Die DSGVO und die Änderungen zum Whois

In den Wochen seit unserem letzten Update, haben wir für unser DSGVO -Implementierungsprojekt viel Arbeit hinter den Kulissen geleistet. Ein Aspekt dieses Projektes, den wir nun detaillierter beschreiben können, betrifft die Änderungen zum Whois-System. Wir können auch weitere Infos teilen, wie die Erfassung und Bearbeitung von Daten unserer Resellerverträge und auch Ihrer Dienstleistungsvereinbarungen mit Endnutzern durch die DSGVO beeinflusst werden.

Whois-Änderungen

Das Whois-Verzeichnis ist ein sehr leistungsstarkes Tool. Sie können nachschlagen, wem eine Domain gehört und dabei die Telefonnummer, E-Mail und sogar die Postanschrift vom Domaininhaber ausfindig machen. Sie könne prüfen, wann eine Domain registriert worden ist, wo sie gehostet wird und wann die Laufzeit der Domain abläuft – also recht viele Informationen mit nur wenigen Klicks. Weil es das Whois-System schon so lange gibt und dieses Verzeichnis ein so grundlegendes Element des Internets ist, nehmen wir es als gegeben an; nämlich, dass es so funktionieren soll. Aber nur, weil es bisher so funktioniert hat, heißt es nicht, dass es immer so sein muss. Im Gegenteil, denn die DSGVO hat neue Diskussionen angestoßen, wie bestehende Prozesse und Richtlinien in Zukunft aussehen sollen.

Statt „Wie haben wir das bisher gemacht?“ stellen wir Fragen wie „Wie machen wir das am besten?“, „Welche Daten sind wirklich notwendig?“ und „Gibt es eine legitime, rechtliche Grundlage für diesen Prozess?“

Was ändert sich?

Die DSGVO wurde erarbeitet und gesetzlich verabschiedet ohne dass dabei die Auswirkungen auf die Domain-Branche mitbedacht wurden. Wir müssen diese neuen Vorschriften nun konkret für unser Business interpretieren und entsprechend umsetzen. Ein besonders wirkungsvoller Abschnitt der DSGVO ist Artikel 5, der die Grundsätze für die Verarbeitung personenbezogener Daten festlegt. Diese Grundsätze sind für das Whois-Verzeichnis höchstrelevant, da das Whois-System im Grunde nur ein Archiv ist, das personenbezogene Daten speichert. Warnhinweis: Wir werden uns hier kurz an die juristische Terminologie heranwagen, aber wir bitten hier um Nachsicht!

Laut der DSGVO dürfen personenbezogene Daten nur mit rechtsgültiger Begründung erfasst und bearbeitet werden. Eine Begründung, zum Beispiel, wäre die Erfüllung eines Vertrages. Ein anderer Grund wäre, wenn die betroffene Person explizit zustimmt, dass die persönlichen Daten erfasst und bearbeitet werden dürfen.

Das Prinzip der Datenminimierung erfordert, dass nur Mindestanteile an Daten erfasst werden und diese Daten dürfen ausschließlich für den zugestimmten relevanten Zweck verarbeitet werden. Hinzu kommt, das Zweckprinzip von Limitierung und Vertraulichkeit, die die Handhabung von persönlichen Daten einschränkt, so dass die Daten nicht für andere Zwecke bearbeitet oder weitergegeben werden dürfen als für die ursprünglich individuelle Vereinbarung.

Einfach gesagt, unter DSGVO:

  • Wir dürfen nur die minimalste Menge an Daten sammeln, die für eine spezifische Aktion wie z.B. Domainregistrierung erforderlich ist
  • Das Weitergeben von Daten ist erlaubt, wenn eine rechtliche Grundlage vorliegt
  • Daten dürfen ausschließlich geteilt werden, um den Verwendungszweck der Datensammlung zu erfüllen.

Was für Auswirkungen wird das nun auf das Whois-System haben? Es ist sicherlich schwierig zu begründen, dass es eine rechtliche Grundlage gibt Kontaktdaten von Domaininhabern, Admin-C oder Tech-C im öffentlichen Whois-Protokoll sichtbar zu machen. Die DSGVO macht es auf keinen Fall einfach für das Whois – denn der originale Zweck der Datensammlung war eigentlich die Domainregistrierung. Das bedeutet, dass das öffentliche Whois-System, wie es derzeit existiert, nicht kompatibel ist mit den Richtlinien des Datenschutzgesetzes, welches die DSGVO vorgibt.

