Abgespeckte Whois-Datenbank: Domain-Daten wie die des Tech-C und Admin-C dürfen nach DSGVO-Regeln nicht mehr gespeichert werden

Was ist passiert?

Die Antragstellerin ist eine gemeinnützige Organisation, die Internet-Adressen und -Namen verwaltet, mithin eine Domainvergabestelle. In diesem Zusammenhang geht sie mit anderen Unternehmen vertragliche Beziehungen hinsichtlich der Vergabe von Domains ein.

Die Antragsgegnerin ist eine Vertragspartnerin der Antragstellerin und als solche befugt, Domainnamen an diejenige zuzuteilen, die eine entsprechende Domain erwerben möchten. Gleichzeitig ist sie dazu verpflichtet, gewisse Daten im Hinblick auf den Domainnamen zu erheben, zu speichern und an die Organisation weiterzugeben. Unter anderem betrifft dies personenbezogene Daten wie den registrierten Domainnamen, das Datum der erstmaligen Registrierung oder den Namen und die Anschrift des Registrierenden. Darüber hinaus werden aber auch Name, Anschrift, E-Mail-Adresse, Telefonnummer und (soweit verfügbar) die Faxnummer des technischen (Tech-C) sowie des administrativen (Admin-C) Kontakts für den registrierten Domainnamen gefordert.

Bisher wurden die vertraglichen Verpflichtungen von der Antragsgegnerin auch entsprechend erfüllt. Im Zuge der Geltung der EU-Datenschutzgrundverordnung kündigte sie jedoch an, die personenbezogenen Daten des technischen sowie des administrativen Kontakts nicht mehr zu erheben und sich nur noch auf die Daten des Domaininhabers zu konzentrieren.

Darin sieht die Antragstellerin eine Verletzung der vertraglich vereinbarten Pflichten begründet und verlangt die Datenreduzierung durch die Antragsgegnerin zu untersagen. Sie ist der Ansicht, dass die Geltung der DSGVO nichts an der vertraglichen Verpflichtung ändern könne.

Die Vertragspartnerin beruft sich hingegen auf Art. 5 Abs. 1 lit. c) i.V.m. Art. 25 DSGVO, wonach die Erhebung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müsse („Datenminimierung“). Zudem sei vertraglich geregelt, dass die Verpflichtungen nur gelten, sofern geltendes Recht dem nicht entgegensteht.

Die Entscheidung des Landgerichts Bonn

Diese Auffassung vertritt auch das Landgericht Bonn und wies den Antrag zurück. Seiner Meinung nach wurde ein Verfügungsanspruch jedenfalls nicht – wie erforderlich – glaubhaft gemacht.

Grundsätzlich sei es der Antragstellerin unbenommen, auf die vertraglich vereinbarten Pflichten ihres Vertragspartners zu bestehen. Allerdings muss in diesem Zusammenhang maßgeblich berücksichtigt werden, dass ebenso die aufgenommene allgemeingültige Regelung zu beachten sei, wonach die Antragsgegnerin bei der Erfüllung ihrer vertraglichen Pflichten an geltende Gesetze und Vorschriften gebunden ist.

Denn die Domainvergabestelle kann sich dann nicht auf die aus den Vereinbarungen resultierende Vertragstreue berufen, wenn die Verpflichtungen nicht mit geltendem Recht vereinbar sind. Dafür müssten die zu erhebenden Daten jedoch mitunter zur Zweckerreichung der Registrierung einer Domain notwendig sein. Ein solch hinreichendes Bedürfnis wie es Art. 5 Abs. 1 lit. c) DSGVO erfordert, konnte die Antragstellerin jedoch gerade nicht glaubhaft machen.

Die personenbezogenen Daten des Domaininhabers werden auch künftig erhoben und in der elektronischen Datenbank gespeichert. Dass weitere Daten wie die des Tech-C und der Admin-C darüber hinaus tatsächlich erforderlich sind, ist für das Gericht nicht ersichtlich. Zwar muss der Antragstellerin zugestanden werden, dass es grundsätzlich immer erst einmal einfacher bzw. besser erscheint, möglichst viele Daten zu besitzen. Allerdings sind diese vor dem Hintergrund der mit der DSGVO unter anderem angestrebten „Datensparsamkeit“ auf ein Minimum zu begrenzen.

