ICANN geht auf der Suche nach einem mit der DSGVO (Datenschutzgrundverordnung) kompatiblen WHOIS-Modell in die Offensive: per Schreiben an drei hochrangige Vertreter der EU-Kommission möchte die Internet-Verwaltung verbindlich klären, ob ein zentralisiertes System den Segen der EU findet.
In seinem Schreiben vom 02. Oktober 2020, gerichtet an Roberto Viola, Generaldirektor der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG CONNECT) der Europäischen Kommission, Monique Pariat, Generaldirektorin die Generaldirektion Humanitäre Hilfe und Katastrophenschutz Migration und Inneres (HOME), und Salla Saastamoinen, Generaldirektor Justiz und Verbraucher (JUST), verweist ICANN-CEO Göran Marby auf die von der Community entwickelten Empfehlungen zur Schaffung des »System for Standardized Access/Disclosure« (SSAD), in dessen Mittelpunkt ein zentrales Portal steht, das die eingehenden WHOIS-Anfragen abarbeitet. Während Registries und Registrare das Modell unterstützen, zeigt sich vor allem der ICANN-Regierungsbeirat Governmental Advisory Committee (GAC) kritisch:
The currently fragmented system for disclosures combined with a relatively uncertain framework to consider and recommend future centralization, may impede the stability and predictability of the SSAD.
Um Rechtssicherheit zu erhalten, müsse ICANN jetzt wissen, ob WHOIS-Abfragen über tausende Registries und Registrare zur individuellen Prüfung geleitet werden, oder über ein zentrales Modell, das die Abfragen konsistent und vorhersehbar macht. ICANN könne Recht nur anwenden, nicht schaffen, braucht dabei aber Unterstützung:
It is widely recognized that further guidance is needed.
Ein wesentlicher Aspekt, der dringend der Klärung bedürfe, ist für ICANN, wer die Daten kontrolliert. Offenbar fürchten insoweit sowohl die Registries als auch die Registrare die erheblichen Sanktionen, die mit einer möglichen Verletzung der DSGVO einhergehen. Bei einem »centralized decision-making« würde das SSAD die WHOIS-Abfrage an die Registry oder den Registrar weiterleiten, verbunden mit der Weisung, die Daten offenzulegen. Die Verantwortung läge damit beim SSAD, während sich sowohl Registries als auch Registrare auf die erteilte Weisung berufen könnten. Diese Weichenstellung sei kritisch für das gesamte Modell:
It will be critical to determine whether the central gateway will be solely controlling in case of ‚centralized decision-making‘ and whether registries and registrars can be relieved from their controller roles in this regard.
Aufklärung erwartet ICANN vor allem vom Europäischen Datenschutzausschuss, der gemäß Art. 64 Abs. 2 DSGVO von der EU-Kommission hinzugezogen werden könne. Die Regelung sieht vor, dass jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die EU-Kommission beantragen können, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten. Klärungsbedarf sieht ICANN auch in Bezug auf die »Schrems II«-Entscheidung des EuGH. Am 16. Juli 2020 hatte das Gericht den EU-US-Privacy-Shield für ungültig erklärt. Standardvertragsklauseln können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür jedoch nicht aus.
Ob sich die EU-Kommission von dieser Bitte beeindrucken lässt, bleibt abzuwarten. Klar wird aber, dass mit einer raschen Entscheidung nicht zu rechnen ist, zumal im Fall der Zustimmung das SSAD auch erst noch entwickelt und getestet werden müsste. Das WHOIS-System wird also noch eine geraume Zeit eine Baustelle bleiben.