DSGVO: Whois Datenbank nicht konform
Die Regeln des neuen europäischen Datenschutzgesetzes DSGVO schreiben eine größere Datensparsamkeit vor als bisher. Dem kommt die Domaindatenbank Whois nicht nach, denn es werden immer noch zu viele persönliche Daten von Registrierten erhoben.
Verantwortlich für die Domain Datenbank ist die Internet Corporation for Assigned Names and Numbers (ICANN). Sie hat erst mit einiger Verspätung begonnen, die Basis für eine regelkonforme Plattform nach DSGVO Regeln zu schaffen. Das haben die Sicherheitsexperten der PSW Group recherchiert.
„Wenngleich die ICANN die schnelle Entscheidung begrüßt, sei jedoch nicht die rechtliche Klarstellung zur Umsetzung der DSGVO geschaffen. Die Organisation wird also auch künftig mit der EU-Kommission und den europäischen Datenschutzbeauftragten diskutieren“, sagt Christian Heutger, Geschäftsführer des Unternehmens. Er sieht die ICANN in der Pflicht zur Anpassung und zwar schnell. Dennoch werden immer wieder zu viele personenbezogene Daten abgefragt.
Dazu wurde das Whois auch angelegt, das ist unbestritten. Das Protokoll soll es Nutzern ermöglichen die personenbezogenen Daten zu Domaininhabern abzufragen. Das Whois führt die Daten aus verschiedenen Datenbanksystemen zu einem Punkt zusammen. Doch den europäischen Gesetzeshütern gehen die von der ICANN umgesetzten Anonymisierungsmaßnahmen im Zuge der Umsetzung des neuen Datenschutzgesetzes in Europa nicht weit genug und die ICANN steht weiterhin in der Kritik. Umstritten ist auch die Speicherung der Daten (Name, Telefonnummer, Anschrift, Mailadresse) im Ausland, obwohl die Registrierung der Domain bei einem inländischen Anbieter stattfand.
Gegen die nichtkonforme Datenerhebung und -speicherung wehrt sich der erste Registrator in Deutschland aktiv und weitere wollen dem Beispiel folgen. Die EPAC will nach eigenen Aussagen „keine personenbezogenen Daten mehr von Personen verarbeiten, zu denen kein direkter Bezug besteht“. Dagegen war die ICANN gerichtlich vorgegangen, doch der Antrag der Organisation wurde von einem Bonner Gericht abgewiesen. Das Gericht stellt fest, dass es “ vor dem Grundsatz der Datensparsamkeit nicht erkennbar sei, warum die zusätzlichen Datensätze von der WHOIS-Datenbank erhoben werden“ und der Registrator deshalb gegen kein Gesetz oder Regelungen der ICANN verstößt.