NIS2-Richtlinie: Domaininhaber müssen künftig Adressdaten hinterlegen

Inhaber von Internetdomains sind künftig verpflichtet, bei der Registrierung ihre vollständigen Adressdaten inklusive Telefonnummern anzugeben. Das Europaparlament beschloss dazu am 10. November 2022 in Straßburg mit großer Mehrheit die überarbeitete Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS).

Die neuen Vorgaben zur Domainregistrierung sind in Artikel 28 der Richtlinie enthalten (Word-Dokument). Darin heißt es: "Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domänennamensystems zu leisten, verpflichten sich die Mitgliedstaaten, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen."

Diese Informationen müssen demnach Folgendes umfassen: "den Domänennamen, das Datum der Registrierung, den Namen des Domäneninhabers, seine E-Mail-Adresse und Telefonnummer, die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domänennamen verwaltet, falls diese sich von denen des Domäneninhabers unterscheiden".

Kritik von Piratenpartei

Der Datenschutzexperte und Europaabgeordnete Patrick Breyer kritisierte den Beschluss. "Wenn die Betreiber von Leakseiten wie Wikileaks künftig namentlich verzeichnet würden, riskieren sie wie Julian Assange lange Haftstrafen für die Veröffentlichung von Kriegsverbrechen der USA. Auch das katalonische Unabhängigkeitsreferendum musste über anonym registrierte Webseiten organisiert werden, weil in Spanien Inhaftierung drohte", sagte der Piratenpolitiker.

Die staatliche Identifizierungspflicht sei weltweit einzigartig und breche mit internationalen Prinzipien der Internet Governance. "Sie wird von Staaten wie Russland, Iran und China dankend übernommen werden und schlimme Folgen für mutige Menschenrechts- und Demokratieaktivisten haben", sagte Breyer. Die Piraten unterstützten "vollauf die Teile der Richtlinie, die endlich die Netzwerksicherheit erhöhen werden". Aber eine Ausweispflicht für Domaininhaber habe nichts mit Netzwerksicherheit zu tun.

Auch die Denic selbst hält die Registrierungspflicht nicht für die Sicherheit, Stabilität und Resilienz des DNS erforderlich. So liefere die Identifikation derjenigen Person, die eine Domain registriere, keine Informationen über die Stelle, die die tatsächliche technische Kontrolle über den Namensraum ausübe und noch weniger über die Einrichtungen, die Inhalte oder Dienste innerhalb dieses Namensraums bereitstellten, hieß es in einer Stellungnahme.

Nach dem Beschluss des Europaparlaments müssen die Mitgliedstaaten noch der Richtlinie zustimmen, was als Formalie gilt. Nach der Veröffentlichung der Richtlinie im Amtsblatt der EU haben die Mitgliedstaaten 21 Monate Zeit, diese umzusetzen. Das dürfte damit gegen Ende 2024 der Fall sein.