12.06.2018

DNS: Switch, DNS und die DSGVO

Die EU-Datenschutzgrundverordnung (DSGVO oder auch GDPR, je nach Nationalität) ist jetzt seit wenigen Wochen endgültig in Kraft getreten. Bisher scheinen keine Schwärme von Abmahnanwälten unterwegs zu sein, und auch höchstrichterlich gibt es noch keine Präzedenzfälle. Erst recht ist das Internet in Europa nicht zusammengebrochen. War die ganze Sorge und Aufregung nur ein Sturm im Wasserglas? Mitnichten, denn im DNS-System hat sich Erstaunliches getan – wenngleich auch vorrangig im Nachbarland Deutschland.

Von: Lars Behrens  DruckenTeilen Kommentieren 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Fallstricke jenseits von DSGVO beziehungsweise Schweizer DSG

In diesem Beitrag möchten wir Sie gerne auf einige Fallstricke jenseits von DSGVO beziehungsweise Schweizer DSG hinweisen, die Ihnen im Betreib Ihrer Webseite drohen könnten - und die den meisten gar nicht bewusst sind. Vielleicht hilft dieser Beitrag ja ein wenig, Sie für mögliche Gefahren zu sensibilisieren, die ausnahmsweise nicht oder nur sehr bedingt technischer Natur sind.

Denic: Keine Auskunft über den Inhaber einer bestimmten Domain

Der Schutz personenbezogener Daten ist grundsätzlich ja eine schöne Sache. Aber haben die Betreiber der nationalen Registrierungen sich quasi ins Knie geschossen? So gibt die Abfrage eines Domainnamens unter: https://www.nic.ch/de/whois/?domain=weka&language=de&tld=ch noch immer den Halter der Domain aus. Beim bundesdeutschen Pendant, der Denic heisst es bei der Frage danach, wer der Halter der Domain Weka.de ist, inzwischen aber:

«Wenn Sie Inhaber der Domain sind und Ihre bei DENIC hinterlegten Daten für die Domain abfragen möchten, geben Sie bitte hier Ihre Postleitzahl oder E-Mail-Adresse ein (...) Stimmt Ihre Eingabe mit den bei DENIC hinterlegten Daten überein, erhalten Sie einen Link an die bei DENIC registrierte E-Mail-Adresse. Über diesen Link können Sie die Daten zeitlich begrenzt einsehen". Aber "wenn Sie nicht der Inhaber der Domain sind, erhalten Sie nur unter bestimmten Voraussetzungen Auskunft über den Domaininhaber.» In den näheren Informationen dazu heisst es dann, dass eine Auskunft über den Inhaber einer bestimmten Domain nur noch unter bestimmten Voraussetzungen erteilt wird:

  • Für Namens- und Kennzeichenrechte, also bei einem etwaigen Streit um Markenrechte oder ähnlichem;
  • bei einer zivilrechtlichen Pfändung
  • hoheitliche Aufgaben einer Behörde (Strafverfolgung, Gefahrenabwehr, Pfändungsverfügung usw).

So oder so ist das Vorgehen mühsam: Es muss unter Verwendung eines dafür von der DENIC bereitgestellten Formulars Auskunft über den Inhaber einer Domain beantragt werden. Fazit:

«In allen übrigen Fällen erteilt DENIC grundsätzlich keine Auskunft» (Quelle: https://www.denic.de/service/whois-service/anfragen-dritter-zu-inhaberdaten/).

