Eingeschränkte Whois-Abfragen: Wird die DSGVO für die DENIC zur Haftungsfalle?
Der Datenschutz ist dank der Datenschutz-Grundverordnung (DSGVO) in aller Munde. Vor allem Unternehmen hatten bzw. haben mit den neuen Vorschriften zu kämpfen.
Aber auch die Rechtsdurchsetzung wird durch die Datenschutz-Grundverordnung erschwert. Sogenannte Whois-Abfragen werden in der Form, wie wir sie kennen, von der DENIC nicht mehr zur Verfügung gestellt.
Warum sind Whois-Abfragen überhaupt wichtig?
Rechtsverletzungen im Internet sind vielfältig. So kann beispielsweise das Recht an einer Marke auf einer Website verletzt werden oder es werden Inhalte verbreitet, die das Persönlichkeitsrecht eines Dritten verletzen. Um sich als Rechteinhaber effektiv gegen Rechtsverletzungen im Internet zur Wehr zu setzen, ist es daher unverzichtbar den Betreiber oder den Domaininhaber der Website, auf der diese entdeckt wurde, zu identifizieren und in Anspruch zu nehmen. Andernfalls ist die Beseitigung der Rechtsverletzung oft nur schwer möglich.
Bis zur Anwendbarkeit der DSGVO konnte der Domaininhaber problemlos mithilfe einer sogenannten Whois-Abfrage ausfindig gemacht werden. Der Rechteinhaber musste lediglich auf der Seite der DENIC die Internet-Adresse der entsprechenden Website eingeben und bekam sodann Informationen über die Identität des Domaininhabers sowie der Ansprechpartner für technische und administrative Belange der Domain. Diese Informationen konnte jeder erhalten, der nach einer bestimmten Internetadresse gesucht hatte.
Fehlen einer Rechtsgrundlage für öffentliche Whois-Abfragen
Die öffentlichen Whois-Auskünfte, wie wir sie kennen, sind allerdings seit Anwendbarkeit der DSGVO nicht mehr möglich. Es fehlt schlicht an einer entsprechenden Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie der Ansprechpartner für technische und administrative Belange der Website durch die DENIC.
Eine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO des Domaininhabers in die Veröffentlichung seiner Kontaktdaten durch die DENIC dürfte an dem Erfordernis der Freiwilligkeit einer Einwilligung (sogenanntes Kopplungsverbot) scheitern. Allein aufgrund der Monopolstellung der DENIC in Deutschland kann eine Einwilligung nicht freiwillig erteilt werden, denn wer eine Domain unter der Top-Level-Domain “.de” registrieren möchte, muss sich an die DENIC wenden und wäre damit gezwungen, seine Einwilligung zu erteilen. Auch wenn man dies anders sehen mag, ist eine Einwilligung wenig praktikabel, da der Betroffene – der Domaininhaber – seine Einwilligung gemäß Art. 4 Abs. 3 S. 1 DSGVO jederzeit ohne Angabe von Gründen widerrufen kann.
Auch eine Verarbeitung der personenbezogenen Daten zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b) DSGVO vermag die Veröffentlichung der Daten des Domaininhabers nicht zu rechtfertigen. Vorliegend kommt nämlich lediglich der Vertrag zwischen der DENIC und dem Domaininhaber in Betracht. Warum die Veröffentlichung der Daten des Domaininhabers zu dessen Erfüllung erforderlich sein soll, ist nicht ersichtlich.
Die berechtigten Interessen als mögliche Rechtsgrundlage?
Denkbar wäre die Verarbeitung personenbezogener Daten des Webseitenbetreibers auf Art. 6 Abs. 1 lit. e) DSGVO zu stützen. Hierbei müsste die DENIC eine Aufgabe wahrnehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
In Deutschland gibt es mehrere öffentliche Register, bei denen der Gesetzgeber davon ausgeht, dass diese im öffentlichen Interesse geführt werden. Man denke hier beispielsweise an das Markenregister gemäß § 41 MarkenG oder das Anwaltsverzeichnis nach § 31 BRAO. Diese Register werden allerdings auf Grundlage einer gesetzlichen Regelung geführt. Für die Whois-Abfragen hingegen gibt es keine gesetzliche Vorschrift, die das öffentliche Interesse beschreibt und das Führen einer öffentlichen Whois-Abfrage festlegt. Die Organisationen der Kommunikation im Internet wird lediglich privatrechtlich geregelt, sodass Art. 6 Abs. 1 lit. e) DSGVO nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann.
Zu guter Letzt stellt sich die Frage, ob sich die DENIC hinsichtlich der Datenverarbeitung auf die Wahrung ihrer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. F) DSGVO berufen kann.
