Gerade einmal fünf Tage nach dem Beginn der Anwendbarkeit der DSGVO hat das Landgericht Bonn (Beschluss vom 29. Mai 2018, Aktenzeichen 10 O 171/18) als erstes deutsches Gericht eine Entscheidung zur praktischen Anwendung der DSGVO getroffen. Der Beschluss des Gerichts ist daher wahrscheinlich die erste Gerichtsentscheidung zur DSGVO weltweit. Sie behandelt das brandaktuelle Thema der öffentlichen Zugänglichkeit der “WHOIS -Daten” der Internet Corporation for Assigned Names and Numbers (ICANN).

Germany: First court decision on GDPR

Only five days after the GDPR became applicable, the first German court, the Regional Court (Landgericht) Bonn (in a decision dated 29 May 2018, case number 10 O 171/18 – in German only), issued a ruling on the practical application of the GDPR. This probably makes the court’s ruling the first GDPR court decision worldwide, and the decision addressed the hot-button issue of public availability of ICANN “WHOIS data”.

For the English version of this article, please click here.

Das Gericht musste im Rahmen eines einstweiligen Verfügungsverfahrens über den in Art. 5 Abs. 1 lit. c) DSGVO niedergelegten Grundsatz der Datenminimierung entscheiden. Verfahrensbeteiligte waren die ICANN und die in Deutschland ansässige ICANN-akkreditierte Registrarin EPAG Domainservices GmbH. ICANN wollte die EPAG verpflichten, sich an die mit ICANN geschlossene “Registrar-Akkreditierungs-Vereinbarung” zu halten. Diese besagt, dass bei der Registrierung eines neuen Domainnamens Daten eines technischen (Tech-C) und eines administrativen (Admin-C) Kontakts zu erheben sind. Das Gericht entschied, dass ICANN nicht glaubhaft machen konnte, dass die Erhebung von Daten zum Admin-C und Tech-C i.S.d. Art. 5 Abs. 1 lit. c) DSGVO notwendig sei, weswegen EPAG nicht verpflichtet sei, diese Daten zu erheben.

Im Einzelnen: Das Gericht führte aus, dass ICANN von EPAG die Einhaltung von Verpflichtungen aus der “Registrar-Akkreditierungs-Vereinbarung” nur insoweit beanspruchen könne, als die vertraglichen Vereinbarungen im Einklang mit geltendem Recht stehen. Art. 5 Abs. 1 lit. b) und c) DSGVO schreiben vor, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen und die Verarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss. Laut dem Gericht konnte ICANN ein hinreichendes Bedürfnis im vorgenannten Sinne für die Erhebung von Daten zum Admin-C und Tech-C nicht glaubhaft machen. Stattdessen soll die Erhebung der Daten des Inhabers des registrierten bzw. zu registrierenden Domainnamen für ICANNS´s Zwecke ausreichen, insbesondere hinsichtlich strafrechtlich relevanter oder sonst wie zu ahnender Verstöße oder Sicherheitsprobleme, da es sich bei dem registrierungswilligen Domaininhaber um den für die Inhalte der betreffenden Webseite hauptverantwortliche Person handelt. Die Tatsache, dass eine Registrierung auch durch die Angabe der Personendaten des Domaininhabers (und nicht eines Dritten) für den Admin-C sowie den Tech-C möglich ist, sei Beleg dafür, dass etwaige über den Domaininhaber hinausgehende Daten auch bisher nicht zur Zweckerreichung notwendig waren.

WHOIS-Verzeichnisse werden von Rechteinhabern und Strafverfolgungsbehörden wegen der Bereitstellung von Informationen über die Identität eines Domaininhabers geschätzt. ICANN hatte bislang Schwierigkeiten mit der Einhaltung der DSGVO hinsichtlich WHOIS-Verzeichnissen und -Diensten. Daher hat sie einen Dialog mit der Artikel 29 Datenschutzgruppe (WP29, seit dem 25. Mai 2018: Europäischer Datenschutzausschuss) begonnen hat. WP29 hat Bedenken hinsichtlich der Einhaltung der DSGVO durch ICANN geäußert, abgegeben und angekündigt, ICANN weiterhin im Auge zu halten (siehe Schreiben der WP29 vom 11. Dezember 2017 und Schreiben der WP29 vom 11. April 2018). ICANN bat um ein Moratorium für die Durchsetzung der DSGVO durch die Datenschutzbehörden, bis seine überarbeitete WHOIS-Richtlinie entwickelt und implementiert ist. Dieses Ersuchen wurde einige Tage nach Anwendungsbeginn der DSGVO durch den Europäischen Datenschutzausschuss abgelehnt, da die DSGVO es weder nationalen Aufsichtsbehörden noch dem Europäischen Datenschutzausschuss erlaube, Vollzugsmoratorien für einzelne Datenverantwortliche zu verhängen. Ungeachtet dessen hat der Ausschuss jedoch bemerkt, dass dies Datenschutzbehörden nicht daran hindere, bei der Auswahl der geeigneten Aufsichtsmaßnahmen nach eingegangenen Beschwerden auch zu berücksichtigen, welche Maßnahmen bereits ergriffen wurden oder eingeleitet sind (siehe das Statement vom 27. Mai 2018).

Klicken Sie hier für nähere Informationen zur Verarbeitung von WHOIS-Daten.