Die DSGVO erkennt an, dass es Situationen gibt, in denen es gerechtfertigt ist für Drittparteien persönliche Daten abzurufen, beispielsweise bei Domain-Eigentumsrechtfragen; das berechtigte Interesse (“legitimate interests”) ist in den Richtlinien der DSGVO ebenfalls verankert. Beispiele wären, ein Rechtsanwalt für Eigentumsrecht, der den Inhaber einer Domain wegen einer Markenrechtsverletzung ausfindig machen möchte oder die Polizei, die die Täter wegen eines Phishing-Falls aufspüren müssen; diese sollten bei Investigationen in der Lage sein die Domaininhaber zu tracken. Informationen für Personen und Organisation mit berechtigten Beschwerden sollten eine volle Einsicht auf relevante Daten erhalten. Es sollte also schon ein Whois geben – aber ein Whois, das sensible persönliche Daten nicht automatisch öffentlich macht.

Ein neues Whois

DSGVO bewirkt hier eines der größten Veränderungen in der Domainindustrie: ein bewachtes, geschlossenes, eingeschränktes Whois-System.

Nicht alle Teile des Domain-Whois-Systems beinhalten persönliche Daten. Die Registrar-Informationen, Registrierungs-, Update- und Expiry-Datum, Domain-Status und Nameserverdaten bleiben wie gehabt öffentlich sichtbar.

Die Registrantdaten – Name, Organisation, Adresse, Telefonnummer und E-Mail – sind persönliche Daten und dürfen im Whois nicht mehr öffentlich sichtbar gemacht werden. Stattdessen planen wir einen authentifizierten Zugriff in spezifischer und eingeschränkter Art, so dass nur diejenigen mit berechtigen Gründen, die relevanten persönlichen Daten abrufen können. Die Privatsphäre von Personen bleibt jedoch weiterhin geschützt.

Im Folgenden ein Schaubild, wie die Änderung aussehen könnte:

Keine Sorge – die Basis-Userdaten werden für die Reseller im Reseller Control Panel weiterhin sichtbar sein. Derzeit arbeiten wir an unserer Rechtlichkeit – diese wird Änderungen in den Vertragsunterlagen Exhibit A beinhalten – wir werden Sie hier auf dem Laufenden halten.

Welche Informationen werden im Whois weiterhin sichtbar sein?

Während die DSGVO nur für EU-ansässige Personen gültig ist, gibt es in der restlichen Welt Richtlinien zum Datenschutz und zur Datensicherung, die das öffentliche Whois problematisch sowie gesetzwidrig macht. Was wir definitiv wissen ist, dass wir keine persönlichen Daten für EU-ansässige Personen im Whois sichtbar machen dürfen. Was noch eine offene Frage ist – werden wir weiterhin persönliche Daten von Domaininhabern, die außerhalb der EU sitzen, veröffentlichen? Bislang haben wir dazu noch kein finales Statement, aber wir arbeiten in den nächsten Wochen noch dran zu diesem Thema eine Antwort zu finden.

Auch wenn das öffentliche Whois „erlöscht“, es ist dennoch so, dass es ein ‘gated Whois’ geben wird. Hier erhält nur die Person Einsicht, die ein berechtigtes Interesse (“legitimate interests”) nachweisen kann. Diese Personen sind z.B. unter anderem Parteien der Strafverfolgung, Sicherheitsgemeinschaft, Anwälte für geistiges Eigentumsrecht, Aftermarket-Lieferanten und Zertifizierungsstellen.

