Über das WHOIS-System können Daten zu Inhabern, Verwaltern von Domains und IP-Adressen praktisch von nahezu jedem abgefragt werden. Das Protokoll stellt Daten zur Verfügung, die teilweise von der GDPR eingeschränkt werden und ab Mai 2018 nicht mehr öffentlich sichtbar sein dürfen.
Seit über zehn Jahren gilt das WHOIS-Protokoll zur Abfrage von Domaininhabern oder technischen Dienstleistern als überholt und soll deshalb ersetzt werden.

Im Mai 2018 könnte die Geschichte des WHOIS-Systems endgültig ein Ende nehmen – sobald die neue europäische Datenschutzverordnung, in Englisch „General Data Protection Regulation“ (GDPR) europaweit in Kraft tritt. Doch was genau steht eigentlich in der DSGVO und wie kann es nach WHOIS weitergehen?

Wie sieht die neue „General Data Protection Regulation“ konkret aus?

Die GDPR enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dieser Daten. Gemäß Artikel 8 Absatz 1 der EU-Grundrechtecharta und Artikel 16 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz personenbezogener Daten. In der GDPR werden ab dem 28.05.2018 alle Unternehmen dazu verpflichtet, vor der Sammlung, Speicherung und Veröffentlichung solcher Daten die Zustimmung der jeweiligen Person einzuholen. Dies gilt weiterhin auch für Unternehmen, die ihren Sitz außerhalb der europäischen Union haben, deren Angebote sich aber an EU-Bürger wenden. Die aktuelle Version des WHOIS-Systems würde gegen das Gesetz verstoßen.

Eine Alternative: Das Registration Data Access Protocol

Große Registrys suchen nach Lösungen, die der neuen EU-Datenschutzverordnung gerecht werden können, aber gegenüber dem WHOIS keine Nachteile aufweisen. Das Netzwerkprotokoll RDAP könnte diese Lösung sein. Es wurde von einer Arbeitsgruppe der Internet Engineering Task Force (IETF) entwickelt und bietet Einblicke in elementare Internetressourcen wie Domain-Namen, IP-Adressen oder Autonomous System Numbers (ASNs).Verisign, Verwalterin der Top Level Domains .COM und .NET, hat RDAP als Pilotprojekt konzipiert. Es befindet sich bereits in der Testphase. Das Projekt arbeitet mit webbasierten Anwendungen und stellt dem Nutzer ein übersichtliches Formular im JSON-Format (JavaScript Object Notation) zur Verfügung, das aber ohne zusätzliche Software oder Plug-Ins nicht nutzbar ist. Auch Afilias arbeitet an einem RDAP-Testprojekt, jedoch ohne webbasierte Anwendungen auf der Basis von URLs. Beide Registrys beschränken sich mit ihren RDAP-Versionen bislang auf die eigenen Top Level Domains, mit Ausnahme einiger Wildcards. Bevor die Versionen auch für weitere TLDs genutzt werden können, müsste geklärt werden, ob die Pilotprojekte mit dem GDPR-Regelwerk konform sind.

Wie unterscheidet sich RDAP von WHOIS?

Das Registration Data Access Protocol zeigt sich in vielen Punkten als verbessertes WHOIS. Bei der Entwicklung des Abfrageprotokolls RDAP wurden vor allem die Punkte Sicherheit, Strukturierung und Internationalisierung beachtet. Die WHOIS-Alternative zeichnet sich durch folgende Punkte aus:

• Eine strukturierte Abfrage- und Antwortsemantik,
• Sicheren Zugriff auf angefragte Kotaktdaten, 
• Erweiterbarkeit, 
• Den „Bootstrapping“-Mechanismus, 
• Standardisierte Weiterleitung von Abfragen, 
• Webbasierung und REST-Konformität, 
• Unkomplizierte Übersetzungen von Ausgabedaten, 
• Differenzierte Zugriffsmöglichkeit auf Kontaktdaten 

RDAP ist damit auf alle Fälle wesentlich flexibler als der Vorgänger WHOIS. Während WHOIS für die Datenübertragung als textbasiertes Protokoll an TCP und den spezifischen Port gebunden ist, nutzt RDAP den Web-Standard HTTP bzw. HTTPS. Die Daten werden in einem standardisierten, maschinenlesbaren JSON-Format bereitgestellt, wodurch RDAP mehr Freiheiten bei der Datenabfrage bietet und zudem das Programmieren der Abfrage-Services vereinfacht, die mit unterschiedlichen Registrierungsstellen kommunizieren und abgefragte Daten in verschiedenen Sprachen ausgeben können.

In der Gegenüberstellung sieht das folgendermaßen aus:

Zugriffsrechte sorgen weiterhin für Diskussionen

Eine hieb- und stichfeste Lösung für das Domain-Problem konnte bislang noch nicht gefunden werden. Von Seiten der Strafverfolger und Markenlobbys ist aber mit Widerstand gegen die Reduzierung der einsehbaren Daten zu rechnen. Wie soll zum Beispiel mit Strafverfolgern umgegangen werden, die Zugriffsrechte haben wollen, aber anonym bleiben wollen? Und wie sieht es bei einer länderübergreifenden Einsicht in die Domain-Daten aus: Darf diese gewährt werden? Diese und einige andere Fragen stehen noch ungeklärt im Raum. Thomas Rickert, Vorsitzender des „Names & Numbers“-Forum bei eco, dem Verband der deutschen Internetwirtschaft e.V., betont:

„Da ICANN die Regeln definiert, welche Daten erhoben werden und wie mit ihnen umgegangen wird, kann man sicherlich festhalten, dass ICANN auch als verantwortliche Stelle im Sinne der DSGVO anzusehen und daher bei Verstößen deren Sanktionen ausgesetzt ist.“

ICANN plant Umsetzung

Bisher hatte die ICANN als Verwalterin des DNS uneingeschränkten Zugriff auf die Daten über das WHOIS-System. In aktueller Version könnte das WHOIS jedoch nur aufrechterhalten werden, wenn jeder Domaininhaber seine Einwilligung in die Nutzung der Daten erteilt – und hierzu wäre der Aufwand immens. Zudem müsste geklärt werden, wie mit Wiederrufen umgegangen würde. In der kurzen Zeit bis Mai 2018 sind diese Probleme kaum zu lösen. Bei Datenschutz-Verstößen gegen das neue EU-Regelwerk würden Strafen bis zu 20 Millionen Euro fällig. Beim 60. Meeting in Abu Dhabi gab die ICANN eine Erklärung ab. Es sei derzeit nicht sicher, welchen Einfluss die GDPR auf die vertraglich festgelegten Verpflichtungen von Registrys und Registraren habe. Man gehe nicht davon aus, dass das WHOIS-Protokoll abgeschafft werde, aber man wisse auch nicht, in welchem Umfang es verändert werden müsse. Am 03. November 2017 hat die ICANN eine weitere Erklärung zur vorläufigen Aussetzung von Vertragsverletzungsverfahren gegen Registries und Registrare veröffentlicht. Sie stellt aber Bedingungen: Registries und Registrare müssen ICANN auf vertraulicher Basis offenlegen, wie sie das Problem konkret lösen wollen. ICANN lässt die Lösungsansätze anschließend prüfen und versucht im Idealfall eine allgemeine Lösung zu entwickeln.

Klar ist, dass weiterhin Daten erhoben werden – ob sie aber veröffentlicht, bzw. an Registries weitergegeben werden dürfen, bleibt fraglich.