Datenschutz: Vorratsdatenspeicherung durch Domain-Name-Registrare?

Nach jahrelangem Drängen von Strafverfolgungsbehörden legte die ICANN (Internet Corporation for Assigned Names and Numbers; Organisation verantwortlich für die Verwaltung der so genannten Top-Level-Domains) nun einen Vertragsentwurf vor, nach welchem dort akkreditierte Domain-Name-Registrare Daten ihrer Kunden zukünftig auf Vorrat speichern könnten. Diese Entwicklung ist in vielerlei Hinsicht beachtlich.

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter und Herrn Diplom-Jurist Michael Stolze, LL.M LL.M.

Einleitung

Ginge es nach dem Willen weltweiter Strafverfolgungsbehörden wie insbesondere dem FBI, der britischen Polizei, aber auch dem Bundeskriminalamt, dann werden Domain-Name-Registrare (Domainregistrare) zukünftig bei der Vorratsdatenspeicherung einen aktiven Part übernehmen.

Diese Forderung wurde gegenüber der zentralen Registrierungsstelle ICANN seit längerem erhoben und fand nun Eingang in den Regelungsentwurf „Data Retention Specification“. Dieser soll später Bestandteil des „Registration Accreditation Agreement“ (RAA) werden, welches die Rechte und Pflichten bei der Domainregistrierung zwischen akkreditierten Domainregistraren und der ICANN festlegt.

Der Vorschlag kommt zu einer Zeit, in welcher das Thema Vorratsdatenspeicherung in Europa ohnehin vielerorts Gegenstand der Diskussion ist. So arbeitet die EU-Kommission momentan sowohl an einer Neufassung der Richtlinie zur Vorratsdatenspeicherung 2006/24/EG als auch an der gegen die Bundesrepublik erhoben Vertragsverletzungsklage vor dem EuGH. Bekanntermaßen befindet sich die Bundesrepublik mittlerweile im Verzug mit der Umsetzung der Richtlinie, da seit dem Urteil des Bundesverfassungsgerichts aus dem März 2010, welches das damalige Gesetz zur Vorratsdatenspeicherung kippte, keine weiteren Umsetzungsversuche mehr unternommen worden sind. In Berlin muss man sich demnach auch und wieder mit der Vorratsdatenspeicherung beschäftigen und insgesamt erscheint es, dass alle auf den EuGH warten, der momentan ganz allgemein die Vereinbarkeit der Richtlinie zur Vorratsdatenspeicherung mit der EU-Grundrechtscharta prüft.

„Data Retention Specification“ - Vorratsdatenspeicherung durch Domainregistrare

Der nun im Raum stehende Vorschlag der ICANN zielt auf eine Einbindung der Domainregistrare hin. Dies sind Unternehmen oder sonstige Organisationen, die Registrierungen von Internet-Domains durchführen (z.B. die Deutsche Telekom AG oder 1&1) und bei den jeweiligen für die Top-Level-Domain (TLD) verantwortlichen zentralen Registrierungsstellen akkreditiert sein müssen. Letztere verwalten und koordinieren das Domain Name System (DNS), wozu die Überwachung, Vergabe und Zuordnung eindeutiger IP-Adressen und Domänennamen gehört.

Gegenstand der aktuellen Diskussion sind die Registrierungsvereinbarungen bei der ICANN, welche u.a. TLDs wie.com,.net,.org, oder.net hauptverwaltet und der daher weltweit eine enorme Bedeutung beizumessen ist.

Die ICANN als staatsfern organisierte „Public Private Partnership“, ebenso wie hierzulande die DENIC e.G. für die TLD.de, agieren nicht gewinnorientiert und stehen trotz wachsenden staatlichen Einflusses noch immer für das Prinzip der „Selbstverwaltung im Internet“. Dass nun die ICANN dem Druck der Strafverfolgungsbehörden so weitreichend nachzugeben scheint, wird vor diesem Hintergrund als durchaus kritisch wahrgenommen.

