiert werden, wobei auch hier laut DENIC eine Automatisierung vorstellbar wäre. In anderen Fällen (wie etwa bei Anfragen von Sicherheitsforschern oder Journalisten) wird die Registry dagegen keine Auskünfte mehr erteilen.

Zusammenfassung: Die neuen Whois-Regelungen

Die folgende Tabelle zeigt, welche Daten das DENIC erfasst und welche öffentlich einsehbar sind. Angaben, die früher verpflichtend gemacht werden mussten, nun aber nicht mehr erforderlich sind, wurden durchgestrichen.