Sie meinen, das tangiert Sie nicht? Nun, neben einer reinen Befriedigung der menschlichen Schwächen Neugier und Spieltrieb kann es für den Einzelnen durchaus berechtigte Gründe geben, den Halter einer Domain schnell und unkompliziert herauszufinden:

  • Sie wollen mit einem neuen Markennamen an den Start gehen und sehen, dass «revesco» bereits vergeben ist. Im Beispiel soll Ihr neu eröffnetes italienisches Restaurant so heissen, deshalb möchten Sie gerne klären, ob die bereits vergebene Domain Revesco.de einem Mitbewerber gehört oder ob ein ganz anderes Geschäftsfeld damit beworben wird;
  • Ihre Webseite ist nicht mehr erreichbar, weil Sie sich mit dem Hostingpartner überworfen haben. Sie wollen die Seite gerne per Domainwechsel zu einem anderen Hoster umziehen, aber der benötigt dafür einen AUTH-Code. Da die alte Webseite abgeschaltet ist und Sie es mit den Dienstleistungsverträgen beim vorherigen Hoster nicht so genau genommen haben, können Sie weder im Impressum nachsehen noch bei der Denic anfragen, wem die Domain denn nun gehört.

Wem gehört eine Domain ?

Diese Beispiele sind übrigens keineswegs an den Haaren herbeigezogen, sondern entstammen tatsächlichen Fällen aus der Praxis des Autors! Der Unterzeichnende hat es bereits miterleben müssen, dass ein Unternehmen sich im Streit von einem Geschäftsführer getrennt hat und auf dem gerichtlichen Wege die Herausgabe der Rechte an der Domain zurückgefordert werden musste - diese hatte der ausgeschiedene Geschäftsführer zuvor nämlich auf sich überschrieben. Einer der besagten Kunden musste sowohl den Zugriff auf den Domainnamen als auch auf die Inhalte der Webseite beim Provider erstreiten. Kleine Kostprobe gefällig?

«In der Anlage übersende ich Ihnen den Schriftverkehr unseres Unternehmens XXX mit Ihrem Kunden NNN. Dieser hat in den letzten Jahren unsere Webseite bei Ihnen gehostet. Nun hat er die Seite aus dem Netz genommen und verlangt von uns finanzielle Leistungen zur Wiederherstellung der Seite. Er droht mit der Löschung sämtlicher Daten, falls wir nicht auf seine Forderungen eingehen. Die Herausnahme der Seite aus dem Netz hat bereits jetzt erhebliche Nachteile für unseren Betrieb, da sämtliche Kommunikationswege abgeschnitten sind und die Arbeit unserer Geschäftsstelle massiv verhindert wird» (zit. im Original, Namen anonymisiert).

Und natürlich hatte der Kunde kein eigenes Backup der Webseite ... Natürlich ist die Verschleierung der Daten des Domainhalters durch die Denic kein grundsätzliches Hindernis, wenn berechtigte Interessen vorliegen - aber es macht die ganze Sache doch unkommod. Und so ganz mag es auch nicht einleuchten, weshalb durch die Bekanntgabe des Namens und der Anschrift eines Domaininhabers die Persönlichkeitsrechte verletzt sein könnten - der Betreiber muss diese bei einer aktiven Webseite ja ohnehin im Impressum veröffentlichen.

Webseite vorübergehend abschalten

Apropos: wie verhält es sich eigentlich, wenn Sie Ihre Webseite vorübergehend abschalten und nur durch eine Vorschaltseite mit entsprechender Meldung («Baustellenschild», «vorübergehend nicht erreichbar» o.ä.) im Internet präsentieren? Nun, gemäss aktueller Rechtssprechung im EU-Raum einschliesslich der Schweiz stellt ein solches Vorgehen eine besondere Situation dar, bei der es weder ein Impressum noch eine Datenschutzerklärung geben muss. Auch dies erscheint wieder sonderbar. Denn die inzwischen eher penetrant wirkenden Hinweise darauf, dass alleine durch den Aufruf einer Webseite Daten über den Besucher erfasst und zumindest temporär gesammelt werden (wenngleich auch anonymisiert und lediglich zum Zwecke der Nachverfolgbarkeit in Serverlogs), müssten eigentlich auch bei einer Seite ohne betreiberbezogenen Inhalt erscheinen. Wie Sie sehen, wirkt das ganze DSGVO-Konstrukt an vielen Stellen noch wenig durchdacht und vor allem mit wenig Praxisbezug.

