LG Bonn: ICANN sammelt zu viele Daten bei der Domainanmeldung - Verstoß gegen die DS-GVO
von , veröffentlicht am 06.06.2018Eine der ersten Entscheidungen deutscher Gerichte nach der neuen DS-GVO: Das LG Bonn hat im einstweiligen Rechtsschutz entschieden, dass die Domain-Registrierungsbehörde ICANN als zentrale Vergabestelle für Internetadressen gegen die DS-GVO verstößt. ICANN will nicht nur wissen will, wer die Seite betreibt. Die US-Stelle will auch die Namen, Adressen und Telefonnummern von der Person mit vollen Zugriffsrechten auf die Website (Admin-C) und einem technischen Verantwortlichen (Tech-C) wissen. Die ICANN ist der Ansicht, die Antragstellerin sei vertraglich zur Erhebung auch der Daten für den technischen und administrativen Kontakt verpflichtet. Auch seien diese Daten zur Erreichung der Zwecke der Antragstellerin zwingend erforderlich.
Das geht der deutschen Antragsgegnerin zu weit. Auf Grundlage der DS-GVO weigert sich die Domain-Namen-Anbieterin Epag, außer den Adressdaten der Domain-Besitzer auch die Daten zum Admin-C und Tech-C zu übermitteln. Das LG Bonn gibt im Eilverfahren Epag juristische Schützenhilfe:
Hier ein Auszug aus dem Beschluss:
“Gemessen an der Regelung des Art. 5 Abs. 1 lit, b) und c) DSGVO, wonach personenbezogene Daten […] nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden durfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit. c), ist ein hinreichendes Bedürfnis im vorgenannten Sinne nach Auffassung der Kammer — auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.
Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen nur um die für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all jene Funktionen auf sich vereinigen kann. […]
Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS“ -Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.“
Was halten Sie von dieser Argumentation?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
4 Kommentare
Kommentare als Feed abonnierenNur, damit ich das alles verstehe:
So, wie ich die Struktur der Verwaltung und/oder Regierung des Internets kenne und verstehe, die dem gewöhnlichen Nutzer nur selten bekannt ist, kontrolliert die ICANN – eine Non-Profit-Organisation mit Sitz in Kalifornien - vereinfacht dargestellt den sogenannten Rootbereich und hat die Domain-Registrierungen für die Top-Level-Domains an länderspezifische Betreiber weitergegeben (sog. ccTLDs). In Deutschland ist dies die DENIC, die ihrerseits Verträge mit Registrierern schließt. Das sind die auch dem Verbraucher bekannten Domain-Anbieter, bei denen dieser in der Regel seine Internetadresse registriert.
Das Landgericht Bonn hat nun entschieden, dass die Datenschutz-Grundverordnung (DSGVO) einem Registrierer die Erhebung bestimmter persönlicher Daten der Domaininhaber nicht erlaube, da es keine Rechtsgrundlage für deren Erhebung gebe und diese auch zur Durchführung der Tätigkeiten nicht notwendig seien.
Da aber diese Anforderungen gerade in den Verträgen und Richtlinien der ICANN zur Vergabe der Domains, und letztlich auch zum Betrieb des Netzwerks drinstehen, könnte sich doch die ICANN nunmehr auf den Standpunkt stellen, dass die Domainregistrierungen, die im Geltungsbereich der DSGVO erfolgen, nicht ihren Richtlinien entsprächen.
Und wenn die ICANN diese irgendwann als nicht mehr vertrauenswürdig einstuft und dieses Merkmal beispielsweise in das Sicherheitssystem DNSSEC aufnimmt, wären mit einem Schlag sämtliche im Geltungsbereich der DSGVO registrierten Domains unsicher und nicht vertrauenswürdig, und damit letztlich für Internetnutzer nicht mehr erreichbar.
Zwar gibt es wohl Umgehungsmöglichkeiten für den Fall einer eines rechtswidrigen Eingriffs der ICANN in den Root-Bereich, doch diese sind technisch aufwändiger.
