Das LG Bonn hat eine der ersten Entscheidungen zur neuen Datenschutzgrundverordnung getroffen. Mit Beschluss vom 29. Mai 2018 entschieden die Bonner Richter, dass die ICANN gegen die DSGVO verstoße (Az.: 10 O 171/18).
Die Domain-Registrierungsbehörde mit Sitz in den USA ist die zentrale Vergabestelle für Internetadressen. Allerdings sammele diese bei dem Registrierungsvorgang zu viele persönliche Daten.
US-Unternehmen ICANN will umfassende personenbezogene Daten für Domain-Registrierung
Die US-Stelle wollte nicht nur wissen, wer die zu registrierende Seite betreibt, sondern auch die Namen, Adressen und Telefonnummern von allen Personen mit vollen Zugriffsrechten auf die Website. Darunter zählen die so genannten Admin-C und auch die technischen Verantwortlichen (Tech-C).
Während des Verfahrens war die ICANN der Ansicht, der Domain-Registrierende sei vertraglich auch zur Erhebung weiterer technischer und administrativer Kontakte verpflichtet. Denn schließlich seien diese Daten zur Erreichung der Zwecke der Registrierenden zwingend erforderlich.
Deutscher Domain-Händler sieht in der Datenerhebung einen Verstoß gegen die DSGVO
Der deutsche Domain-Händler Epag wehrte sich nun gegen die Vorgaben ICANNs. Das Unternehmen aus Bonn darf Domains mit Erlaubnis der iCANN in Deutschland, Österreich und der Schweiz verkaufen. Dabei muss es aber laut Vertrag die umfassenden persönlichen Daten an die ICANN übermitteln. Unter Beachtung der Vorgaben in der DSGVO sei das Unternehmen allerdings lediglich dazu bereit, alle Adressdaten der Domain-Besitzerin herauszugeben. Nicht aber die des Admin-C und Tech-C.
Personenbezogene Daten der Domain-Inhaberin ausreichend
ICANN konnte vor dem Bonner LG nicht glaubhaft machen, dass die umfassenden persönlichen Daten zur Erreichung der Zwecke erforderliche seien. Schließlich sei die Erhebung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke zulässig. Zusätzlich muss die Erhebung zu dem Zwecke angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit, b) und c) DSGVO).
Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, konnte die Kammer vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht erkennen.
Identifizierung der Hintermänner schwer
Zwar liege es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt. Jedoch handele es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen nur um die für die Inhalte der betreffenden Website verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein müsse.
Eingeschränkte Whois-Abfrage erschwert die Identifizierung zusätzlich
Soweit ICANN ihre Ansprüche auf die vielen personenbezogenen Daten auf eine Parallele des sog. „WHOIS“ Systems zu internationalen Abkommen über Markenregister stützt, so folgt die Kammer des LG Bonn diesem nicht. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehle. Hieran ändere auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.
Die WHOIS-Abfrage ist bei vielen Firmen, wie auch der Denic, seit längerem nicht mehr ohne Weiteres möglich. Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic und andere jetzt nur noch an Nutzer heraus, die zumindest ein berechtigtes Interesse nachweisen.
Die eingeschränkte WHOIS-Abfrage erschwert in letzter Zeit gerade Journalisten und IT-Sicherheitsforschern die Arbeit im Internet. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, die Hintermänner ausfindig zu machen.