DSGVO – Einführung neuer Datenschutz-Regeln wird ein Fiasko

1awww wie auch viele andere Betriebe bereiten sich seit langem auf die neue Datenschutz-Grund-Verordnung (DSGVO) vor, können diese aber eigentlich überhaupt nicht vollständig umsetzen!

Bereits im Jahr 1995 haben die Staaten mit der Richtlinie 95/46/EG festgelegt, daß man in Europa einheitliche Datenschutz-Gesetze schaffen will. In 2016 wurde die DSGVO mit der Verordnung 2016/679 EU verabschiedet und diese gilt bereits seit 2016, muß aber von allen EU-Staten bis zum 25.05.2018 verbindlich umgesetzt werden und gilt dann für ALLE!

Die neue Datenschutz-Grundverordnung soll künftig besser die persönlichen Daten von natürlichen Personen schützen! Zu diesen Daten gehören z.B. Name, Vorname, Anschrift, eMail-Adresse, Telefon-Nummer, Fax-Nummer, Geburtsdatum usw und in Verbindung natürlich jegliche Bewegungsdaten, wie z.B. Daten aus Bestellungen und Profile, die durch die Nutzung des Internets entstehen und irgendwo gespeichert werden!

Zusätzlich sollen Kunden, wie schon bisher üblich über die Einhaltung der neuen DSGVO informiert werden und welche Daten wie wo, anderweitig gespeichert werden!

Von 28 Mitgliedsstaaten haben bisher nur 4 Mitgliedsstaaten, die EU-Verordnung in nationale Gesetze umgesetzt! Diverse Unternehmen sind auch gar nicht in der Lage, die DSGVO richtig um zu setzen, weil Voraussetzungen fehlen, die durch Abhängigkeit mit anderen Firmen und Organisationen im Ausland, immer noch nicht geregelt sind! Die EU-Verordnung widerspricht dabei Verträgen und Regeln, die seit langem mit Kunden existieren und auch nicht geändert werden können, wenn nicht die übergeordneten Organisation ihre eigenen Regeln und Bedingungen umgestellt haben, ansonsten wird millionenfach gegen entweder Gesetze oder Verträge, schon vom ersten Tag an, verstoßen!

Bereits die CT hat mehrfach über die Verhandlungen der ICANN mit der Europäischen Union berichtet! Eine Einigkeit ist bisher jedoch nicht zu Stande gekommen und man will sich am 23.05.2018 (also 2 Tage vor Einführung der DSGVO) erneut zu diesem Thema treffen (… und vielleicht ein paar Tassen Kaffee trinken?) !

Die ICANN ist der Dachverband der Domain-Registries, an die weltweit die meisten Domain-Registries angeschlossen sind, wie auch die DENIC (Domain-Registry für Deutsche Domains), die NIC.AT (Österreichische Domain-Registry), die .CH (der Schweiz – ach so, ja die Schweiz ist eh nicht Mitglied der Europäischen Union) und bei der auch die großen Registries für generische Top-Level-Domains angeschlossen sind, wie z.B. für .COM, .NET, .ORG-Domains sowie alle neuen Top-Level-Domains (ngTLD).

Die ICANN hat mit den meisten Domain-Registries Verträge abgeschlossen und dies zum Teil auch schon seit vielen Jahren und an diese sind die Domain-Registries gebunden und auch alle Registrare, die über die Registry für Kunden Domains registrieren und untergeordnet alle Domain-Wiederverkäufer (Reseller / Internet-Service-Provider). Alle Kunden haben dabei mit der Domain-Registry auch die jeweiligen Domain-Verträge der zuständigen Domain-Registry akzeptiert!

Aufgrund dieser Verträge wurden bisher die persönlichen Daten der Registranten (Domain-Inhaber) und Administratoren, zuständigen technischen Kontakten und Abrechnungstechnische Kontakt-Daten übermittelt und diese Daten wurden in öffentlichen whois-Verzeichnissen für jedermann abrufbar bereit gestellt!

Lt. Artikeln, soll selbst die DENIC in Deutschland Kontakt-Daten der Domain-Inhaber an die ICANN übermittelt haben! Vertraglich ist geregelt, mit ICANN lt. CT, daß diese Daten übermittelt werden! Dies widerspricht aber grundsätzlich der neuen Datenschutz-Grundverordnung!

Die ICANN-Bestimmungen wiederum schrieben bisher vor, daß die whois-Daten zwar öffentlich abrufbar bereit gestellt werden mussten, allerdings nur zu berechtigten Zwecken, wie z.B. Prüfung des Domain-Inhabers bei Umzug der Domain oder anderen vertraglichen Fragen oder auch ggf. bei rechtlichen Problemen! Diese Bedingungen wurden allerdings jahrelang von Spammer-Farmen und öffentlichen Verzeichnissen unberechtigt aus den öffentlichen whois-Verzeichnissen ausgelesen und weiter veröffentlicht und wurden dann für insbesondere Spam-Mails missbraucht! Nicht nur aus diesem Grund, waren die öffentlichen Verzeichnisse, die die whois-Daten unberechtigt weiter veröffentlicht haben, für viele ein Dorn im Auge!

