Meine Meinung zum neuen Datenschutz

Die illegale Beschaffung und Verwendung von Millionen von Datensätzen von Internetnutzern für die verschiedensten Zwecke wie Erpressung, Wahlbeeinflussung, Monetarisierung, Profiling oder die schlichte Veröffentlichung und damit Bloßstellung ist längst zu einem bestimmenden Thema in den Medien geworden. Fast täglich werden neue Datenlecks und -diebstähle gemeldet, zum Schaden von Privatpersonen und der Glaubwürdigkeit des Datenschutzes.

Der massive Datenmissbrauch durch Organisationen zeigt, welche Herausforderungen für die Politik und Gesellschaft bestehen und welche Gefahren sich für Demokratie und Freiheit daraus ergeben.

Umso erstaunlicher mutet es an, dass die größtenteils mit persönlichen Daten bestückten Datensätze von weltweit über 250 Millionen Internetadressen (auch Domains genannt) über das so genannte WHOIS jahrzehntelang vollkommen frei und öffentlich zugänglich waren. Die Daten beinhalten bei der überwiegenden Mehrheit der Internetadressen den Namen, die Adresse, Telefon- und Faxnummer sowie die E-Mail-Adressen von Personen.

Maßgeblicher Protegé dieser Regelung ist die in Kalifornien ansässige Internet-Verwaltungsorganisation ICANN, die sämtliche Internet-Adressendungen (.de, .com, .berlin, usw.) sowie IP-Adressen über zentrale Server verwaltet. Das Argument für eine Veröffentlichung der Daten ist, dass jederzeit nachvollziehbar sein soll, wem eine bestimmte Internetadresse gehört. Und zwar, weil angeblich unheimlich viel Schindluder mit Internetadressen getrieben wird und Regierungen, Strafverfolgungsbehörden und die Inhaber von Markenrechten dem schnell entgegenwirken können müssen.

Mit einer solchen Argumentation müsste dann aber auch das wohlgehütete Register der Inhaber von Autokennzeichen frei zugänglich sein – zumal im Kraftfahrzeugverkehr mit Sicherheit deutlich mehr Personen beleidigt, bedrängt, verletzt und sogar getötet werden. Im Jahr 2017 wurden allein auf Deutschlands Straßen 3.206 Personen getötet und 301.200 verletzt.

Im Gegensatz dazu ist kaum ein Fall bekannt, bei dem eine Person durch eine Internetadresse oder Webseite verletzt oder gar getötet wurde. Ein enormer Schaden entsteht vielmehr dadurch, dass die öffentlich zugänglichen E-Mail-Adressen illegal von Verbrechern für Spam, das Abfischen von Passwörtern, das Verbreiten von Computer-Viren und das Verkaufen gefälschter Waren genutzt werden. Damit entsteht Jahr für Jahr ein volkswirtschaftlicher Schaden in Milliardenhöhe.

De facto ist es heute so, dass nach der Registrierung einer Internetadresse keine 24 Stunden vergehen, bis die erste Spam-E-Mail eingeht und dem Eigentümer der neuen Adresse beispielsweise suggeriert, dass er US$ 199,00 ausgeben müsse, um bei Google gelistet zu werden. Und das ist erst der Anfang eines jahrelangen E-Mail-Bombardements.

Spätestens mit dem 25. Mai 2018 ist – zumindest in Europa – mit der Veröffentlichung von personenbezogenen Daten zu einer Internetadresse Schluss, da ansonsten empfindliche Strafen riskiert werden. So sieht es die an die EU-Richtlinien angelehnte Datenschutz-Grundverordnung, kurz DSGVO, vor.

Als Privatperson begrüße ich die Regeln der DSGVO und den Schutz von Privatpersonen – und habe daher an deren Umsetzung für die Internet-Branche mitgearbeitet. Damit wurde erreicht, dass auch der ICANN konsumentenfreundliche Regelungen abgerungen werden konnten. So dürfen beispielsweise auch amerikanische Internet-Registrare keine personenbezogenen Daten bei einer .com Internet-Adresse eines EU-Bürgers mehr veröffentlichen.

Gleichzeitig warne ich aus Erfahrung vor überzogenen Erwartungen. Es brauchte lange, um dem Datenmissbrauch von Facebook und Cambridge Analytica auf die Spur zu kommen; und es gibt auch heute Online-Dienste, die die Daten von hunderten Millionen von Inhabern von Internetadressen zum Teil illegal über die letzten 20 Jahre gesammelt haben und kaum bereit sind, den Löwenanteil der Daten mit dem 25. Mai 2018 zu löschen.

