Landgericht BonnDomain-Admins sind personenbezogene Daten und müssen nicht gespeichert werden

Landgericht Bonn CC-BY-SA 4.0 Leit

Zu jeder Internet-Domain gibt es Inhaber-Daten, die bisher in der verteilten Whois-Datenbank abfragbar waren. Mit der Datenschutz-Grundverordnung sind diese personenbezogenen Daten von .de-Domains nicht mehr öffentlich einsehbar. Gleichwohl sind die Daten weiterhin den Betreibern der Top-Level-Domains bekannt – in Deutschland beispielsweise der DENIC Genossenschaft – und stehen damit Behörden zur Verfügung, jedoch nicht mehr der Öffentlichkeit.

Die kalifornische Organisation ICANN, welche die Vergabe von Namen und Adressen im Internet regelt, mag diese Datensparsamkeit nicht und hat am Freitag Beschwerde beim Landgericht Bonn eingereicht, um weiterhin die Daten von administrativen und technischen Kontaktpersonen zu speichern. Dieser Antrag wurde gestern abgewiesen. Im Gerichtsbeschluss (offizielle Version) heißt es:

Gemessen an der Regelung des Art. 5 Abs. 1 lib. b) und c) DSGVO, wonach personenbezogene Daten – unstreitig handelt es sich jedenfalls teilweise um solche – nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (lit. c), ist ein hinreichendes Bedürfnis im vorgenannten Sinne nach Auffassung der Kammer – auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Richtig so. Schon bisher ist es möglich, Domain-Inhaber-Daten zu verstecken, aber leider ist das bisher noch die Ausnahme.

Update 01. Juni 12:00: In einer vorigen Version des Artikels hieß es, dass Daten von Domain-Inhabern nicht veröffentlicht werden müssen. Tatsächlich müssen Daten von Domain-Admins und -Technikern nicht gespeichert werden. Wir haben die entsprechenden Textstellen korrigiert.

15 Ergänzungen

    1. Das sind juristisch zwei komplett verschiedene Dinge. Ein Impressum ist haftungsrechtlich vorgeschrieben, damit gibt es einen konkreten Zweck, für den die Daten notwendig sind. Bei Domains gibt es diesen Zweck nicht, das sagt ja das Urteil. Ausserdem gibt es Webseiten ohne Impressumspflicht. Und die Domain-Inhaberin kann auch eine andere Person sein als der haftungsrechtlich Verantwortliche. Aber es gibt bestimmt jemand, der mit Verweis auf die DSGVO auchmal dagegen klagen wird.

      1. Im Urteil, Seite 6, wird der Domaininhaber als Verantwortlicher beschrieben.

  1. Wie mein Vorkommentator schon sagte: Domaininhaber darf anonym bleiben, aber muss dann als Seitenbetreiber die Hosen runterlassen mitsamt E-Mail und / oder privater Telefonnummer. So ein Quatsch (Impressumspflicht war schon immer mehr als zweifelhaft).

  2. ICANN hat in einer unbegreiflichen Arroganz eine Niederlage einstecken müssen. Wer sich hinstellt und behauptet, über nationalem Recht zu stehen, wird vom Richter auch abgewatscht.

    Dabei sind Tech-C und Zone-C der eigentliche Grund für Whois: Die Möglichkeit Störungen schnell mit dem richtigen Gegenüber auf einem anderen Kanal zu beheben.

    ICANN hätte den wirklich notwendigen Use Case beschreiben müssen, es aber nicht für nötig erachtet.

    Ich – als Techniker – brauche die Möglichkeit der Kontaktaufnahme bei Störungen. Und die wird mir mit dem unfassbar dämlichen Verhalten seitens ICANN sabotiert.

    Dabei gibt es Möglichkeiten, das Ganze gemäß weltweit verschiedenen Rechtsformen korrekt umzusetzen: Stichwort „Ultra-Thin-Whois“.

    Aber was rede ich mir den Mund fusselig.

    1. Wenn die Webseite selbst keine Kontaktmöglichkeit hergibt, kannst du immer noch an postmaster@domain schreiben. Oder abuse@IP/AS.

  3. Öhm… Ich habe das Urteil zwar gestern am späten Abend gelesen, aber ich habe da absolut gar nichts zum Thema Veröffentlichung des Domaininhabers gelesen. Es geht allein um die ERHEBUNG der Daten von Tech-C und Admin-C.

    Kann mich da mal jemand abholen, oder hat Netzpolitik.org das Urteil nicht richtig gelesen?

    PS: Warum müssen wir bei euch noch immer die nicht erforderliche E-Mail-Adresse angeben um zu kommentieren? Auf welcher Rechtsgrundlage fußt die Erhebung und für welchen Zweck ist die eurer Meinung nach „zwingend erforderlich“? Andere Blogbetreiber haben das bereits korrigiert und man muss nur noch einen Namen angeben.

    1. Danke für den Hinweis. Mit dem Begriff „Domain-Inhaber-Daten“ haben wir allgemein personenbezogene Daten im Whois gemeint, unabhängig von Owner, Admin-C und Tech-C – was zugegeben verkürzt ist, aber der Allgemeinverständlichkeit dienen sollte.