Kommen wir zurück zur sich in den Schwanz beissenden Katze, die auf die Namen «WHOIS» und «DSGVO» hört. Die ICANN, die «Internet Corporation for Assigned Names and Numbers» verlangt einerseits nämlich von den Registries, dass diese die Daten der Domain-Namen-Halter erfassen und im sogenannten WHOIS veröffentlichen. «Registries» oder Registrare sind die jeweiligen Registrierungsstellen wie Switch, Denic usw., die diese Aufgabe wiederum in der Regel an untergeordnete Registrare wie NIC, Goneo, Informaniak und so fort delegieren. Wenn Sie eine Domain wie raclettepfaennli.ch beim Registrar Ihrer Wahl anmelden, erfasst dieser von Ihnen Ihren persönlichen oder den Namen Ihres Unternehmens, bei letzterem dessen Rechtsform, einen technischen Ansprechpartner und so weiter. Die DSGVO verbietet jedoch «unter dem Grundsatz der Datenminimierung eine übermässige Sammlung von Personendaten und generell die Bearbeitung von Personendaten ohne Rechtfertigungsgrund. Die meisten WHOIS-Datenbanken sind in ihrer heutigen Form somit nicht DSGVO-konform» (Quelle: switch.ch).

Datenbearbeitung durch SWITCH

Der Rechtfertigungsgrund für die Datenbearbeitung durch SWITCH als Registerbetreiberin der .ch Domain-Namen ist in der Verordnung über Internet-Domains (VID) vom 5. November 2014 (SR 784.104.2) gegeben. Diese verpflichtet SWITCH nämlich zur Publikation diverser Angaben in der WHOIS-Datenbank, u.a. der Bezeichnung des zugeteilten Domain-Namens, dem Namen und der Postadresse des Halters des Domain-Namens und einigen weiteren Daten. Ob SWITCH sich durch den Verweis auf Artikel 3, Absatz der DSGVO aus der Affäre ziehen kann, wird womöglich die Zukunft zeigen. Zusammenfassend halten wir fest, dass SWITCH und die Registrare derzeit einen Rechtfertigungsgrund sehen, folgende Daten von Domaininhabern zu erfassen und zu veröffentlichen:

  • den Namen und die Postadresse des Halters,
  • den Namen und die Adresse der technisch verantwortlichen Person
  • den vollständigen Namen des zuständigen Registrars sowie
  • die E-Mail-Adresse des Halters.

Und wie wir oben aufgezeigt haben, erscheint das auch durchaus sinnvoll, unter Umständen hilfreich - und vor allem pragmatisch. Wenn Sie derzeit nach deutschen Domains "fahnden" - da haben Sie keine Chance, dem vielleicht etwas zu sehr vorauseilenden Gehorsam der obersten deutschen Registrierungsstelle Denic sei Dank. Denkbar ist aber, dass das Ganze sich in naher oder ferner Zukunft ändern wird. Nach der DSGVO ist vor der DSGVO!

Dass es neben diesen eher juristischen und formalen Aspekten zum Thema DNS, Domainregistrierung und Datenschutz auch handfeste IT-technische Gründe gibt, sich (s)ein DNS einmal näher anzusehen, steht ausser Frage. Zugleich ist auch dieses Thema eher etwas unterschätzt. Der potentiellen Angriffswege mittels des DNS-Systems sind aber viele - und Sie als IT-Verantwortlicher, Administrator oder sonst wie Betroffener sollten diese kennen. Deswegen möchten wir an dieser Stelle Werbung machen für die bevorstehende Aktualisierung unseres PortalsInformatikPraxis, in dem wir Ihnen einige gängige Methoden der Hacker vorstellen - natürlich nicht, ohne Ihnen zu zeigen, wie Sie sich dagegen schützen können.

Produkt-Empfehlungen

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    CHF 98.00

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 11. Dezember 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 22. November 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 29. August 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos