RAA

Registrar Blacknight besorgt um Datenschutz

Der irische Domain-Registrar Blacknight Internet Solutions Ltd. hat in seinem Kampf für mehr Datenschutz im neuen Registrar Accreditation Agreement (RAA) einen Teilsieg errungen: die Internet-Verwaltung ICANN hat angekündigt, auf einzelne Regelungen verzichten zu wollen.

Im Juni 2013 hatte sich ICANN mit den Registraren auf eine Neufassung des RAA verständigt, jedoch prompt für Missstimmung gesorgt: nach Ansicht der europäischen »Art. 29 Data Protection Working Party« verstößt der reformierte Grundlagenvertrag aufgrund der darin enthaltenen Regelungen zu einer Art Vorratsdatenspeicherung (unter anderem Name, Adresse, eMail sowie Telefonnummer des Kunden für 2 Jahre nach Vertragsende) gegen europäisches Datenschutzrecht. Blacknight-CEO Michele Nylon sah sich nun (wie jeder andere europäische Registrar) vor das Dilemma gestellt, entweder das RAA zu akzeptieren und das Risiko eines Rechtsverstoßes einzugehen oder darauf zu verzichten mit der Folge, keine Domains mit neuer Top Level Domain anbieten zu dürfen. ICANN versuchte, diesen Bedenken durch eine im RAA enthaltene Verzichtserklärung (»waiver request«) Rechnung zu tragen, wonach ein Registrar zur Vermeidung von Rechtsverstößen eine Befreiung von der Pflicht zur Datenspeicherung verlangen kann.

Eine solche Verzichtserklärung hat Blacknight inzwischen beantragt. Dabei beruft man sich auf eine Stellungnahme der Rechtsanwaltskanzlei Clarke Jeffers & Co, wonach das RAA sowohl gegen den irischen Data Protection Act 1998 – 2003 als auch gegen die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstößt. Konkret sieht man einen Konflikt zwischen dem RAA und Sektion 2(1)(c)(i) und (iv) des Data Protection Act. Mit Ende des Registrierungsvertrages zwischen dem Domain-Inhaber und dem Registrar besteht demnach aufgrund Zweckerreichung kein Recht mehr, die Kundendaten zu speichern. Zudem dürfen die Kundendaten nicht vorsorglich »just in case« gespeichert werden. Zur Begründung verweist Clarke Jeffers & Co unter anderem auf die »Ticketmaster case study 13 of 2008«; dort hatte Ticketmaster die Kreditkartendaten der Kunden 16 Monate lang gespeichert, während der irische Data Protection Commissioner einen Zeitraum von 12 Monaten für ausreichend hielt. Schließlich macht man ein rein praktisches Argument geltend: wenn Daten für einen längeren Zeitraum gespeichert werden müssen, verlangt Sektion 2(1) (b) des Data Protection Act, dass sie korrekt sein müssen; mit der Dauer der Speicherung wächst jedoch das Risiko, dass die Daten falsch werden.

Am Ende der Verhandlungen zwischen ICANN und Blacknight steht nun ein Kompromiss. So soll der Zeitraum der Speicherung in Ziffer 1.1.1 bis 1.1.8 des RAA auf ein Jahr und in Ziffer 1.2.1 bis 1.2.3 auf 90 Tage halbiert werden. Vorerst hat die Öffentlichkeit bis zum 7. Juni 2014 Gelegenheit zur Stellungnahme. Allerdings gilt es als sicher, dass es bei diesem Kompromiss bleibt: der französische Provider OVH SAS hatte zuvor bereits mit Erfolg geltend gemacht, dass Teile des RAAs gegen französisches Datenschutzrecht verstoßen und daher eine Reduzierung der Speicherfrist von zwei auf ein Jahr nach Ende des Registrierungsvertrages durchgesetzt. Auch das französische Recht beruht auf der Richtlinie 95/46/EG.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Episerver GmbH, Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top