Neue Domain WHOIS ab 2018?
Die Einführung der neuen EU-Datenschutzgrundverordnung (GDPR) ist für den 25. Mai 2018 geplant. In diesem Gesetz werden alle Unternehmen dazu verpflichtet, vor der Sammlung, Speicherung und Veröffentlichung von Daten die Zustimmung des jeweiligen Besitzers bzw. der jeweiligen Person einzuholen. Das gilt auch für Unternehmen außerhalb der EU, wenn sie Angebote für Nutzern in den EU-Mitgliedsstaaten unterbreiten.
Durch das neue Gesetz gerät die ICANN als Verwalterin des DNS in Zugzwang, denn bisher hatte sie über das WHOIS-System unbeschränkten Data-Zugriff. Die renommierte Kanzlei Hamilton fertigte im Auftrag der ICANN eine Analyse an, die Bezug zur neuen EU Datenschutzverordnung nimmt und stellt im ersten Teil des Berichtes, veröffentlicht im Oktober 2017, fest, dass das WHOIS System in aktueller Version nur aufrecht erhalten werden kann, wenn jeder Domainbesitzer seine Einwilligung zur Nutzung der Daten gibt.
Der Aufwand wäre riesig, die Zustimmung aller Beteiligten einzuholen und es müsste im Vorfeld geklärt werden, wie mit Widerrufen umgegangen wird. Das ist für die Internetverwaltung, die bereits jetzt Druck von kleineren Registries aus den Niederlanden bekommt, kaum lösbar – zumindest nicht in der kurzen Zeit bis Mai 2018. Laut neuem EU-Regelwerk drohen bei Verstößen gegen den Datenschutz Strafen bis zu 20 Millionen Euro.
Registries suchen nach neuen Ideen
Die großen Registries VeriSign und Afilias suchen nach Auswegen, die sowohl dem WHOIS als auch der neuen Datenschutzgrundverordnung der EU gerecht werden können.
Verisign, Verwalterin der .com und .net TLD hat ein Pilotprojekt namens »Registration Data Access Protocol« (RDAP) aufgelegt, das sich in der Testphase befindet. Das Projekt ist webbasiert und stellt den Testnutzern ein übersichtliches Formular im JSON-Format (JavaScript Object Notation), das aber ohne ohne zusätzliche Software oder Plug-Ins nicht nutzbar ist.
Afilias ist die Verwalterin der .info Top-Level-Domain. Das RDAP-Testprojekt dieser Registry arbeitet ohne webbasierte Anwendungen und auf Basis von URLs. Auch dieses Testprojekt scheint nicht absolut praktikabel. Zudem beschränken sich beide Varianten nur auf die „hauseigenen“ TLDs mit Ausnahme einiger Wildcarts. Beider Registries haben zudem zu klären, ob die Pilotprojekte mit dem neuen Regelwerk der GDPR konform sind.
Welche weiteren Domainverwaltungen an eigenen Vorschlägen oder Projekten zu einem datenschutzgerechten WHOIS arbeiten, ist derzeit nicht bekannt. Die ICANN hat allerdings angekündigt, verschiedene Vertragsmodelle für die Registries auszuarbeiten und spricht von „Abstufungen“ im Datenschutz.