Der Begriff der “berechtigten Interessen“ ist jedoch äußerst unscharf. Eine eindeutige Definition des Begriffs gibt es nicht. Da das berechtigte Interesse eines Dritten eine Datenverarbeitung rechtfertigen kann, kommt das Interesse eines Rechteinhabers in Betracht, der verschiedenste Ansprüche gegen den Domaininhaber durchsetzen möchte und somit darauf angewiesen ist, die Kontaktdaten des Domaininhabers mittels der Whois-Abfrage zu erhalten. Das Interesse eines einzelnen Rechteinhabers an der Kenntnisnahme der Kontaktdaten des Domaininhabers wird allerdings keine öffentliche Whois-Abfrage begründen können. Dieses Interesse wird lediglich die Kenntnisnahme von den Kontaktdaten des Domaininabers durch den konkreten Rechteinhaber rechtfertigen können. Damit scheiden nun auch die berechtigten Interessen gem. Art. 6 Abs.1 lit. f) DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus.
DENIC in der “Zwickmühle”
Da es der DENIC an einer Rechtsgrundlage in der DSGVO für die Bereitstellung einer öffentlichen Whois-Abfrage fehlt, sie es sich jedoch zur Aufgabe gemacht hat, eine solche Whois-Abfrage für jedermann bereitzuhalten, befindet sich die DENIC gewissermaßen in einer “Zwickmühle”.
Will die DENIC die sich selbst gesetzte Aufgabe erfüllen, so riskiert sie, hohe Bußgelder der Datenschutzbehörden auferlegt zu bekommen. Möchte sie sich hingegen DSGVO-konform verhalten, kann sie ihrer Aufgabe nicht gerecht werden.
Einzelfallbezogene Whois-Abfragen
Die DENIC versucht nun, dieser “Zwickmühle” durch einzelfallbezogene Whois-Abfragen zu entgehen. So ist es mittlerweile nicht mehr möglich, durch schlichte Eingabe einer Internetadresse in der Suchzeile der Whois-Abfrage Kontaktdaten des Domaininhabers sowie der technischen und administrativen Ansprechpartner der Website zu erhalten. Wer eine solche Auskunft erhalten möchte, muss bspw. auf der Seite der DENIC ein entsprechendes Formular ausfüllen, in dem unter anderem die Gründe für die Whois-Abfrage anzugeben sind.
Diese Vorgehensweise dürfte auch durch die DSGVO gerechtfertigt sein. Eine entsprechende Rechtsgrundlage hierfür findet sich unter anderem in Art. 6 Abs. 1 lit. b) DSGVO (Datenverarbeitung zur Vertragserfüllung). Wer sich eine Domain sichern möchte, um unter dieser seine Website zu betreiben, muss einen entsprechenden Domainvertrag mit der DENIC abschließen. Hierbei unterwirft sich der künftige Domaininhaber etablierten internationalen Streitschlichtungsmechanismen, wie dem Uniform Domain Name Dispute Rsolution Service for Generic Top-Level Domains (UDRP) und dem Uniform Rapid Suspension System (URS). Diese Streitschlichtungsmechanismen sind allerdings auf Streitigkeiten an Namens- und Kennzeichenrechten zugeschnitten. Wird hingegen das Persönlichkeitsrecht eines Betroffenen auf einer Website verletzt und der Rechteinhaber möchte den Domaininhaber im Rahmen der Störerhaftung in Anspruch nehmen, kann Art. 6 Abs. 1 lit. b) DSGVO die Whois-Abfrage nicht rechtfertigen.
Die Whois-Abfrage kann in solchen Fällen allerdings durch das berechtigte Interesse des Rechteinhabers gem. Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Das berechtigte Interesse des Rechteinhabers ist hier in der Durchsetzung seiner zivilrechtlichen Ansprüche gegen den Domaininhaber zu erblicken. Wäre es dem Rechteinhaber unmöglich herauszufinden, welche natürliche Person die Domain, die beispielsweise das Persönlichkeitsrecht des Rechteinhabers verletzt, besitzt, müsste der Rechteinhaber hinnehmen, dass seine Rechte dauerhaft verletzt bleiben. Diese Situation kann vom Gesetzgeber nicht gewollt sein. Gestützt wird diese Annahme zusätzlich durch Art. 23 Abs. 1 lit. j) DSGVO. Nach dieser Norm können die Rechte der Betroffenen einer Datenverarbeitung, wie beispielsweise das Recht auf Löschung, beschränkt werden, wenn dies zur Durchsetzung zivilrechtlicher Ansprüche notwendig ist.
Whois-Auskunft nur bzgl. Namens- und Kennzeichenrechten, zivilrechtlicher Pfändung oder auf Anfrage einer Behörde?
