Registries und Registrare müssen wie alle anderen Unternehmen auch ab 25. Mai 2018 die DSGVO umgesetzt haben. Welche Branchen-Spezifika hier zu den allgemeinen Anforderungen hinzukommen, diskutierten wir mit Anwalt Thomas Rickert, der EPAG Geschäftsführerin Ashley la Bolle und nic.at Geschäftsführer Robert Schischka.

»Das Whois wird sterben«

nic.at hat einen direkten Vertrag mit dem Domain-Inhaber und ist somit berechtigt, dessen Daten zur Vertragserfüllung zu kennen. Das heißt aber nicht automatisch, dass diese in einer öffentlich abrufbaren Datenbank angezeigt werden dürfen. »Das Whois in dieser Form wird sterben«, ist Robert Schischka, technischer Geschäftsführer der nic.at, daher überzeugt. Das stellt auch uns als Registry vor Herausforderungen: Denn der Domain-Inhaber ist vertraglich gegenüber nic.at verpflichtet, seine Daten aktuell zu halten. Bisher konnte er das Whois konsultieren. Wie soll er in Zukunft sehen, welche Daten hinterlegt sind? Ebenso greifen Anwälte oder Strafverfolgungsbehörden laufend auf Whois-Daten zu, um Inhaber von Domains zu ermitteln. Das bedeutet für uns neue Prozesse und Auskunftsbegehren im Einzelfall, was zusätzlichen Aufwand und Kosten mit sich bringt. Umgekehrt kann es aber Fälle geben, wo der Domain-Inhaber sehr wohl öffentlich aufscheinen will. »Bei Namensräumen wie .bank oder .versicherung muss der Domain-Inhaber Prüfkriterien erfüllen und zeigt damit, dass er wirklich in dieser Branche tätig ist.« Schischka kann sich daher als Lösung ein Whois Opt-In vorstellen: Wer öffentlich im Whois angezeigt werden will, soll weiterhin die Möglichkeit dazu haben. Per Default sollte jedoch der höchste Datenschutz-Level eingestellt sein.

»ICANN-Registrare haben die Wahl zwischen Pest und Cholera«

Registrare, die generische Top Level Domains (gTLD) verwalten, sind im Dilemma: Sie sind in ihren ICANN-Verträgen zur Herausgabe von Daten verpflichtet, was aber klar gegen die EU-DSGVO verstößt. »Sie haben quasi die Wahl zwischen Pest und Cholera, welche Vorgabe sie verletzen «, so Experte Thomas Rickert. Nun kristallisiert sich ein Königsweg heraus: Die Registrare werden die DSGVO einhalten, gleichzeitig wird ICANN so lange auf das Einklagen seiner Vertragsrechte verzichten, bis im Rahmen des Multistakeholder-Modells neue Regelungen geschaffen wurden. Hier muss das gesamte Ökosystem überdacht werden, wobei das Ziel eine weltweit einheitliche Lösung sein sollte. Der deutsche Eco-Verband hat dafür ein Datenmodell entwickelt, das nicht nur die Whois-Problematik aufgreift, sondern die gesamte Datenverarbeitung im Rahmen der gTLD beleuchtet und Vorschläge macht, welche Daten gesammelt, übermittelt, verarbeitet und rechtmäßig an Dritte weitergegeben werden sollen. Dieses Modell wurde am 11. Dezember 2017 in Brüssel vorgestellt, ist nun in einer öffentlichen Konsultationsphase und soll anschließend bei ICANN einfließen. Mehr Info unter www.eco.de – Bereich Themen – Names & Numbers. Für die Umsetzung der DSGVO gibt Rickert im Rahmen seiner Anwaltstätigkeit außerdem ausführliche Tipps auf der Website www.gdpr.ninja.

»Datenschutz ist nicht nur der Zuckerguss auf dem Kuchen«

Aus Registrar-Sicht ist die Umsetzung der DSGVO sehr komplex und umfangreich, wie Ashley La Bolle feststellt: »Datenschutz ist nicht nur der Zuckerguss auf dem Kuchen, man braucht vielleicht ein neues Rezept und muss den Kuchen neu backen!« Sie meint damit neue Prozesse, die zu implementieren und zu dokumentieren sind, wie zum Beispiel die Beauskunftung an Kunden, die Identifizierung von Anfragenden, den Zustimmungs-Widerruf des Dateninhabers bis hin zu notwendigen Produktänderungen. Abgesehen davon ist auch die Erhebung der existierenden Datenverarbeitungen im Unternehmen sehr komplex und anspruchsvoll: »Man muss wirklich in jede Abteilung gehen und schauen: Welche Daten habt ihr? Auf welcher Basis? Wie lange? Welche kann man wann löschen? An wen gebt ihr sie weiter und warum? Wer darf welche Daten sehen? Wie ist alles begründbar?«, so La Bolle. Sie muss zusätzlich beachten, dass ihr Mutter-Unternehmen seinen Sitz in Kanada hat und auch dorthin sowie in die USA Daten übermittelt werden. Außerdem arbeitet sie mit vielen Resellern zusammen, was zusätzliche Komplexität schafft. Die anfängliche Vorstellung: »Wir dokumentieren, schalten das Whois ab und gut ist es!« wurde schnell von der Realität eingeholt. La Bolle empfiehlt auf jeden Fall die Zusammenarbeit mit einem Anwalt.

DIE SIEBEN TO DO’S BIS ZUM 25. MAI 2018
Unternehmen haben eine ganze Reihe an Aufgaben zu erledigen, um DSGVO-konform zu sein. Barbara Schlossbauer ist als Projektleiterin mit der Implementierung der DSGVO bei nic.at betraut. Sie fasst zusammen, was Sie auf jeden Fall bis 25. Mai 2018 erledigen müssen.

1) Verzeichnis der Verarbeitungstätigkeiten erstellen
Alle Verarbeitungen persönlicher Daten müssen detailliert dokumentiert und begründet sein.

2) Notwendigkeit eines Datenschutzbeauftragten prüfen
Je nach Art der Daten bzw. Unternehmensgröße kann er verpflichtend sein. Definieren Sie aber in jedem Fall Ansprechperson/en!

3) Verhaltensregeln im Unternehmen einführen
Darunter fallen organisatorische Regeln, technische Maßnahmen, aber auch Schulungen für MitarbeiterInnen.

4) Alle Datenverarbeitungen prüfen
Untersuchen Sie jede Verarbeitung auf ihre rechtliche Basis, Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit.

5) Internationale Datenübermittlung prüfen
In welches Land übermitteln Sie Daten? Auf welcher Grundlage? Ist es legitim?

6) Datenschutzerklärungen ausarbeiten
Die DSGVO gibt vor, worüber der Betroffene im Detail informiert sein muss. Bereiten Sie diese Information für ihre Kunden verständlich und gut auffindbar auf!

7) Bestehende Verträge checken
Sind die Rollenverteilungen und Verpflichtungen bei Datenaustausch ausreichend formuliert? Wenn nicht, rechtzeitig Zusatzvereinbarungen treffen!