Im Oktober 2014 erhielten wir von der ICANN unseren Data Retention Waiver.
Gemeinsam mit der eco, dem Verband der deutsche Internetwirtschaft, gelang es diesen durchzusetzen. Marcus Schäfer, Geschäftsführer der Hostserver GmbH, war der Initiator dieser eco-Initiative.
Waiver bedeutet „Verzichtserklärung“. Hier verzichtet die ICANN auf die Vorratsdatenspeicherung, zu der sie alle Registrare weltweit mit der Regulierungsvereinbarung verpflichtet hat.
Seit dem 3. Quartal 2014 können alle Domainanbieter in Deutschland auf Antrag einen Data Retention Waiver erhalten. Doch ohne Druck ging das nicht.
„Es war ein langer und steiniger Weg, die ICANN davon zu überzeugen, europäische und deutsche Datenschutzanforderungen zu akzeptieren. Doch es hat sich gelohnt“, wie Marcus Schäfer feststellt, „denn nun gestalten sich weitere Gespräche zum Thema Datenschutz bei der ICANN spürbar leichter. In Detailfragen fehlt das Verständnis noch, da Datenschutz in den USA keine Tradition hat.“
Fürs Erste ist der Data Retention Waiver ein Punktsieg für den Datenschutz, doch verbunden mit diesem Prozedere noch lange nicht ausreichend. Vielen Registraren ist gar nicht bewusst, dass sie ohne Waiver leicht gegen geltende Datenschutzbestimmungen verstoßen können, denn im Gegensatz zu uns haben die wenigsten einen eigenen Datenschützer im Unternehmen.
„Wir werden weiter im Interesse unserer Kundinnen und Kunden und aller Domaininhaber aktiv an den Prozessen der ICANN mitwirken, um gemeinsam mit anderen Registraren für eine angemessene Berücksichtigung der Rechte in Deutschland und der EU Verbesserungen zu erreichen“, so Maha Amasheh, unsere Registry Relations Managerin am Standort Berlin.
Bisher sind es erst acht deutsche Unternehmen, die einen Data Retention Waiver erhielten. Mit diesem wird ihnen ermöglicht, dass sie nur Daten erheben, speichern und verwenden müssen, die für die Durchführung der Registrierung und des Vertrages notwendig sind und nicht länger als es das deutsche Datenschutzgesetz es zulässt.
Wir werden auch weiterhin gegen die um sich greifende Vorratsdatenspeicherung vorgehen!
Data Retention Specification
Die Data Retention Specification kam auf Druck des U.S. Government Accountability Office (GAO) zustande, die 2005 bemängelte, dass whois-Daten in ca. 5% aller Fälle nicht korrekt sind. Daraufhin werden seit 2008 Domaininhaber u.a. jährlich über Ihre Daten informiert, um diese zu prüfen und zu korrigieren. Doch mit der Unterzeichnung der Registrierungsvereinbarung (RAA 2013) und der darin enthaltenen „Data Retention Specification“ müssen alle Registrare die Domaininhaber-Daten, wie E-Mail, Telefonnummer, Faxnachrichten und postalische Übermittlungen, Informationen zu Transaktionen, also Überweisungen, Abbuchungen von Bankkonten oder Kreditkarten sowie weitere vom Domain-Registranten genutzte Zahlungsmittel im Zusammenhang mit verwalteten Domains aufzeichnen und für die Dauer der Domainverwaltung sowie zwei bis drei Jahre darüber hinaus, speichern. Auf Verlangen der ICANN müssen diese Daten herausgegeben werden.
Ohne den Data Retention Waiver müssen sich Registrare überlegen, ob sie gegen europäisches und länderspezifisches Datenschutzgesetz verstoßen oder ob sie der ICANN gegenüber Vertragsbruch begehen und damit ihre Akkreditierung aufs Spiel setzen.
Die Europäischen Datenschutzrichtlinie
Personenbezogene Daten dürfen nach der europäischen Datenschutzrichtlinie (RL 95/46/EG) aus der EU bzw. aus dem EWR nicht in einen sog. Drittstaat übermittelt werden, solange nicht ein angemessenes Schutzniveau für die übermittelten Daten geschaffen wird. Dies stellt Unternehmen immer wieder vor große Herausforderungen. Daher ist eine weitere Forderung von Registraren, dass die ICANN eine Niederlassung in der EU betreibt und die Verträge nach europäischem Recht abschließt. Mit ihrem Hauptsitz in den USA fließen weltweit alle Daten zwangsläufig dorthin und unterliegen somit auch US-amerikanischem Gesetzen. Der Datenschutz hat es in dieser Konstellation nicht einfach und es werden sich nicht immer nachträglichen Verzichtsklauseln finden lassen.