Thought Leadership
Die Domain-Registrierungsdatenbank WHOIS kommt den Grundsätzen der Datensparsamkeit der DSGVO nicht nach. Denn die Registratoren einer Domain erheben zu viele personenbezogenen Daten.
Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf ein entsprechendes Urteil des Landgerichts Bonn.
„Bei WHOIS handelt es sich um ein Protokoll, das es ermöglicht, Informationen von einem verteilten Datenbanksystem zu Domains sowie IP-Adressen und den jeweiligen Eigentümern abzufragen. Immerhin wurde mit Inkrafttreten der Datenschutz-Grundverordnung die Datenherausgabe etwas reduziert“, erklärt Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG. Wer bis dahin nämlich eine WHOIS-Abfrage stellte, erhielt die Daten des Eigentümers der Website sowie die des Administrators aus der WHOIS-Datenbank. Erfragt werden konnten verschiedene Daten wie Namen, Anschriften, E-Mail-Adressen, Telefon- sowie Fax-Nummern sämtlicher beteiligter Personen. „Das Problem ist, dass damit zu viele Daten erhoben und diese dann auch noch im Ausland gespeichert und durch die WHOIS-Abfrage öffentlich zugänglich gemacht wurden“, erläutert Heutger die datenschutzrechtliche Problematik.
Die für die WHOIS-Datenbank zuständige Internet Corporation for Assigned Names and Numbers (ICANN) musste sich zwar den Regeln der DSGVO beugen, begann jedoch viel zu spät damit, die Basis für eine DSGVO-konforme WHOIS-Abfrage zu schaffen. Darüber hinaus ist die Organisation der Überzeugung, dass alle bisherigen Daten trotz Inkrafttreten der DSGVO abgefragt werden sollen. „Dagegen immerhin wehrt sich die EPAG, der in Deutschland beheimatete Registrar. Sie will keine personenbezogenen Daten mehr von Personen verarbeiten, zu denen kein direkter Bezug besteht. Darunter fallen insbesondere die Kontakte zu Administratoren von Webseiten“, so Christian Heutger weiter. Die darauffolgende Klage der ICANN vor dem Landgericht Bonn verlor die Organisation. Das Gericht wies den Antrag auf einstweilige Anordnung gegen EPAG ab mit der Begründung, dass vor dem Grundsatz der Datensparsamkeit nicht erkennbar sei, warum die zusätzlichen Datensätze von der WHOIS-Datenbank erhoben werden.
„Wenngleich die ICANN die schnelle Entscheidung begrüßt, sei jedoch nicht die rechtliche Klarstellung zur Umsetzung der DSGVO geschaffen. Die Organisation wird also auch künftig mit der EU-Kommission und den europäischen Datenschutzbeauftragten diskutieren“, resümiert der IT-Sicherheitsexperte.
Weitere Informationen unter: https://www.psw-group.de/blog/whois-domain-datenbank-kommt-grundsatz-der-datensparsamkeit-nicht-nach/6552