Ich rate daher jedem Inhaber einer Internetadresse zu prüfen, ob und vom wem seine persönlichen Daten, z.B. die E-Mail-Adresse, veröffentlicht werden und diesen schriftlich per E-Mail oder Brief aufzufordern, diese zu löschen. Wenn der Angeschriebene nicht oder nicht angemessen reagiert, ist dies ein Fall für die Datenschützer im Wohnsitz-Bundesland des Adressinhabers. Die jeweiligen Datenschutzbeauftragten sind auf der folgenden Webseite der Bundesregierung zu finden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Nachtrag

Nachtrag am 29.05.2018: Eine sehr gute Zusammenfassung und Kommentierung von Prof. Milton Mueller, übersetzt aus dem Englischen mit www.DeepL.com/Translator

Die einstweilige Verfügung: ICANNs lahmer Versuch, das DNS in ein Markenregister zu verwandeln

https://www.internetgovernance.org/2018/05/28/the-injunction-icanns-lame-attempt-to-turn-dns-into-a-trademark-registry/#comment-42440

Geschrieben am 28. Mai 2018 von Milton Mueller – Internet Identifiers, Privacy & Surveillance

Die Kollision zwischen dem Whois-Regime der ICANN und der Europäischen Allgemeinen Datenschutzverordnung (GDPR) nahm am 25. Mai 2018 eine entscheidende Wendung, als die ICANN ein einstweiliges Verfügungsverfahren gegen EPAG, einen mit Tucows verbundenen deutschen Registrar, einleitete. EPAG hatte der ICANN mitgeteilt, dass sie ab dem 25. Mai keine administrativen und technischen Kontaktdaten mehr erfassen wird, wenn sie neue Domains verkauft. EPAG ist der Ansicht, dass die Erhebung solcher Daten gegen die GDPR-Regeln verstößt. „Wir reichen in Deutschland eine Klage ein, um die Sammlung von WHOIS-Daten zu schützen und um weitere Informationen darüber zu erhalten, dass die ICANN weiterhin ihre Sammlung verlangen kann“, sagte John Jeffrey, General Counsel und Sekretär der ICANN.

Die endgültige Entscheidung in diesem Fall liegt nun natürlich in den Händen eines deutschen Gerichts. Wie es in der Pressemitteilung der ICANN heißt, stimmt EPAG nicht mit der ICANN überein, was sie tun muss, um die GDPR einzuhalten, und die Klage zielt darauf ab, diesen Unterschied in der Auslegung zu klären. Insofern ist der Unterlassungsantrag eine positive Entwicklung, da eine gerichtliche Entscheidung die Unsicherheit auf allen Seiten der Kontroverse verringern dürfte. In diesem Artikel überprüfen wir die Einreichung der ICANN und die Argumente, die sie vorbringt.

Der erste zu beachtende Punkt ist, dass sich die Meinungsverschiedenheiten auf den Status der technischen und administrativen Kontaktinformationen im Whois-Datensatz konzentrieren. Die technischen und administrativen Kontakte sind nicht identisch mit dem Domain-Namen Registrant. Typischerweise werden sie vom Registranten ernannt, um verschiedene Aspekte der Domainpflege zu behandeln. Es ist jedoch zu beachten, dass in vielen Whois-Datensätzen, insbesondere bei Einzelpersonen und kleineren Organisationen, der Registrant, der Technische Kontakt (Tech-C) und der Administrative Kontakt (Admin-C) alle gleich sind. Der zweite Punkt ist, dass selbst die ICANN zustimmt, dass diese Datenelemente nicht mehr wahllos öffentlich angezeigt werden müssen. Die Frage ist, ob der Registrar diese Informationen sammeln muss, damit sie den akkreditierten Parteien, die zusätzliche Informationen benötigen, mitgeteilt werden können. Ob Registrare diese Informationen sammeln müssen oder nicht, hängt wiederum von der Frage nach dem Zweck von Whois ab, ein Thema, bei dem die ICANN lange Zeit keinen Konsens erzielt hat und das nie fair oder korrekt behandelt wurde. Eine enge Definition der ICANN-Mission, die die Koordinierung und Aufrechterhaltung der Stabilität des Domain-Namensystems beinhaltet, macht deutlich, dass die Tech-C- und Admin-C-Informationen dazu nicht wirklich notwendig sind.

Die Einreichung durch die Anwälte von ICANN Jones Day, die hier zu finden sind, bestätigt einen weitaus umfassenderen Zweck für Whois-Daten, der Teil eines Versuchs ist, die ICANN zum Vermittler der Durchsetzung des geistigen Eigentums im Internet zu machen. „Der technische Kontakt und der administrative Kontakt haben wichtige Funktionen“, heißt es in dem Brief. „Der Zugriff auf diese Daten ist für den stabilen und sicheren Betrieb des Domainnamensystems sowie für die Identifizierung der Kunden, die technische Probleme und rechtliche Probleme mit den Domainnamen und/oder deren Inhalt verursachen können, erforderlich. Dieser letzte Satz („und/oder ihr Inhalt“) ist ein Augenöffner. Seit Jahren behauptet die ICANN, sie sei nicht im Bereich der Regulierung von Inhalten tätig, und ihre neue Satzung enthält eine spezielle Bestimmung, die ihr die Regulierung von Inhalten verbietet. Doch hier im rechtlichen Briefing der ICANN wird ausdrücklich eingeräumt, dass „rechtliche Fragen zu den Domainnamen und/oder deren Inhalt“ zum Zweck der Datenerhebung der ICANN gehören.