Subsidiärer Anwendungsbereich der Speicherpflicht

Die „Data Retention Specification“ gilt vorbehaltlich der Grenzen des Erlaubten des jeweiligen anwendbaren Rechts. Im Lichte des europäischen Datenschutzverständnisses erscheint eine solche Regelung wohl eher deklaratorisch, kann doch ein privatrechtlicher Vertrag nicht am geltenden Recht vorbei zu einer Vorratsdatenspeicherung für hoheitliche Strafverfolgungszwecke verpflichten. Es gilt also festzustellen, dass zumindest vom Wortlaut dieser einschränkenden Anwendungsklausel her kein Konflikt zwischen dem Vorschlag der ICANN und dem europäischen Datenschutzniveau besteht. Es soll jedoch nicht unerwähnt bleiben, dass die ICANN sich vorbehält, die Vertragsklauseln jederzeit zu ändern und in der späteren Praxis andere Grenzen ausgelotet werden könnten.

Umfangreiche Speicherpflicht

Die „Data Retention Specification“ sieht für die Registrare eine recht umfangreicher Speicherpflicht vor. Es sollen vollständige Angaben zu Name und Adresse, E-Mail- und Telefonkontakt nicht nur über den Anmelder, sondern auch über dessen administrativen und technischen Ansprechpartner erhoben werden. Weicht die postalische von der Rechnungsadresse ab, dann wird auch diese von der Speicherpflicht erfasst. Dazu kommen die sog. WHOIS-Informationen sowie Quell- und Zieladressen für sämtliche Kommunikationsvorgänge zwischen Anmelder und Domainregistrar einschließlich der Angaben zu Datum, Zeit und Zeitzone der Kommunikation.

Ursprünglich sollten darüber hinaus umfangreiche Bankinformation gesammelt werden, die u.a. nicht nur ein Verbindungskonto, sondern sämtliche existente Konten des Anmelders samt entsprechenden Sicherungscodes umfassten. Dies stieß im Zuge der Verhandlungen zum aktuellen Entwurf auf Kritik der Domainregistrare. Es wurde gewarnt, dass hinsichtlich solch sensitiver Bankdaten das Missbrauchspotential für den Anmelder enorm sei und schmerzhafte Folgen bis hin zum Identitätsdiebstahl haben könnte. Im Übrigen wurde darauf hingewiesen, dass die Speicherung von Sicherungscodes im Widerspruch zum Payment Card Industry Data Security Standard stehen würde, der die Basis für sämtliche wichtigen Kreditkartendienstleister bildet und die Speicherung solcher Informationen gerade nicht vorsehe. Stattdessen schlugen sie vor, dass nur die für Abrechnungszwecke erforderlichen Daten gespeichert werden sollten, womit sie sich letztlich auch durchsetzen konnten. Im aktuellen Entwurf ist ihr Vorschlag wortwörtlich übernommen worden.

Unterschiedlicher Speicherumfang zur Richtlinie 2006/24/EG

Die in der „Data Retention Specification“ genannten Daten unterscheiden sich in vielerlei Hinsicht von denen, die nach Art. 5 der Richtlinie 2006/24/EG von den Providern gespeichert werden sollen. Dies erklärt sich aus dem unterschiedlichen Regelungszweck. Während bei der Vorratsdatenspeicherung durch Provider Kommunikationswege rekonstruiert werden können sollen, besteht bei der Vorratsdatenspeicherung durch Domainregistrare das Ziel darin, dass keine Verantwortlichkeitslücken bei Domains und Websites bestehen, also mindestens ein verantwortlicher Kontakt möglichst leicht identifiziert werden kann. Nach Ansicht der ICANN und wohl auch der Strafverfolgungsbehörden, reichen hierfür die gewöhnlichen Daten eines Anmelders nicht aus, bzw. man möchte sich auf die offiziellen Angaben nicht verlassen und stattdessen „harte Fakten“ wie Zahlungs- und Kommunikationswege zur Beurteilung der Verantwortlichkeit mit heranziehen können.

