Denic-CEO Jörg Schweiger 02.04.2018, 11:00 Uhr

"Die Verständigung auf einen einheitlichen DSGVO-Ansatz ist ­Illusion"

Die Denic ist eine eingetragene Genossenschaft, deren Aufgaben der Betrieb und die Verwaltung der Top-Level-Domain .de sowie alle damit einhergehenden Aktivitäten sind. Nun will sie den Zugang zu Daten von .de-Domaininhabern stark einschränken.
Jörg Schweiger, CEO der ­Denic
(Quelle: Denic)
Mit einem kontrovers diskutierten Vorhaben reagiert die Denic auf die neue Datenschutz-Grundverordnung (DSGVO): Die Verwaltungsstelle deutscher Top-Level-Domains setzt ab Mai 2018 auf Datensparsamkeit. Die bisherigen Informationen zu Domain-Inhaber und Provider werden online nicht mehr angezeigt. Stattdessen werden ­E-Mail-Kontakte eingerichtet und jede Domain-Abfrage hinsichtlich ihrer Berechtigung geprüft. Die Denic wagt damit den Spagat zwischen den Inte­ressen von Domain-Inhabern und Ansprüchen Dritter, gerade bei Fällen von Markenmissbrauch oder Verstößen gegen das Urheberrecht. Doch Sorgen sind unbegründet, wie Jörg Schweiger, CEO der ­Denic, im Interview verdeutlicht.

Welche Intention steckt hinter diesem Schritt der deutschen .de-Domainverwaltung?
Jörg Schweiger: Die Intention ist, mit der neuen Europäischen Datenschutz-Grundverordnung von Beginn an, also ab dem Stichtag 25. Mai 2018, konform zu sein. In ihrer gegenwärtigen Form erfüllt Denics Domain-Abfrage schon heute die Auflagen des ähnlich strikten Bundesdatenschutz­gesetzes (BDSG). Deshalb könnte man ­annehmen, dass Änderungen der aktuellen Praxis im Grunde nicht zwingend erforderlich sind. Wir gehen jedoch davon aus, dass die Aufsichtsbehörden, sowohl im Zuge ­innerdeutsch-föderaler als auch europäischer Harmonisierungen, zukünftig zu einer deutlich restriktiveren Auslegung der ­Anforderungen an den Datenschutz gelangen werden. 
Welche Domain-Informationen werden über die Denic überhaupt noch frei zugänglich sein?
Schweiger: Das Prinzip der Datensparsamkeit setzt bereits bei der Datenerfassung an. Im Sinne der DSGVO dürfen personenbezogene Daten in Zukunft nur noch dann erfasst werden, wenn sie für die Vertragserfüllung notwendig sind. Deshalb wird Denic die Zone-C- und Tech-C-Daten nicht mehr erfassen. Andererseits unterstützen wir das Ziel der Erreichbarkeit eines technischen Ansprechpartners. Zu diesem Zweck wird künftig ein neues Datum, der General-Request-Contact, in Form einer nicht persona­lisierten E-Mail-­Adresse ­erfasst. Entfallen wird auch der gegenwärtige Admin-C-Kontakt. Zum Beispiel für Markenrechtsinhaber ist es jedoch nach wie vor wünschenswert, sich an eine zustellungsfähige Adresse in Deutschland wenden zu können. Daher wird Denic eine solche beim Domain-Inhaber erfragen, wenn ein ­Anfragender ein berechtigtes Interesse an diesen Daten nachweisen kann.
Ebenfalls in Betracht ziehen wir, ein ­zusätzliches Feld für eine weitere nicht personalisierte E-Mail-Adresse bereit­zustellen. Dort werden Registrare oder Reseller einen Abuse Contact ihres Hauses hinterlegen, an den sich Anfragende im Falle einer missbräuchlichen Nutzung der Domain wenden können. Frei zugänglich werden neben diesen Operational Contacts lediglich die Information, ob eine Domain registriert ist, das letzte Aktualisierungsdatum sowie die notwendigen technischen Angaben sein.

Wie können Sie mit einer semi-automatisierten Verarbeitung der Anfragen berechtigte Einzelfälle und missbräuchliche Nutzung mit ­Sicherheit unterscheiden?

Schweiger: Domain-Inhaber oder Zertifizierungsstellen, die digitale Zertifikate herausgeben und Domain-Validierung durchführen möchten, kennen die Postleitzahl der Adresse, mit der eine Domain regis­triert wurde und/oder die bei der Registrierung hinterlegte E-Mail-Adresse. Die ­Korrektheit dieser Angaben wird bei einer Anfrage durch Denic automatisiert überprüft und die Informationen dann ausschließlich an die vom Domain-Inhaber hinterlegte E-Mail-Adresse gesendet.
Für andere Interessengruppen, wie etwa Behörden oder Markenrechtsinhaber, kann ein Akkreditierungsprozess helfen, einen Anfragenden eindeutig zu identifizieren. Dieser kann dann ein spezielles Dialogverfahren durchlaufen, in dem zur Prüfung des ­berechtigten Interesses durch die Denic Nachweisdokumente hochgeladen oder per E-Mail zugesandt und Informationen bereitgestellt werden können. Denic wird diese Prüfungen manuell auf Einzelfallbasis durchführen. Automatisierte Schritte in der Zukunft wären vorstellbar.
Bisher erreichten die Denic tausende Anfragen in der Woche. Rechnen Sie mit einem Anstieg und erhöhten Arbeitsaufwand, wenn die Daten nicht mehr frei zugänglich sind?
Schweiger: Natürlich rechnen wir mit einem höheren Arbeitsaufkommen, unter anderem verursacht durch die bereits beschriebenen Prüfungen durch Personal. Denic prüft, inwieweit Anfragenden diese Aufwände verursachergerecht weiterbelastet werden können.
Glauben Sie, dass dem Beispiel der Denic andere ­Registrierungsstellen folgen werden?
Schweiger: Im Rahmen der Zusammenarbeit mit anderen europäischen Registries hat Denic frühzeitig ­geprüft, inwieweit eine ­homogene Lösung möglich ist. Obwohl die DSGVO in allen Ländern nahezu identisch umgesetzt werden dürfte, hat sich die Verständigung auf einen solchen einheitlichen Ansatz als ­Illusion ­herausgestellt. Hintergrund sind unter anderem Größe und Qualität des Datenbestandes der jeweiligen Registries. Wir werden alle Schattierungen von Umsetzungen sehen: von der vollständigen Veröffentlichung aller Inhaberdaten bis hin zu Implementierungen, die sämtliche Daten unter Verschluss halten.



Das könnte Sie auch interessieren