Bei der Internet Corporation for Assigned Names and Numbers (ICANN) handelt es sich um eine gemeinnützige Organisation, die zur Sicherstellung der stabilen und sicheren Funktionsweise eines eindeutigen Identifikationssystems im Internet die Vergabe von einmaligen Namen und Adressen im Internet koordiniert, wozu die Koordination des Domain-Name-Systems gehört. Unter dem sog. WHOIS-Service werden die bei Registrierung von Domains verarbeiteten Daten zu Identifizierungszwecken veröffentlicht. Das war in der Vergangenheit für viele Nutzer ein sehr hilfreicher Service.
Wegen der DSGVO kündigte die EPAG Domainservices GmbH (EPAG) gegenüber der ICANN an, bei der Vergabe von Domains nur noch die Daten des Domaininhabers zu erheben, nicht aber mehr die Daten zu einem technischen und administrativen Kontakts (sog. Tech-C und Admin-C).
Die ICANN beantragte deshalb gegen die EPAG am 25.05.2018 den Erlass einer einstweiligen Verfügung. Die EPAG ist sog. akkreditierter Registrar der ICANN und damit vertraglich befugt, Second Level Domains zu vergeben.
Mit der begehrten einstweiligen Verfügung sollte der EPAG nun gerichtlich untersagt werden, dass EPAG bei von ihr vorgenommenen Vergaben von Internetdomains auf die (zusätzliche) Erhebung von Daten eines Tech-C und Admin-C verzichtet.
Diesen Antrag wies die 10. Zivilkammer des Landgerichts (LG) Bonn am 29.05.2018 mittels Beschlusses zu dem Aktenzeichen 10 O 171/18 unter anderem mit nachfolgender bemerkenswerter Begründung aber nun zurück, was einer der ersten Entscheidungen nach Anwendungszeitpunkt der DSGVO darstellt:
„Gemessen an der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten – unstreitig handelt es sich jedenfalls teilweise um solche – nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (lit. c), ist ein hinreichendes Bedürfnis im vorgenannten Sinne nach Auffassung der Kammer – auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.
Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all jene Funktionen auf sich vereinigen kann.
Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können.“
Und weiter:
„Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende – von ihm verschiedene – Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die Antragstellerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) – gezwungen aber war er hierzu auch bereits zuvor nicht.
Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angeben haben, zutreffen."
Das entscheidende Argument folgt am Schluss:
„Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS“-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS“ Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.“
Soweit keine Rechtsgrundlage für die WHOIS-Datenbank geschaffen wird, ist die Entscheidung des LG Bonn vor dem Hintergrund der DSGVO gut vertretbar und kann auf jede Domainregistrierung übertragen werden. Ohne Rechtsgrundlage nach Artikel 6 DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten. Die Entscheidung des LG Bonn ist jedoch nicht rechtskräftig zum Zeitpunkt dieses Berichts.