Als Hauptverantwortlicher für die Inhalte einer Domain ist zunächst immer der Domainnamen-Inhaber anzusehen. Der Tech-C sowie der Admin-C sind hingegen lediglich zusätzliche potentielle Ansprechpartner, derer es aber nicht bedarf, zumal diese nicht unbedingt von der Person des Domaininhabers verschieden sind. Der Domaininhaber kann schließlich auch alle Funktionen auf sich vereinen.

Sofern sich die Antragstellerin darauf beruft, dass die Erhebung der Daten des Tech-C sowie des Admin-C zur Bekämpfung von Missbrauchsfällen und zur Strafverfolgung notwendig sei, gelangte das Gericht zu der Überzeugung, dass zur Sicherstellung dieser Belange auch die Daten des Domaininhabers alleine ausreichen. Neben denen des Hauptverantwortlichen seien keine weiteren Datensätze nötig.

Ebenso stellt das Gericht darauf ab, dass es bisher möglich war, dieselbe Person in allen drei Datensätzen anzuführen, sofern diese alle drei Funktionen in seiner Person vereint. Aus diesem Umstand erschließt sich den Bonner Richtern nicht, weshalb dann mehr als der Datensatz des Hauptverantwortlichen überhaupt nötig sein soll. Denn auch in der Vergangenheit konnte ein Domainname registriert werden. Damit sind weitere Datensätze zur Erreichung des angestrebten Zwecks nicht erforderlich. Anderenfalls hätte man auch bislang nicht auf sie verzichten können, sondern eine Registrierung nur in Abhängigkeit des Vorhandenseins aller Datensätze bewilligt.

Fazit

Die Entscheidung des Landgerichts zeigt deutlich die Auswirkungen der DSGVO und ihrer Ziele. Insbesondere im Hinblick auf die anvisierte Datensparsamkeit ist damit generell immer zu hinterfragen, ob personenbezogene Daten in einem konkreten Fall überhaupt erhoben werden müssen.

Gleichwohl zeigt der Fall auch, dass das Landgericht das Domainregistrierungssystem nicht verstanden hat. Der Admin-C hatte in diesem System bisher die Funktion des administrativen Ansprechpartners. So konnte beispielsweise ein ausländischer Domaininhaber nur dann eine DE-Domain registrieren, wenn diese einen deutschen Admin-C aufwies, der seinen Sitz in Deutschland hatte. An diesen konnten dann Zustellungen von Klagen, einstweiligen Verfügungen etc. z. B. wegen Marken- und Namensrechtsverletzungen vorgenommen werden. Insofern ist es erstaunlich, dass das Gericht zum Ergebnis kommt, diese Daten würden nicht benötigt.

Unabhängig davon hat vorliegend das Gericht jedenfalls im Hinblick auf die Whois-Datenbank für einen Teil der Domain-Daten deren Verzichtbarkeit festgestellt. Dem könnten jedoch noch weitere Entscheidungen folgen, die sich damit befassen, welche Daten-Erhebungen und -Weitergaben künftig als DSGVO-konform anzusehen sind und welche nicht. Der aktuelle Stand zeigt jedenfalls, dass Whois-Abfragen nicht wie sonst ohne Weiteres gestellt werden können und man daraufhin recht umfangreiche Informationen im Hinblick auf einen Domainnamen erhält. Vielmehr ist hierfür nun ein entsprechend gewichtiger Grund erforderlich, der anzugeben ist. Daraufhin wird geprüft, ob derjenige die Informationen zu einem bestimmten Domainnamen erhält oder nicht.

Hintergrund dieses Antrags war, dass die Domainvergabestelle ihrerseits in der zweijährigen Umsetzungsfrist der DSGVO scheinbar wenig getan hat, um deren Vorgaben gerecht zu werden. Lediglich eine eingeschränkte Veröffentlichung der gespeicherten Daten folgte als Reaktion auf die Geltung der DSGVO. Zudem hatte die Vertragspartnerin nicht nur angekündigt, die Daten des Tech-C und des Admin-C nicht mehr zu erheben, sondern auch bereits erhobene Datensätze in diesem Zusammenhang zu löschen. Dies wollte die Netzverwaltung mit ihrem Vorgehen verhindern und scheiterte.

Auch weitere Entscheidungen in diesem Bereich werden sicherlich nicht lange auf sich warten lassen.