Die Umsetzung der Allgemeinen Datenschutzverordnung der Europäischen Union (DSGVO) hat der Domainbranche große Probleme bereitet. Die ccTLD Registrierungsstellen kündigten sehr spät an, wie sie mit deren Auswirkungen umgehen würden, wobei sie sich, in den Wochen vor der Verabschiedung, hauptsächlich auf den Umgang mit den erhobenen Daten der Registranten beim Registrieren von Domainnamen konzentrierten. Bei den gTLDs war es jedoch anders. Die ICANN, verantwortlich für die Richtlinienerstellung, welche Daten gesammelt werden, veröffentlichte eine Woche vor in Krafttreten der DSGVO am 25. Mai lediglich eine „vorläufige Spezifikation“ darüber, welche Daten bei gTLDs gesammelt werden.
Diese vorläufige Spezifikation, welche alle 90 Tage erneut bestätigt werden muss, gilt für alle generischen Top Level Domains (gTLDs) wie zum Beispiel .com, .berlin und .xyz. Sie sieht vor, dass Betreiber von Registrierungsstellen und Registrare weiterhin umfangreiche WHOIS Informationen für alle gTLDs sammeln. Jedoch werden bei WHOIS-Anfragen lediglich „dünne“ Daten, wie technische Daten zur Identifikation des sponsernden Registrars, dem Status der Registrierung, sowie das Erstellungs- und Ablaufdatum für jede Registrierung, zurückgegeben. Jedoch keine persönlichen Daten.
Für Drittparteien, die ein legitimes Interesse an den nicht öffentlichen Daten der Registrierungsstellen und Registrare haben, gibt es weiterhin Wege, diese Daten zu erhalten. Anfragen können über den sponsernden Registrar gestellt werden und müssen innerhalb einer angemessenen Zeitspanne beantwortet werden. Wird nicht entsprechend reagiert, stellt die ICANN entsprechende Beschwerdemechanismen zur Verfügung. Wenn davon ausgegangen wird, dass die einzelnen Parteien ihren Verpflichtungen aus diesen vorläufigen Spezifikationen nicht nachkommen oder ihren Verträgen mit der ICANN, kann bei der Abteilung für Vertragskonformität der ICANN eine Beschwerde eingereicht werden.
Allerdings hat ein deutscher Registrar, die EPAG, festgestellt, dass die Anforderungen der ICANN nicht mit der DSGVO übereinstimmen und weigerte sich, die von der ICANN geforderten Daten gemäß ihrer Registrar-Akkreditierungsvereinbarungen zu sammeln. EPAG und die Muttergesellschaft Tucows waren der Ansicht, dass die Anforderungen der ICANN über das hinausgingen, was die DSGVO der EU verlangte.
Die DSGVO, so die EPAG, sieht die Datenminimierung als einen Schlüssel, es sollen ausschließlich die personenbezogenen Daten erhoben und verwaltet werden, die notwendig sind. Tocows bestätigt, dass die Möglichkeit einen Registranten zu kontaktieren, absolut notwendig ist, jedoch bei den meisten gTLD Registrierungen der Registrant (Eigentümer), Admin und technischer Kontakt ein und derselbe ist. Daher ist das Sammeln von Admin und Tech-Kontakten nutzlos, da die Daten zum Registranten gehören. Das Sammeln dieser „Kontaktdaten ist problematisch, da es von uns verlangt, persönliche Daten zu speichern und zu verarbeiten, mit denen wir weder rechtlich noch vertraglich in Verbindung stehen.“
Tucows vertritt weiterhin den Standpunkt, dass die vorläufige Spezifikation keine robuste rechtliche Basis für den Transfer von Daten zu den Registrierungsstellen ist und deshalb ein nicht akzeptables Risiko der DSGVO darstellt. Sie halten auch die Anforderungen zur Veröffentlichung des Unternehmens, Staates/Bundeslandes und der Landkreise in den öffentlichen WHOIS Daten für überflüssig.
Dies führte zu einer grundlegenden Meinungsverschiedenheit zwischen Tucows und der ICANN darüber, wie die DSGVO sich auf RAA auswirkt.
„Die Tatsachen und das Gesetz, so wie wir sie sehen, unterstützen nicht die Sicht der ICANN darauf, was sich auf die Sicherheit und Stabilität des Internets auswirkt. Auch die in der vorläufigen Spezifikation genannten Zwecke stehen nicht im Verhältnis zu den Risiken und Folgen der weiteren Erhebung, Verarbeitung und Anzeige unnötiger Daten.“
Daher ist die ICANN mit Tucows vor Gericht gezogen, um die Angelegenheit zu klären. Das Landgericht Bonn hat sich Ende Mai auf die Seite von Tucows gestellt und gesagt, dass sie keine einstweilige Verfügung erlassen wird, die Tucows zwingt, die Richtlinien einzuhalten. Also legte die ICANN Mitte Juni beim Oberlandesgericht Köln Berufung ein, um die von der ICANN geforderte Erfassung der Registrierungsdaten zu erzwingen. Die ICANN fordert das Oberlandesgericht auf, eine einstweilige Verfügung zu erlassen, die EPAG verpflichtet, die Erfassung aller WHOIS-Daten, die im Rahmen der Registrar-Akkreditierungsvereinbarung von EPAG mit der ICANN erforderlich sind, wieder aufzunehmen.
Sollte das Oberlandesgericht der ICANN nicht zustimmen oder sich über den Umfang der DSGVO nicht im Klaren sein, ersucht die ICANN das Oberlandesgericht, die in der Berufung enthaltenen Fragen an den Europäischen Gerichtshof zu verweisen.
Die ICANN wird wahrscheinlich Millionen für diese rechtliche Auseinandersetzung ausgeben, die mehrfach Berufungen nach sich ziehen könnte, wenn sie verliert.
Man könnte annehmen, dass es einen fundamentalen Unterschied in der Betrachtung des europäischen Rechts, bei in Amerika ansässige Unternehmen wie der ICANN und in diesem Fall der DSGVO, gibt.In den USA ansässige Unternehmen scheinen sehr daran interessiert zu sein, sich mit europäischen Gesetzgebern auseinanderzusetzen, zuletzt Google, das im Juli von der Europäische Union zu einer Geldbuße von 4,34 Milliarden verurteilt wurde.
