Tucows Stellungnahme zum Gerichtsverfahren der ICANN

ICANN hat am Freitag, den 25. Mai 2018, ein Gerichtsverfahren1 gegen die EPAG Domainservices GmbH, ein zur Tucows-Gruppe gehörender Registrar mit Sitz in Bonn, eingeleitet. Dieser Schritt ist Folge unterschiedlicher Einschätzungen von Tucows und ICANN hinsichtlich der Auslegung der Datenschutz-Grundverordnung (DS-GVO) im Hinblick auf die zwischen beiden Parteien bestehenden Verträge. Wir werden unsere Position in dieser Angelegenheit zu gegebener Zeit vor Gericht begründen und verteidigen, möchten jedoch zwischenzeitlich mit dieser Stellungnahme Einblick in die Hintergründe dieser Auseinandersetzung geben.

Der Gesetzestext der DS-GVO beginnt mit einem Grundprinzip: “Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.” Tucows hat sich seit langem mit Datenschutz und den Rechten unserer Kunden beschäftigt, und nimmt die in dieser Verordnung verankerten Prinzipien sehr ernst.

Bei der Gestaltung eines Domain-Registrierungssytems nach den Maßgaben des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen (“data protection by design and default”) haben wir uns zunächst an der DS-GVO selbst orientiert und unsere Prozesse und Richtlinien dementsprechend entworfen. Dabei herausgekommen ist ein neues Registrierungssystem, das Nutzern die Verwaltung ihrer Einwilligungen zur Datenverabeitung ermöglicht, und eine Datenverarbeitung die sich nach den Maßgaben der DS-GVO richtet. Aspekte wie Transparenz, Rechenschaftspflichten, Beschränkungen der Datenhaltung oder Datenminimierung werden durch den gesamten Domain-Lebenszyklus hinweg berücksichtigt.

Der Registrar-Akkreditierungsvertrag von ICANN in der Fassung von 2013 verpflichtete uns zur Umsetzung eines Domain-Registrierungsprozesses, bei dem wir nicht nur eigentlich überflüssige Daten erhoben und weitergegeben haben, sondern auch personenbezogene Daten erhoben und weitergegeben haben, obwohl wir dafür möglicherweise keine rechtliche Grundlage hatten. Nicht genug damit, wir sahen uns sogar gezwungen, personenbezogene Daten von Personen zu verarbeiten zu denen wir nicht einmal einen direkten Bezug haben – die Admin- und Tech-Kontakte.

ICANNs Ziel seit Beginn der Diskussionen über die Auswirkungen der DS-GVO auf Domain-Registrierungen war die weitestgehend mögliche Erhaltung des Status Quo. Dies hat ICANN bei der Umsetzung der DS-GVO zu einer Herangehensweise der “Verarbeitungs-Reduzierung” verleitet – im Gegensatz zum Ansatz von Tucows, stattdessen mit der DS-GVO zu beginnen und die eigenen Systeme dementsprechend von Grund auf neu zu konzipieren. Die beiden Ansätze haben zu deutlich unterschiedlichen Ergebnissen geführt, und in der Folge ist nun zu klären ob ICANNs Drängen darauf, dass Registrare weiterhin den vollständigen (“thick”) Whois-Datensatz erheben und diese Daten an gTLD-Domain-Vergabestellen weitergeben, mit der DS-GVO vereinbar ist. Die Notwendigkeit einer rechtlichen Klärung dieser Frage steht im Kern des von ICANN angestrengten Gerichtsverfahrens.

—-

Am 17. Mai 2018 hat der ICANN-Vorstand eine “Temporäre Spezifikation2” verabschiedet, die gTLD-Registrierungsdienste mit der DS-GVO vorübergehend in Einklang bringen sollen. Die Spezifikation ist eine Übergangslösung für den Zeitraum, in dem die ICANN-Community an einer dauerhaften Lösung arbeitet, die die Gegensätze zwischen Datenschutzrecht und bestehenden ICANN-Richtlinien ausgleicht.

Vor diesem Hintergrund sehen wir drei Kern-Aspekte der Temporären Spezifikation, die wir für nicht vereinbar mit der DS-GVO halten. Diese Aspekte betreffen die Erhebung, die Weitergabe und die Veröffentlichung personenbezogener Daten von Domain-Inhabern und den anderen vertraglich vorgeschriebenen Kontakten.

Erhebung personenbezogener Daten

Paragraph 5.1 (c) der DS-GVO befasst sich mit Datenminimierung: nur die tatsächlich notwendigen personenbezogene Daten sollen erhoben und verarbeitet werden. Für Tucows ist unstrittig, dass wir bestimmte Daten zum Domaininhaber weiterhin erfassen müssen – schließlich ist sicherzustellen, dass wir mit der Person Kontakt aufnehmen können, die die rechtliche Verantwortung für eine Domain trägt. Für den überwiegenden Teil der gTLDs jedoch sind Domaininhaber, Admin- und Tech-Kontakt identisch. In dieser Hinsicht spielt die Erhebung des Admin- und Tech-Kontakts keine Rolle, da die Daten dem Domaininhaber entsprechen.