Wie bereits beschrieben, ist eine öffentliche Whois-Abfrage nicht mehr möglich. Gibt man die entsprechende Internetadresse in der Suchzeile der Whois-Abfrage ein, erhält man lediglich die Information, ob die Domain bereits registriert ist oder nicht.
Wer Informationen zu dem Domaininhaber erhalten möchte, wird darauf verwiesen, dass eine solche Auskunft nur unter bestimmten Voraussetzungen möglich sei. So sei eine Auskunft nur im Falle der Verletzung von
- Namens- und Kennzeichenrechten,
- einer zivilrechtlichen Pfändung oder
- auf Anfrage einer Behörde
möglich und auch nur dann, wenn ein entsprechender Antrag ausgefüllt und an die DENIC übermittelt werde.
In allen übrigen Fällen erteile die DENIC grundsätzlich keine Auskunft.
Für den Fall dass anderweitige rechtswidrige Inhalte auf der Webseite zu finden seien, könne der Rechteinhaber einen entsprechenden Hinweis an die E-Mail-Adresse für “Abuse” richten. Ob man in solchen Fällen allerdings auch die gewünschte Auskunft erhält, ist fraglich. Kurioserweise verweist die DENIC an dieser Stelle auf das Impressum des Webseitenbetreibers – “soweit vorhanden”. Wie man sich gegen Rechtsverletzungen auf Seiten zur Wehr setzen soll, auf denen das Impressum fehlt, erläutert die DENIC nicht.
Warum die DENIC in allen übrigen Fällen, in denen eine Rechtsverletzung auf der Website im Raum steht, kein entsprechendes Formular zur Auskunftserteilung bereithält, erschließt sich nicht. So wäre eine einzelfallbezogene Whois-Abfrage auch in diesen Fällen von der DSGVO durch die Wahrung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f) gedeckt.
Die Durchsetzung von Ansprüchen bei Rechtsverletzungen wird durch die neue einzelfallbezogene Whois-Abfrage erschwert. War es in der Vergangenheit innerhalb von wenigen Minuten möglich, den Domaininhaber ausfindig zu machen, so ist man nun der Bearbeitungszeit der DENIC auf “Gedeih und Verderben” ausgesetzt.
Wer Urheber– und Persönlichkeitsrechtsverletzung effektiv beseitigen möchte, bekommt überhaupt keine Informationen zum Domaininhaber mehr.
Riskiert die DENIC ihr Haftungsprivileg?
Die restriktive Informationspolitik der DENIC wirft die Frage auf, ob diese sich auch in Zukunft auf die weitreichenden Haftungsprivilegien wird berufen können, die die Rechtsprechung ihr bisher eingeräumt hat.
So hat zum Beispiel das Oberlandesgericht Frankfurt in einem Beschluss aus dem Jahr 2015 in Bezug auf die Haftung von Domain-Registraren entschieden, dass diese nur eingeschränkte Prüfpflichten träfen, die eine Handlungspflicht nur dann auslösen, wenn die Verletzung Persönlichkeitsrechte Dritte offenkundig und für sie unschwer feststellbar ist (OLG Frankfurt a.M., Beschluss v. 16.09.2015, Az. 16 W 47/15).
Bereits 2001 entschied der BGH, dass die Feststellbarkeit dann “unschwer” sei, wenn ein rechtskräftiger gerichtlicher Titel vorliegt oder wenn die Rechtsverletzung derart eindeutig ist, dass sie sich aufdrängen muss (BGHZ 148, 13, 21 f. – ambiente.de, mwN).
Wenn es nun aber um eine Rechtsverletzung auf einer Seite geht, die kein Impressum hat und die DENIC sich weigert, die Daten der am Betrieb der Domain Beteiligten preiszugeben, fällt die Möglichkeit für den Rechteinhaber, gegen diese gerichtlich vorzugehen und das so erstrittene Urteil dann der DENIC als Beleg für eine offenkundige Rechtsverletzung vorzulegen, weg. Da die Informationserteilung im Wege der Whois-Abfrage, wie oben erwähnt, von der DENIC nunmehr nicht mehr zur Verfügung gestellt wird, kann man die Existenzberechtigung des Haftungsprivilegs insoweit mit guten Gründen anzweifeln. Die DENIC sollte ihre Informationspolitik daher in eigenem Interesse überdenken.
Update 16.7.2018
Nachdem uns der Justitiar der DENIC uns freundlicherweise darauf hingewiesen hat, dass die DENIC ihrer Auffassung nach nicht – jedenfalls nicht vertraglich – gegenüber der ICANN verpflichtet ist, in Bezug auf die von ihr verwalteten und von den generischen Top Level Domains (gTLDs) zu unterscheinden länderbezogenen Top Level Domains (abgekürzt ccTLDs für country code), eine öffentliche Whois-Abfrage bereitzuhalten, haben wir den Artikel entsprechend angepasst.