{"id":39878,"date":"2018-06-29T06:46:28","date_gmt":"2018-06-29T05:46:28","guid":{"rendered":"https:\/\/www.lhr-law.de?p=39878"},"modified":"2019-05-10T04:18:48","modified_gmt":"2019-05-10T03:18:48","slug":"dsgvo-whois-anfragen-nicht-mehr-moeglich","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/dsgvo-whois-anfragen-nicht-mehr-moeglich\/","title":{"rendered":"Eingeschr\u00e4nkte Whois-Abfragen: Wird die DSGVO f\u00fcr die DENIC zur Haftungsfalle?"},"content":{"rendered":"
\"DSGVO
\u00a9 strichfiguren.de – fotolia.com<\/figcaption><\/figure>\n

Der Datenschutz<\/a>\u00a0<\/u>ist dank der Datenschutz-Grundverordnung (DSGVO)<\/a><\/u> in aller Munde. Vor allem Unternehmen hatten bzw. haben mit den neuen Vorschriften zu k\u00e4mpfen. <\/em><\/p>\n

Aber auch die Rechtsdurchsetzung wird durch die Datenschutz-Grundverordnung erschwert. Sogenannte Whois-Abfragen werden in der Form, wie wir sie kennen, von der DENIC nicht mehr zur Verf\u00fcgung gestellt.<\/em><\/p>\n

Warum sind Whois-Abfragen \u00fcberhaupt wichtig?<\/h2>\n

Rechtsverletzungen im Internet sind vielf\u00e4ltig. So kann beispielsweise das Recht an einer\u00a0Marke<\/a> auf einer Website verletzt werden oder es werden Inhalte verbreitet, die das\u00a0Pers\u00f6nlichkeitsrecht<\/a> eines Dritten verletzen. Um sich als Rechteinhaber effektiv gegen Rechtsverletzungen im Internet zur Wehr zu setzen, ist es daher unverzichtbar den Betreiber oder den Domaininhaber der Website, auf der diese entdeckt wurde, zu identifizieren und in Anspruch zu nehmen. Andernfalls ist die Beseitigung der Rechtsverletzung oft nur schwer m\u00f6glich.<\/p>\n

Bis zur Anwendbarkeit der DSGVO konnte der Domaininhaber problemlos mithilfe einer sogenannten Whois-Abfrage ausfindig gemacht werden. Der Rechteinhaber musste lediglich auf der Seite der DENIC die Internet-Adresse der entsprechenden Website eingeben und bekam sodann Informationen \u00fcber die Identit\u00e4t des Domaininhabers sowie der Ansprechpartner f\u00fcr technische und administrative Belange der Domain. Diese Informationen konnte jeder erhalten, der nach einer bestimmten Internetadresse gesucht hatte.<\/p>\n

Fehlen einer Rechtsgrundlage f\u00fcr \u00f6ffentliche Whois-Abfragen<\/h2>\n

Die \u00f6ffentlichen Whois-Ausk\u00fcnfte, wie wir sie kennen, sind allerdings seit Anwendbarkeit der DSGVO nicht mehr m\u00f6glich. Es fehlt schlicht an einer entsprechenden Rechtsgrundlage f\u00fcr die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie der Ansprechpartner f\u00fcr technische und administrative Belange der Website durch die DENIC.<\/p>\n

Eine Einwilligung gem\u00e4\u00df Art. 6 Abs. 1 lit. a) DSGVO<\/a> des Domaininhabers in die Ver\u00f6ffentlichung seiner Kontaktdaten durch die DENIC d\u00fcrfte an dem Erfordernis der Freiwilligkeit einer Einwilligung (sogenanntes\u00a0Kopplungsverbot<\/a>) scheitern. Allein aufgrund der Monopolstellung der DENIC in Deutschland kann eine Einwilligung nicht freiwillig erteilt werden, denn wer eine Domain unter der Top-Level-Domain “.de” registrieren m\u00f6chte, muss sich an die DENIC wenden und w\u00e4re damit gezwungen, seine Einwilligung zu erteilen. Auch wenn man dies anders sehen mag, ist eine Einwilligung wenig praktikabel, da der Betroffene \u2013 der Domaininhaber \u2013 seine Einwilligung gem\u00e4\u00df Art. 4 Abs. 3 S. 1 DSGVO<\/a> jederzeit ohne Angabe von Gr\u00fcnden widerrufen kann.<\/p>\n