      Die E-Mail-Adresse wird beim Posten von Kommentaren bald nicht mehr notwendig sein, der Admin ist schon dran. Tipp: nirgendwo steht, dass die auch gültig sein muss. :)

      1. Hallo Andre und danke für die super schnelle Antwort.

        Ich denke ihr habt trotzdem einen inhaltlichen Fehler im Titel. In dem Urteil geht es in meinen Augen ganz klar nur darum, ob die zusätzlichen Daten ERHOBEN werden dürfen. Von einer öffentlichen Zugänglichmachung ist nirgendwo im Urteil die Rede und das hat die ICANN auch nicht per einstweilige Verfügung erzwingen wollen.

        Ich bin froh, dass EPAG und Denic auf die öffentliche Zugänglichmachung von selbst verzichten seit dem 25.05.2018 und anscheinend versucht gerade nicht einmal die ICANN dagegen vorzugehen. Ehrlich gesagt ist das sogar schade, weil ich sehr gerne gerichtlich festgestellt hätte, dass das auch in der Tat so zu sein hat, damit keiner mehr auf die Idee kommt, diese Daten frei ins Internet zu stellen.

        1. Du hast Recht. Leider war gestern in NRW Feiertag und wir haben das Gericht erst jetzt erreicht. Wir haben den Artikel geupdated und die entsprechenden Stellen korrigiert. Sorry für den Fehler.

        2. Haha oh man, kein Grund sich zu entschuldigen, da fühle ich mich ja direkt schlecht. Ich wollte euch nur darauf hinweisen. ;-)

      2. Diese „Verkürzung“ ist mindestens stark missverständlich. Als Domain-Inhaber wird regelmäßig der Holder verstanden. Zur Frage, ob dessen Daten veröffentlicht werden dürfen, verhält sich der Beschluss überhaupt nicht.

        Die Überschrift des Artikels führt also auf eine völlig falsche Fährte. Und auch in dem Artikel selbst wird an keiner Stelle darauf hingewiesen, dass es in dem Beschluss ausschließlich um die Erhebung der Daten der admin-c und tech-c geht.

  4. Ich habe jetzt diverse Artikel zu diesem Rechtsstreit gelesen und diesen Beschluß und frage mich immer noch, worum es eigentlich genau gehen soll:

    Geht es darum, daß die ICANN auf den vertraglich vereinbarten Standard weltweiter Domain-Grundbücher beharrt gegen einen Provider, der Domains für Eigentümer wie „John Doe“ hosten will, dessen Admin-C er schon gar nicht mehr erhebt & speichert, weil der nur ein Paßwort hat und irgendwie bezahlt, und für diese total-anonymen Domains will dieser Provider dann auch nicht mehr als Tech-C identifizierbar sein?

  5. …die dahergeredeten Alternativ-Argumente sind echt ätzend.
    Impressum ist solange ein fake so nicht nachgewiesen.
    Der Admin-C ist für jeden Sch… innerhalb der verantworteten Domain primär verantwortlich !
    Warum also wieder dieses Europa-Gedöns mit viel Papier und Aufwand-Vernichtungen.
    Als Geschädigter liegt man wieder einmal hinten – suchen – fragen – warten – „bitte warten Sie“ … usw. usw.
    Soweit richtig, ist doch bei Erwerb einer Domain die authentische Residenz / (ladungsfähige) Adresse nachzuweisen. Hier kann doch zuverlässiger adressiert werden als mit eine schnöden widerwilligen Antwort des TLPs oder „Nutzers“ wenn es sie/ihn überhaupt gibt. Die damit losgetretene (Miss)-(Be)-Handlungsfolge dokumentiert wie tief/flach gedacht wurde. Die „Mehrheitstätigen“ sind ja schon bissle doof , jedoch sich von doofen Beratern „bedoofen“ lassen, das ist krass blöd.
    Wer Rechtsmittel einlegen will / muss, braucht klare Fakten – eine echte rechtsverbindliche Adressierung – keine politischen „Schleimspuren“.
    Ein Button / Link „ich , der C-Admin / Nutzer dieser Domain hier bin mit Bewerbung einverstanden…“
    “ ich, der Werber, weiß , dass ich eine kostenpflichtige (Ab)-Mahnung von mind. 20.000,00€ verantworte, wenn meine eine werbliche Nutzung IHRER Daten missbräuchlich geschieht…“ wäre ja schon nett.
    Jedoch zusätzlich ein nachweisbares Doppel-OptIn mit Feedback (Status beider Vertragsteilhaber) wäre da noch besser.
    Aber das ist ja (bekannt) den MissNutzern zu viel Papier-Kram gelle?
    Wer implementiert denn den Inhalt ? – User oder C-Admin … dem C-Admin zwangsläufig bekannt.
    Fazit: … Der werte redliche Betroffene von Attacken und Anderem, darf fortgesetzt die A-Karte ziehen!
    Gute Besserung…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.