Aber, es gibt anscheinend dennoch vereinzelte Domaininhaber, die in Versuchung sind falsche Daten zu liefern, damit ihre tatsächlichen Informationen nirgends gespeichert werden, ebenfalls nicht im ‚gated Whois’. Hierzu raten wir dringlich ab. Aus rechtlichen Gründen, beispielsweise bei Eigentumsstreitigkeiten, ist es sehr wichtig, dass die Domaininhaberdaten korrekt sind. Bei allen Vertragsvereinbarungen zur Registrierung haben die Domaininhaber die Bestätigung abgegeben, dass die Daten bei Registrierungen durch EPAG Reseller korrekt, aktuell und verlässlich sind. Dies sind von der ICANN auferlegte Bedingungen und Domaininhaber riskieren bei Nichteinhaltung, dass die Domains entweder suspendiert oder ganz gelöscht werden.

Reseller-Änderungen in diesem Jahr

All die Diskussionen über neue Richtlinien der Datenverarbeitung und -erfassung sowie die verschiedenen Prozessänderungen, die diese nach sich ziehen, bringen uns zu einer bestimmten Frage: Wie wirkt sich dies alles auf unsere Reseller aus? In der Vorbereitungsphase bis Mai 2018 sind wir dabei alles Mögliche von unserer Seite vorzubereiten, um bei Ihnen möglichst die Änderungen minimal zu halten. Doch trotz unseren größten Bemühungen, gibt es dennoch unvermeidliche Dinge, die Sie als Reseller selbst abwickeln müssen.

Dies umfasst eine Reise ins juristische Neuland. Gemäß unserer Auswertung, ist EPAG ‚Data Controller‘ (Verantworlicher) (Wir entscheiden über „die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“) für bestimmte Datenelemente: Domaininhaber Vor- und Nachname, Organisation, E-Mai Adresse und Land. Dies sind alle notwendigen Informationen, die wir benötigen, um die Registrierungsrichtlinien mit dem Domaininhaber zu erfüllen. Für alle weiteren Datenelemente (z.B. u.a. Adresse, Telefon- und Faxnummer) sind wir lediglich ‚Data Processor‘ (Auftragsverarbeiter). Der Unterschied ist hier, dass wir die Daten im Auftrag der Registry oder des Resellers bearbeiten, obwohl die Daten für unsere Belange nicht weiter erforderlich sind. Wir benötigen keine postalische Adresse des Domaininhabers um die Domain zu registrieren, aber Sie als Reseller benötigen diese z.B. für Abrechnungszwecke. Diverse Datenvoraussetzungen bestehen ebenfalls auf Registry-Ebene. Als ‚Data Processor‘ speichern und übermitteln wir diese Daten im Auftrag der Registries und Reseller – um den Informationsaustausch stattfinden zu lassen, muss dies durch eine DSGVO-konforme Vereinbarung abgesichert sein.

Zu diesem Zweck wird es definitiv eine Aktualisierung der Reseller-Verträge geben – wir werden Informationen hinzufügen, die wir als Data Controller benötigen. Ebenso kommen die oben genannten Änderungen hinzu, so dass weiterhin für Reseller im Control Panel persönliche Kundendaten bedenkenlos nutzbar sein können.

Als Reseller sollten Sie mit Ihrem eigenen Rechts-Team zusammenarbeiten, um Ihre Kundenverträge auf Änderungen zu prüfen bevor sich der Stichtag – 25. Mai 2018 – nähert. Wir werden für unsere Reseller weiterhin Infos bereitstellen, die für End-User-Service Vereinbarungen hilfreich sind – bleiben Sie daher dran!

Was folgt?

Im nächsten DSGVO-Update berichten wir darüber, wie wir planen die Zustimmung von Personen zur Bearbeitung von persönlichen Daten zu erhalten. Bis dahin, arbeiten wir weiter eifrig an unserer Umsetzung. Als Reseller können Sie derweil passende Rechtsberatung aufsuchen und intern schauen, wie Sie persönliche Informationen Ihrer Kunden sammeln – Wie vereinbaren sich diese mit den DSGVO-Grundlagen in Bezug auf Daten-Minimierung, Verwendungszeck und Vertraulichkeit?

Sie können die Grundlagen somit erfassen und finden hilfreiche Infos auf unserer GDPR-Seite. Unser vorangegangener Blog zeigt Ihnen ebenfalls nützliche Hilfsquellen auf, die bei der GDPR-Praxis und Umsetzung entstehen werden. Und zu guter Letzt, melden Sie sich für unseren Newsletter an, so dass Sie nichts verpassen und auf dem neusten Stand bleiben!