Neue EU-Richtlinie zur IT-Sicherheit „NIS2“ verbietet die anonyme Registrierung von Domains.

Inhaber von Internetdomains sind in Zukunft verpflichtet, bei der Registrierung einer Domain ihre vollständigen Adressdaten inklusive Telefonnummern anzugeben. Dazu beschloss das Europaparlament am gestrigen 10. November 2022 in Straßburg mit großer Mehrheit die überarbeitete Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS).

Die neuen Vorgaben zur Domainregistrierung finden sich in Artikel 28 der Richtlinie (NIS in Word) . Darin liest man: „Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domänennamensystems zu leisten, verpflichten sich die Mitgliedstaaten, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.“

Diese Informationen müssen dem Dokument zufolge „den Domänennamen, das Datum der Registrierung, den Namen des Domäneninhabers,  seine Email-Adresse und Telefonnummer, die Kontakt-Email-Adresse und die Telefonnummer der Anlaufstelle, die den Domänennamen verwaltet,  falls diese sich von denen des Domäneninhabers unterscheiden“ enthalten.

Die Piratenpartei übt Kritik

Der Europaabgeordnete und Datenschutzexperte Patrick Breyer kritisierte diesen Beschluss. „Wenn die Betreiber von Leakseiten wie Wikileaks künftig namentlich verzeichnet würden, riskieren sie wie Julian Assange lange Haftstrafen für die Veröffentlichung von Kriegsverbrechen der USA. Auch das katalonische Unabhängigkeitsreferendum musste über anonym registrierte Webseiten organisiert werden, weil in Spanien Inhaftierung drohte“, erläuterte der Piratenpolitiker.

Diese staatliche Identifizierungspflicht sei auch weltweit einzigartig und breche mit internationalen Prinzipien der Internet Governance. „Sie wird von Staaten wie Russland, Iran und China dankend übernommen werden und schlimme Folgen für mutige Menschenrechts- und Demokratieaktivisten haben“, ergänzte Breyer. Die Piraten unterstützten demnach „vollauf die Teile der Richtlinie, die endlich die Netzwerksicherheit erhöhen werden“ – aber eine Ausweispflicht für Domaininhaber habe nichts mehr mit Netzwerksicherheit zu tun.

Auch die deutsche Registrierungsstelle DENIC selbst hält die neue Pflicht nicht für die Sicherheit, Stabilität und Resilienz des DNS erforderlich. So liefere die Identifikation derjenigen Person, die eine Domain registriere, keinerlei Informationen über die Stelle, welche die tatsächliche technische Kontrolle über den Namensraum ausübe und noch weniger über die Einrichtungen, welche Inhalte oder Dienste innerhalb dieses Namensraums bereitstellten, wird in einer Stellungnahme ergänzt. Allerdings ist es in Deutschland ohnehin üblich, als Domaininhaber bei der Registrierungsstelle bzw dem Provider vollständige Angaben machen zu müssen.

Nach dem Beschluss des Europaparlaments müssen die Mitgliedstaaten der Richtlinie noch zustimmen – das gilt aber als Formalie. Nach der Veröffentlichung der Richtlinie im Amtsblatt der EU haben die Mitgliedstaaten dann noch 21 Monate Zeit, sie umzusetzen, was vermutlich Ende 2024 der Fall sein dürfte.

Bild: Pixabay