Einordnung zum heutigen Stand
Der Beschluss des LG Bonn markiert einen frühen Konflikt zwischen Domainregistrierung, WHOIS und DSGVO. Für die vertiefte Einordnung von Registrierungslogik, Inhaberdaten und Streitlagen rund um Domains ist die Fachseite zum Domainrecht die naheliegende Vertiefung; die datenschutzrechtliche Grundfrage nach Zweckbindung, Erforderlichkeit und Rechtsgrundlage gehört in dieselbe Fallkonstellation.
Schneller Einstieg
- Im Ausgangsfall ging es um die Frage, ob bei neuen Domainregistrierungen zusätzlich personenbezogene Daten für Tech-C und Admin-C zwingend erhoben werden müssen.
- Das LG Bonn verneinte im Eilverfahren die von ICANN behauptete Notwendigkeit und stellte die Grundsätze der Zweckbindung und Datenminimierung deutlich in den Vordergrund.
- Der historische Kern des Beitrags bleibt relevant, auch wenn sich die technische und regulatorische Umgebung von WHOIS seit 2018 deutlich weiterentwickelt hat.
Stand April 2026
Der damalige Eilrechtsstreit blieb nicht bei der ersten Bonner Entscheidung. Auch das OLG Köln lehnte den Erlass der von ICANN begehrten einstweiligen Verfügung später ab. Für die historische Einordnung des Altbeitrags ist außerdem wichtig, dass der Europäische Datenschutzausschuss 2018 gegenüber ICANN auf Zweckbindung, verhältnismäßige Datenerhebung und abgestufte Zugangsmodelle hingewiesen hat, nicht auf eine schrankenlose Rückkehr zum alten WHOIS-Modell.
Seitdem hat sich der Rahmen technisch und regulatorisch weiterentwickelt. ICANN veröffentlichte 2024 die Registration Data Policy; für generische Top-Level-Domains ist seit dem 28.01.2025 RDAP der maßgebliche Auskunftsweg anstelle des alten WHOIS-Protokolls. Der Kern des hier besprochenen Beschlusses bleibt dennoch tragfähig: Zusätzliche personenbezogene Registrierungsdaten brauchen einen klaren Zweck und eine belastbare Rechtsgrundlage.
WHOIS-Datenbank und die Domainregistrierung
Bei der Internet Corporation for Assigned Names and Numbers (ICANN) handelt es sich um eine gemeinnützige Organisation, die zur Sicherstellung der stabilen und sicheren Funktionsweise eines eindeutigen Identifikationssystems im Internet die Vergabe von einmaligen Namen und Adressen im Internet koordiniert, wozu die Koordination des Domain-Name-Systems gehört. Unter dem sog. WHOIS-Service werden die bei Registrierung von Domains verarbeiteten Daten zu Identifizierungszwecken veröffentlicht. Das war in der Vergangenheit für viele Nutzer ein sehr hilfreicher Service.
Wegen der DSGVO kündigte die EPAG Domainservices GmbH (EPAG) gegenüber der ICANN an, bei der Vergabe von Domains nur noch die Daten des Domaininhabers zu erheben, nicht aber mehr die Daten zu einem technischen und administrativen Kontakts (sog. Tech-C und Admin-C).
Die ICANN beantragte deshalb gegen die EPAG am 25.05.2018 den Erlass einer einstweiligen Verfügung. Die EPAG ist sog. akkreditierter Registrar der ICANN und damit vertraglich befugt, Second Level Domains zu vergeben.
Mit der begehrten einstweiligen Verfügung sollte der EPAG nun gerichtlich untersagt werden, dass EPAG bei von ihr vorgenommenen Vergaben von Internetdomains auf die (zusätzliche) Erhebung von Daten eines Tech-C und Admin-C verzichtet.
Diesen Antrag wies die 10. Zivilkammer des Landgerichts (LG) Bonn am 29.05.2018 mittels Beschlusses zu dem Aktenzeichen 10 O 171/18 unter anderem mit nachfolgender bemerkenswerter Begründung aber nun zurück, was einer der ersten Entscheidungen nach Anwendungszeitpunkt der DSGVO darstellt:
„Gemessen an der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten – unstreitig handelt es sich jedenfalls teilweise um solche – nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (lit. c), ist ein hinreichendes Bedürfnis im vorgenannten Sinne nach Auffassung der Kammer – auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.
Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all jene Funktionen auf sich vereinigen kann.
Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können.“
Und weiter:
„Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende – von ihm verschiedene – Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die Antragstellerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) – gezwungen aber war er hierzu auch bereits zuvor nicht.
Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angeben haben, zutreffen."
Das entscheidende Argument folgt am Schluss:
„Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS“-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS“ Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.“
Soweit keine Rechtsgrundlage für die WHOIS-Datenbank geschaffen wird, ist die Entscheidung des LG Bonn vor dem Hintergrund der DSGVO gut vertretbar und kann auf jede Domainregistrierung übertragen werden. Ohne Rechtsgrundlage nach Artikel 6 DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten. Die Entscheidung des LG Bonn ist jedoch nicht rechtskräftig zum Zeitpunkt dieses Berichts.
Worauf es heute ankommt
Der Altbeitrag bleibt als frühe datenschutzrechtliche Grenzziehung bei Registrierungsdaten relevant. In der Praxis entscheidet heute nicht mehr nur die frühere WHOIS-Oberfläche, sondern die saubere Zuordnung von Datenkategorien, Zugriffsrechten, Offenlegungswegen und Rechtsgrundlagen. Für die vertiefte Einordnung von Registrarfragen, Domainkonflikten und Zugriffssicherung ist die Fachseite zum Domainrecht die passende Vertiefung. Im größeren Zusammenhang digitaler Kennzeichen- und Konfliktlagen gehört das Thema zugleich in den Bereich des gewerblichen Rechtsschutzes.
| Ebene | Knappe Einordnung heute |
|---|---|
| Zusätzliche Kontaktpersonen | Die Erhebung personenbezogener Daten für weitere Kontaktrollen ist nicht selbstverständlich; Zweck, Erforderlichkeit und Rechtsgrundlage müssen belastbar begründet werden. |
| Öffentliche Verfügbarkeit | Eine umfassende öffentliche Volloffenlegung von Registrierungsdaten ist nicht mehr die naheliegende Ausgangsannahme; Auskunft und Zugriff sind heute differenzierter organisiert. |
| Domainstreit und Datenschutz | Domainrechtliche, kennzeichenrechtliche und datenschutzrechtliche Fragen laufen häufig parallel, bleiben aber sauber getrennt zu prüfen. |
| Historische Relevanz des Beschlusses | Der Bonner Beschluss ist vor allem als frühe Anwendung von Zweckbindung und Datenminimierung auf Registrierungsdaten bedeutsam. |
Offizielle Quellen und weiterführende Hinweise
- LG Bonn, Beschluss vom 29.05.2018, 10 O 171/18
Ausgangsentscheidung zum Eilverfahren gegen EPAG. - OLG Köln, Beschluss vom 01.08.2018, 19 W 32/18
Zur Zurückweisung der Beschwerde im einstweiligen Verfügungsverfahren. - EDPB Letter to ICANN vom 05.07.2018
Zur datenschutzrechtlichen Einordnung von WHOIS, Zweckbindung, Datenerhebung und Zugriffsmodellen. - ICANN: Registration Data Policy
Zur Veröffentlichung der Policy im Februar 2024 und zum Inkrafttreten am 21.08.2025. - ICANN: Launching RDAP; Sunsetting WHOIS
Zur Umstellung für gTLD-Registrierungsdaten mit Wirkung zum 28.01.2025.
Zuständige Rechtsanwälte bei ITMR
Die Einordnung liegt an der Schnittstelle von Domainrecht, digitaler Konfliktführung und Datenschutz. Fachlich naheliegend sind insbesondere diese Ansprechpartner bei ITMR:
Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht; bei ITMR insbesondere naheliegend für Domainrecht und datenschutznahe Digitalkonflikte.
Rechtsanwältin mit fachlicher Nähe zu Domainrecht, gewerblichem Rechtsschutz und IT-rechtlichen Konfliktlagen.