Auch eine Verarbeitung der personenbezogenen Daten zur Erf\u00fcllung eines Vertrages nach Art. 6 Abs. 1 lit. b) DSGVO<\/a> vermag die Ver\u00f6ffentlichung der Daten des Domaininhabers nicht zu rechtfertigen. Vorliegend kommt n\u00e4mlich lediglich der Vertrag zwischen der DENIC und dem Domaininhaber in Betracht. Warum die Ver\u00f6ffentlichung der Daten des Domaininhabers zu dessen Erf\u00fcllung erforderlich sein soll, ist nicht ersichtlich.<\/p>\n

Die berechtigten Interessen als m\u00f6gliche Rechtsgrundlage?<\/h2>\n

Denkbar w\u00e4re die Verarbeitung personenbezogener Daten des Webseitenbetreibers auf Art. 6 Abs. 1 lit. e) DSGVO<\/a> zu st\u00fctzen. Hierbei m\u00fcsste die DENIC eine Aufgabe wahrnehmen, die im \u00f6ffentlichen Interesse liegt oder in Aus\u00fcbung \u00f6ffentlicher Gewalt erfolgt.<\/p>\n

In Deutschland gibt es mehrere \u00f6ffentliche Register, bei denen der Gesetzgeber davon ausgeht, dass diese im \u00f6ffentlichen Interesse gef\u00fchrt werden. Man denke hier beispielsweise an das Markenregister gem\u00e4\u00df \u00a7 41 MarkenG<\/a> oder das Anwaltsverzeichnis nach \u00a7 31 BRAO<\/a>. Diese Register werden allerdings auf Grundlage einer gesetzlichen Regelung gef\u00fchrt. F\u00fcr die Whois-Abfragen hingegen gibt es keine gesetzliche Vorschrift, die das \u00f6ffentliche Interesse beschreibt und das F\u00fchren einer \u00f6ffentlichen Whois-Abfrage festlegt. Die Organisationen der Kommunikation im Internet wird lediglich privatrechtlich geregelt, sodass Art. 6 Abs. 1 lit. e) DSGVO<\/a> nicht als Rechtsgrundlage f\u00fcr die Datenverarbeitung herangezogen werden kann.<\/p>\n

Zu guter Letzt stellt sich die Frage, ob sich die DENIC hinsichtlich der Datenverarbeitung auf die Wahrung ihrer berechtigten Interessen gem\u00e4\u00df Art. 6 Abs. 1 lit. F) DSGVO berufen kann.<\/p>\n

Der Begriff der “berechtigten Interessen\u201c ist jedoch \u00e4u\u00dferst unscharf. Eine eindeutige Definition des Begriffs gibt es nicht. Da das berechtigte Interesse eines Dritten eine Datenverarbeitung rechtfertigen kann, kommt das Interesse eines Rechteinhabers in Betracht, der verschiedenste Anspr\u00fcche gegen den Domaininhaber durchsetzen m\u00f6chte und somit darauf angewiesen ist, die Kontaktdaten des Domaininhabers mittels der Whois-Abfrage zu erhalten. Das Interesse eines einzelnen Rechteinhabers an der Kenntnisnahme der Kontaktdaten des Domaininhabers wird allerdings keine \u00f6ffentliche Whois-Abfrage begr\u00fcnden k\u00f6nnen. Dieses Interesse wird lediglich die Kenntnisnahme von den Kontaktdaten des Domaininabers durch den konkreten Rechteinhaber rechtfertigen k\u00f6nnen. Damit scheiden nun auch die berechtigten Interessen gem. Art. 6 Abs.1 lit. f) DSGVO<\/a> als Rechtsgrundlage f\u00fcr die Verarbeitung personenbezogener Daten aus.<\/p>\n

DENIC in der “Zwickm\u00fchle”<\/h2>\n

Da es der DENIC an einer Rechtsgrundlage in der DSGVO f\u00fcr die Bereitstellung einer \u00f6ffentlichen Whois-Abfrage fehlt, sie es sich jedoch zur Aufgabe gemacht hat, eine solche Whois-Abfrage f\u00fcr jedermann bereitzuhalten<\/a>, befindet sich die DENIC gewisserma\u00dfen in einer “Zwickm\u00fchle”.<\/p>\n

Will die DENIC die sich selbst gesetzte Aufgabe erf\u00fcllen, so riskiert sie, hohe Bu\u00dfgelder der Datenschutzbeh\u00f6rden auferlegt zu bekommen. M\u00f6chte sie sich hingegen DSGVO-konform verhalten, kann sie ihrer Aufgabe nicht gerecht werden.<\/p>\n

Einzelfallbezogene Whois-Abfragen<\/h2>\n

Die DENIC versucht nun, dieser “Zwickm\u00fchle” durch einzelfallbezogene Whois-Abfragen zu entgehen. So ist es mittlerweile nicht mehr m\u00f6glich, durch schlichte Eingabe einer Internetadresse in der Suchzeile der Whois-Abfrage Kontaktdaten des Domaininhabers sowie der technischen und administrativen Ansprechpartner der Website zu erhalten. Wer eine solche Auskunft erhalten m\u00f6chte, muss bspw. auf der Seite der DENIC ein entsprechendes Formular ausf\u00fcllen, in dem unter anderem die Gr\u00fcnde f\u00fcr die Whois-Abfrage anzugeben sind.<\/p>\n

Diese Vorgehensweise d\u00fcrfte auch durch die DSGVO gerechtfertigt sein. Eine entsprechende Rechtsgrundlage hierf\u00fcr findet sich unter anderem in Art. 6 Abs. 1 lit. b) DSGVO<\/a> (Datenverarbeitung zur Vertragserf\u00fcllung). Wer sich eine Domain sichern m\u00f6chte, um unter dieser seine Website zu betreiben, muss einen entsprechenden Domainvertrag mit der DENIC abschlie\u00dfen. Hierbei unterwirft sich der k\u00fcnftige Domaininhaber etablierten internationalen Streitschlichtungsmechanismen, wie dem Uniform Domain Name Dispute Rsolution Service for Generic Top-Level Domains (UDRP) und dem Uniform Rapid Suspension System (URS). Diese Streitschlichtungsmechanismen sind allerdings auf Streitigkeiten an Namens- und Kennzeichenrechten zugeschnitten. Wird hingegen das Pers\u00f6nlichkeitsrecht eines Betroffenen auf einer Website verletzt und der Rechteinhaber m\u00f6chte den Domaininhaber im Rahmen der St\u00f6rerhaftung in Anspruch nehmen, kann Art. 6 Abs. 1 lit. b) DSGVO<\/a> die Whois-Abfrage nicht rechtfertigen.<\/p>\n

Die Whois-Abfrage kann in solchen F\u00e4llen allerdings durch das berechtigte Interesse des Rechteinhabers gem. Art. 6 Abs. 1 lit. f) DSGVO<\/a> gerechtfertigt werden. Das berechtigte Interesse des Rechteinhabers ist hier in der Durchsetzung seiner zivilrechtlichen Anspr\u00fcche gegen den Domaininhaber zu erblicken. W\u00e4re es dem Rechteinhaber unm\u00f6glich herauszufinden, welche nat\u00fcrliche Person die Domain, die beispielsweise das Pers\u00f6nlichkeitsrecht des Rechteinhabers verletzt, besitzt, m\u00fcsste der Rechteinhaber hinnehmen, dass seine Rechte dauerhaft verletzt bleiben. Diese Situation kann vom Gesetzgeber nicht gewollt sein. Gest\u00fctzt wird diese Annahme zus\u00e4tzlich durch Art. 23 Abs. 1 lit. j) DSGVO<\/a>. Nach dieser Norm k\u00f6nnen die Rechte der Betroffenen einer Datenverarbeitung, wie beispielsweise das Recht auf L\u00f6schung, beschr\u00e4nkt werden, wenn dies zur Durchsetzung zivilrechtlicher Anspr\u00fcche notwendig ist.<\/p>\n

Whois-Auskunft nur bzgl.\u00a0Namens- und Kennzeichenrechten, zivilrechtlicher Pf\u00e4ndung oder auf Anfrage einer Beh\u00f6rde?<\/h2>\n

Wie bereits beschrieben, ist eine \u00f6ffentliche Whois-Abfrage nicht mehr m\u00f6glich. Gibt man die entsprechende Internetadresse in der Suchzeile der Whois-Abfrage ein, erh\u00e4lt man lediglich die Information, ob die Domain bereits registriert ist oder nicht.<\/p>\n

Wer Informationen zu dem Domaininhaber erhalten m\u00f6chte,\u00a0wird darauf verwiesen<\/a>, dass eine solche Auskunft nur unter bestimmten Voraussetzungen m\u00f6glich sei. So sei eine Auskunft nur im Falle der Verletzung von<\/p>\n