Im Ergebnis könnte es also sein, dass das Landgericht Bonn mit seiner Entscheidung das Internet in ganz Europa abgeschaltet hat. Ist allen Beteiligten das so klar?
zum Weiterlesen:
https://de.wikipedia.org/wiki/Internet_Corporation_for_Assigned_Names_and_Numbers
https://www.zeit.de/2005/29/internet_verwaltung
https://www.heise.de/ct/artikel/Machtfrage-926625.html
Man hätte dem LG auf einigen Seiten erklären müssen,
warum die Angabe von Admin-C u. a. für die Durchsetzung von Ansprüchen zwingend erforderlich ist. Das wird nachzuholen sein. Ich glaube nicht, dass die Entscheidung am Ende Bestand hat.
X Millionen Domains sind nur unter einer Gesellschaft
registriert... wer soll haften?
Danke für den sehr guten Kommentar. Wir lesen den Beschluss so, dass das LG Bonn zugleich auch klargestellt, dass in dem zwischen EPAG und ICAAN bestehenden Vertrag die Bestimmung enthalten ist, wonach EPAG das jeweilige Recht einhalten muss. Also hat sich EPAG auch nicht vertragsbrüchig verhalten und ICANN kann die Autorisierung nicht kündigen.
Es geht hier wohl auch nicht um die Vertrauenswürdigkeit. Diese hat ICANN nicht in Abrede gestellt. ICANN argumentiert (lediglich), dass die Nennung eines Administrators und eines technischen Ansprechpartners notwendig ist, um einen schnellen Zugang zum Domaininhaber zu haben und eine Identifikation schneller zu ermöglichen. Wie das LG Bonn aber zu Recht festgestellt hat, kann dies auch nur über den Domaininhaber erfolgen, wenn auch nicht so einfach.
Sehen das die anderen auch so?
Genau da sehe ich das Problem, das kann sicher nicht grenzenlos gelten. Die Grenze dürfte der Wegfall der Geschäftsgrundlage sein. Wenn Länderrechtssysteme bspw. unlautere Dinge fodern, wie Schnittstellen zu Geheimdiensten, Mißachutn fder Menschenrechte etc., kann das Wertesystem des Vertrages in Schieflage geraten. Und dann kann ICANN sich sicher auch davon lösen. Der Verzicht auf Admin-C u.a. ist sicherlich (noch) nicht essentiell, geht aber n die Richtung. Wenn die ICANN die Angaben zum Betrieb des Domain-Namen-Systems für essentiell wichtig hält (wofür Einiges spricht), hilft dem Vertragspartner nach meiner Ansicht auch der Hinweis auf das nationale Recht nichts.
Hinzu kommt: Wenn ich es in der Hand hätte, den Standard für eine ganze Welt zu setzen (wie die ICANN es hat), dann hätte ich wenig Lust, mich ständig mit nationalen Besonderheiten für dies oder jenes zu beschäftigen.
Das rührt an etwas ganz Grundsätzlichem: Die EU und andere "Player" sind in der Vergagenheit mehr und mehr dazu übergegangen, gesetzgeberische Hand an den Betrieb des Internets an sich zu legen; Regeln aufzustellen, Standards zu definieren etc. Demnächst wollen Sie noch Inhalte filtern und Steuern erheben. Aus meiner Sicht beißt sich das schon lange mit dem supranationalen Chrarakter des Netzes, welches ja streng genommen nicht mal eine Regierung hat. Wo ist die Grenze, ab der Regulierer irgendwann einfach nicht mehr mitspielen dürfen?
Anders gesagt: Bislang halten sich die ICANN und alle weiteren Beteiligten n der "Verwaltung" des Internets nahezu vorbildlich an ihre selbst auferlegte Neutralität. Selbst China darf nationale Domains vergeben und gleichzeitig heftig zensieren. Erleben wir demnächst vielleicht, wie die ICANN der EU die nationalen Domains entzieht, wenn die zu viel reguliert? Wie sehen das die anderen?