Es wird deutlich, dass es sich bei der Vorratsdatenspeicherung durch Registrare nicht um ein alternatives Konzept zur schon bekannten Vorratsdatenspeicherung durch Provider handelt, sondern um ein weiteres.

Weiterer Unterschied: Speicherfrist „life + 2“

Unterschiede bestehen nicht nur hinsichtlich der Adressaten der Speicherpflicht und des verlangten Datenumfangs, sondern auch für die Speicherfrist. Die Daten sollen bei der Anmeldung der Domain erhoben und bis zu zwei Jahren über den Registrierungszeitraum hinaus in einer eigenen Datenbank gespeichert werden (life+2). Dies stellt eine deutlich längere Speicherfrist als die mindestens sechs Monate bis höchstens zwei Jahre dar, wie es Art. 6 der Richtlinie 2006/24/EG als Umsetzungsspielraum für die Mitgliedsstaaten vorsieht.

Auch hier soll nicht unerwähnt bleiben, dass die Registrare während der Verhandlungen Kritik an der langen Speicherfrist äußerten und eine Zweiteilung vorschlugen: Die life+2 Speicherfrist sollte sich auf die Registrierungsdaten beschränken, während die sensitiven Bank- und Kommunikationsdaten nach sechs Monaten gelöscht werden. ICANN wies diesen Vorschlag zurück.

Kritik vom Bundes-Datenschutzbeauftragten und den Registraren

Das Büro des Bundesbeauftragten für den Datenschutz und der Informationsfreiheit (BfDI) teilte heise online gegenüber mit, dass eine Vorratsdatenspeicherung bei der Domainregistrierung dem deutschen Recht widerspreche und wies dabei insbesondere auf die unzulässige Speicherpflicht durch Vertrag für Strafverfolgungszwecke hin. Das hinsichtlich der Kommunikationsvorgänge anwendbare Telemediengesetz sehe keine Datenspeicherung für Strafverfolgungszwecke vor und nach dem Bundesdatenschutzgesetz sei die Speicherung von Bankdaten nur im Rahmen eines Einzugsverfahrens zulässig.

Domainregistrare demgegenüber fürchten eine Kundenflucht. So gingen nach Einführung strengerer Registrierungsvoraussetzungen für die chinesische Top-Level-Domain.cn die Kundenzahlen innerhalb kürzester Zeit stark zurück.

Neue Runde?

Innerhalb der ICANN gibt es Anstöße des Nutzergremiums NCUC, die Rolle des Datenschutzes im Rahmen der Vorratsdatenspeicherung neu zu überdenken. Die Durchsetzung des Datenschutzes sei ebenso Rechtsdurchsetzung wie die Strafverfolgung und müsste stärker in die Diskussion eingebunden werden.

Fazit

Das Interesse der Strafverfolgungsbehörden die Verantwortlichen hinter Websites identifizieren zu können ist nachvollziehbar und angesichts der seit Jahren wachsenden Onlinekriminalität nicht überraschend. Dass zu diesem Zweck Domainregistrare Daten ihrer Kunden auf Vorrat so umfangreich und lange speichern sollen erscheint indes bedenklich. Weiterhin gilt zu beachten, dass viele Domainregistrare gleichzeitig auch Provider sind und enorme Informationskonzentrationen samt der damit verbundenen Gefahren entstehen könnten. Zwar ist die Vorratsdatenspeicherung durch Registrare im europäischen Datenschutz, soweit ersichtlich, nicht auf der Agenda und in Form einer privatrechtlichen Ermächtigungsgrundlage wohl undenkbar, doch zeigt der Fall, dass es dynamische außereuropäische Entwicklungen gibt, die einem anderen datenschutzrechtlichen Verständnis folgen und im Auge zu behalten sind.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.