Wir von 1awww haben bereits in der Vergangenheit mehrfach diese öffentlichen Verzeichnisse angeschrieben und aufgefordert, die unberechtigte Veröffentlichung zu unterlassen und haben auch in letzterer Zeit insbesondere auf die neuen EU-Datenschutz-Gesetze hingewiesen, die ja bereits ab 2016 in Kraft sind! Dabei konnten wir auch diverse Anbieter dazu bewegen, diese Daten zu löschen und die weitere Veröffentlichung ein zu stellen! Erfolg hatten wir bei IPAdress.com, CuteStat.com, prozortehnologije.com und RegisteryDB.com!

Bei manchen Verzeichnissen haben wir auch die zuständigen Domain-und Netz-Provider angeschrieben und so wie es heute aussieht, haben die von uns angeschriebenen Verzeichnisse diese Veröffentlichungen eingestellt und auch gelöscht! Einige Verzeichnisse haben jedoch bis heute nicht reagiert oder wurden von uns auch nicht angeschrieben, denn es ist eigentlich nicht unsere Aufgabe, das Internet zu “säubern”!

Unsere Aktionen gegen die unberechtigten Veröffentlichungen erfolgten bereits im Januar und Februar 2018, dies aber aufgrund von massivem Spam auf Mail-Adressen, die für unmittelbare Neuregistrierungen von Domains verwendet wurden! Diese Erkenntnisse konnten wir aber auch erst erzielen, nachdem wir Anfang des Jahres ein neues Mail-Gateway eingerichtet hatten, was uns eine genauere Auswertung des Spams ermöglicht!

Daher begrüßen wir im Allgemeinen auch das neue Datenschutz-Gesetz, weil damit auch die Spam-Flut deutlich eingegrenzt wird, die bereits weit über 90% des Mail-Verkehrs ausmacht und insbesondere nur auf Mail-Adressen erfolgt, die in den whois-Verzeichnissen veröffentlicht wurden!

Die ICANN ist eine amerikanische Organisation, die sich lt. CT massiv sträubt, die Datenschutz-Gesetze von Europa um zu setzen! Die europäischen Datenschutz-Gesetze gelten aber auch in Amerika, wenn Bürger der EU betroffen sind, aufgrund des Safe-Habor-Abkommens aus dem Jahre 2000, daß durch das Privacy-Shield-Abkommen ab 2016 ersetzt wurde!

Man hat zwar in der Zwischenzeit, den whois-Abruf von einigen Domain-Endungen bereits auf die Registrare verlagert, aber noch können diese Daten zum größten Teil durch automatische Scripte auch von diesen Registraren grenzenlos ausgelesen werden, statt den Abruf z.B. nur über Webseiten durch natürliche Personen zu ermöglichen und so zu erschweren, z.B. durch Einsatz von Captcha-Abfragen oder Abfragen, die den Nachweis des berechtigten Zweckes erfordern!

Die DSGVO verbietet die Weitergabe und weitere Veröffentlichung der whois-Daten, insbesondere dann, wenn die EU-Datenschutz-Gesetze nicht eingehalten werden, weil es sich hier insbesondere um personenbezogene Daten handelt, die ein berechtigtes Schutzbedürfnis genießen! Dies gilt selbst dann, wenn Domain-Kunden vorher der Speicherung und Veröffentlichung vorher zugestimmt haben, was durch die bestehende Domain-Verträge im Allgemeinen geregelt ist! Das Einverständnis und deren Folgen, waren aber auch für viele Domain-Kunden, nicht genau zu erkennen! Und die ICANN hat es jahrelang versäumt, die selbst auferlegten Bedingungen für die Nutzung der whois-Dienste zu überwachen und Massenabrufe und Massen-Spam zu verhindern!

Wenn wir uns jetzt aber mal anschauen, daß die Umsetzung der DSGVO in allen EU-Staaten bis zum 25.05.2018 erfolgt sein muß und auch die Registries, Registrare etc. den gesamten Datenverkehr demnach nur nach den neuen Rechten verarbeiten dürfen, so sehen wir schon heute, daß diese Umsetzung wohl nicht pünktlich erfolgen kann oder man sich als Betrieb etwas einfallen lassen muß, dies so zu definieren, daß es erst mal “passt”!

Welche Fallen auf Webseiten-Betreiber noch zukommen werden, werden wir in den nächsten Blog-Artikeln schreiben! Für eines der wichtigsten Bestandteile eines unserer eingesetzten Produkte, haben wir bereits beim Hersteller Änderungen herbei geführt!

Schreibt doch heute die CT über die Aussage der EU-Kommissarin V?ra Jourová, daß sie die “Panik verringern will”! Allerdings wurde keine Aussage dazu getroffen, wie sie das im letzten moment anstellen will! Es ist aber auch klar, daß manche Abmahnvereine sich schon auf den 25.05.2018 freuen und daher sind solche nichts aussagenden Äußerungen wohl eher fehl am Platz, insbesondere wenn heute am gleichen Tag von Google die Aussage gefallen ist, daß bei Google 500 Mann-Jahre in die Vorbereitung zur neuen DSGVO eingesetzt wurden!

Lassen wir den Tag heute ausklingen mit der offenen Frage, wie viel Mann-Jahre ein kleineres Unternehmen nun benötigt, um wirklich nach der DSGVO konform zu arbeiten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.