Es wird noch schlimmer. In Teil V der Anmeldung vergleichen die Anwälte der ICANN das Whois-System mit einem Markenregister. Sie behaupten, dass „Marken und Domainnamen…. Angebote für Waren und Dienstleistungen in einem Markt unterscheiden“. Dies ignoriert Millionen von nicht-kommerziellen Domains und übersieht die Tatsache, dass generische Begriffe, die nicht als solche geschützt werden können, als Domainnamen registriert werden können. Das Markenregister, das sich im Wesentlichen auf die gleichen Daten bezieht, hat im Wesentlichen die gleichen Funktionen wie das WHOIS:“, die es als i) Strafverfolgung, ii) Verfügbarkeit einer Marke, iii) Durchsetzung von Markenrechten aufzählt.

Aber selbst wenn wir diese Probleme beiseite legen, ist es aufschlussreich zu sehen, wie schwach der Fall der ICANN ist, dass Registrare die Tech-C- und Admin-C-Daten sammeln müssen. Das heißt, selbst wenn man sich der weitreichenden Definition des Whois-Zwecks der ICANN anschließt, ist unklar, warum alle Domain-Namen-Registranten sich an die Admin-C- und Tech-C-Konvention halten müssen, die vor mehr als 20 Jahren eingeführt wurde. ICANN räumt ein, dass, wenn beide Kontakte mit dem Registranten identisch sind, keine neuen Daten gesammelt werden. Wenn die Admin-C oder Tech-C nicht mit dem Registranten identisch sind und die Kontaktdaten für sie personenbezogene Daten darstellen, gibt die ICANN zu, dass „die Erhebung dieser Daten einer Bewertung nach dem GDPR unterliegt….“. Wenn der Registrant und/oder der Admin-C und Tech-C der Erhebung ihrer Daten zustimmen, gibt es nach dem GDPR kein rechtliches Problem. In vielen Fällen können also diejenigen, die einen Kontakt delegieren wollen, dies noch tun. Die ICANN besteht jedoch darauf, dass sie die Erhebung dieser Daten erzwingen muss.

Der Standpunkt vieler Registrare zu dieser Frage wurde auf dem DomainMondo-Blog gut zum Ausdruck gebracht:

    …die aktuelle WHOIS-Politik sammelt viel mehr Daten, als notwendig oder angemessen sind. Die relevanten Fragen sind: 1) Wer ist der gesetzliche Registrant (oder Vertreter des Registranten) eines Domain-Namens, und 2) wie kann diese Person kontaktiert werden? Die Registranten sollten die Möglichkeit haben, ihren Namen, ihre Adresse und ihre E-Mail- und Telefondaten aufzulisten (Fax ist ein Anachronismus) oder einen Agenten („Registrant’s Agent“, der einen akkreditierten WHOIS-Datenschutzanbieter umfassen könnte) für öffentliche WHOIS-Zwecke zu benennen. Wenn der Registrant eine der oben genannten Methoden für das öffentliche WHOIS nicht wählt, sollte der Registrar des Domainnamens als Agent des Registranten aufgeführt werden, da die meisten Domainstreitigkeiten (z.B. UDRP und URS) im Wesentlichen dinglich oder quasi dinglich sind. Es sollte wirklich so einfach sein, aber ich fürchte, ICANN ist „lost in la-la-land“.

Indem sie auf der Beibehaltung einer eher willkürlichen Konvention besteht, scheint die ICANN die Interessen von Data Minern in der Sicherheits- und Markenindustrie zu schützen, die Skripte geschrieben haben, die die Informationen automatisch kratzen. Aber das ist nur eine Vermutung.

Mit dieser Einreichung hat die ICANN ihre Maske der Bottom-up-Multistakeholder-Politikentwicklung in Bezug auf Whois aufgegeben und eine Position eingenommen, die den Interessen einiger weniger Stakeholder dient. Sie hat gezeigt, dass sie hart kämpfen und viel Geld ausgeben wird, um diese Interessen zu unterstützen. Sie hat auch eine bewusste Missachtung des begrenzten Charakters ihrer Mission gezeigt. Die gute Nachricht ist jedoch, dass die Rechtssicherheit bezüglich der Anwendung von GDPR auf Whois bald auf dem Weg ist.