Gleichwohl gibt es das weniger übliche Szenario, in dem der Admin- oder Tech-Kontakt nicht mit dem Domaininhaber übereinstimmt. In diesen Fällen ist die vorgeschriebene Erhebung von Daten dieser Kontakte problematisch, da wir zur Speicherung und Verarbeitung personenbezogener Daten von Personen gezwungen sind, zu denen unsererseits keinerlei Vertragsbeziehung besteht.

ICANN wird den Beweis antreten müssen, dass der geringe und nur ansatzweise nutzbringende Vorteil der Erhebung, Verarbeitung und Weitergabe von personenbezogenen Admin- und Tech-Daten für die Zwecke Dritter die in der DS-GVO verankerten Prinzipien der Datenminimierung und Rechtmäßigkeit der Verarbeitung übersteigt. Wir finden das Argument, dass duplizierte technische Kontakte zur Gewährleistung der Sicherheit und Stabilität des DNS erforderlich sind, nicht schlüssig. Wir konnten das bei unserer ursprünglichen Betrachtung der damals neuen Verordnung nicht nachvollziehen, und auch die Temporäre Spezifikation von ICANN konnte uns nicht davon überzeugen.

Tucows wird dafür sorgen, dass diejenigen, die ein berechtigtes Interesse vorweisen können, wie z.B. Strafverfolgungsbehörden oder mit der Wahrung der Interessen Ihrer Mandanten befasste Markenrechts- oder Prozess-Anwälte, auch weiterhin Zugang zu Domain-Inhaberdaten haben. Wir sehen uns täglich mit Umständen konfrontiert, in denen die Weitergabe dieser Daten rechtlich erforderlich ist, und dies wird sich auch nicht ändern. Wir erheben die Kontaktdaten für den Inhaber einer jeden Domain, die über eine unserer Systeme registriert wird, und sind in der Lage diesen Inhaber zu kontaktieren. Sofern erforderlich, geben wir diese Daten an Strafverfolgungsbehörden und andere, die ein berechtigtes Interesse vorweisen können weiter.

Weitergabe personenbezogener Daten an Vergabestellen

Die Registraren weiterhin von ICANN auferlegte Verpflichtung, sämtliche erhobenen Daten an die zuständige Vergabestelle weitergeben zu müssen, steht im Gegensatz zur Anforderung der DS-GVO, dass eine Datennutzung nur auf Grundlage eines berechtigten Interesses erfolgen kann. Es gibt Umstände in denen eine solche Weitergabe notwendig und angemessen ist, beispielsweise im Fall einer Top-Level-Domain, die besondere räumliche Anforderungen an den Wohnsitz des Domaininhabers stellt. Wir stehen solchen Umständen nicht ablehnend gegenüber, benötigen aber eine vertragliche Vereinbarung zwischen uns und der Vergabestelle über die Erhebung, Verarbeitung und Weitergabe solcher spezifischen personenbezogenen Daten.

Ungeachtet dessen erheben wir als Registrar bereits alle Daten, die wir zum Abschluss eines Vertrags mit einem Domaininhaber und der Erbringung der gewünschten Dienstleistungen benötigen. Eine grundsätzliche Weitergabe dieser Daten an eine Vergabestelle außerhalb der oben genannten Umstände ist nicht notwendig – wie bereits das jahrzehntealte Modell des “thin whois” beweist, dem 140 Millionen .com- und .net-Domains folgen. Wir sind nicht der Ansicht, dass die Temporäre Spezifikation eine belastbare rechtliche Grundlage für die Weitergabe personenbezogener Daten an Vergabestellen liefert, und sehen inakzeptable rechtliche Risiken einer Umsetzung im Zusammenhang mit der DS-GVO.

Veröffentlichung personenbezogener Daten

ICANN hat uns außerdem dazu verpflichtet, weiterhin die Datenelemente Organisationsname, Bundesland und Staat des Domaininhabers im öffentlichen Whois zu veröffentlichen. Wir widersprechen der Anforderung, dass der Organisationsname veröffentlicht werden muss, da Domaininhabern in zahlreichen Fällen nicht bewusst ist, dass diese Angabe optional ist, und stattdessen ihren Vor- und Nachnamen im Organisationsfeld angeben. Wir möchten die personenbezogenen Daten dieser Domaininhaber nicht aufgrund eines Mißverständnisses unweigerlich veröffentlichen, und erwarten dass es eines langen Zeitraums bedarf, Domaininhaber über die korrekte Verwendung dieses Feldes zu unterrichten und die darin enthaltenen Daten zu bereinigen.

Wunsch einer Klärung

Im Kern stimmen ICANN und Tucows nicht darin überein, welche Auswirkung die DS-GVO auf unseren Vertrag hat. Die Fakten und Gesetzeslage stützen unserer Ansicht nach nicht die von ICANN vertretene Einschätzung der Auswirkungen auf die Sicherheit und Stabilität des Internet. Ebenso sehen wir die in der Temporären Spezifikation dargelegten Zwecke nicht im Verhältnis zu den Risiken und Folgen einer Fortsetzung der Erhebung, Verarbeitung und Veröffentlichung unnötiger Daten. Wir sehen der Klärung dieser Fragen, die sich aus diesem Gerichtsverfahren ergeben wird, positiv entgegen.

1https://www.icann.org/news/announcement-2018-05-25-en
2https://www.icann.org/news/announcement-2018-05-17-en