Skip to content

LG Bonn: Alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain verstößt gegen DSGVO

LG Bonn
Beschluss vom 29.05.2018
10 O 171/18


Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.

Aus den Entscheidungsgründen:

Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.

Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.

Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.

Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.









BGH: Bereichungsrechtlicher Anspruch, wenn ein Dritter bei einer WHOIS-Abfrage bei der DENIC ohne materielle Berechtigung als Domaininhaber eingetragen ist

BGH
Urteil vom 18.01.2012
I ZR 187/10
gewinn.de
BGB § 823 Abs. 1 Ad, § 812 Abs. 1 Satz 1 Fall 2



Leitsätze des BGH:
a) Durch die Registrierung eines Domainnamens erwirbt der Inhaber kein absolutes Recht an dem Domainnamen und damit kein sonstiges Recht im Sinne von § 823 Abs. 1 BGB.

b) Derjenige, der bei einer sogenannten WHOIS-Abfrage bei der DENIC als Inhaber eines Domainnamens eingetragen ist, ohne gegenüber der DENIC materiell berechtigt zu sein, kann diese Stellung im Sinne von § 812 Abs. 1 Satz 1 Fall 2 BGB auf Kosten des Berechtigten erlangt haben.

BGH, Urteil vom 18. Januar 2012 - I ZR 187/10 - OLG Brandenburg - LG Potsdam

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Provider kann für unberechtigte KK-Anträge seiner Kunden auf Schadensersatz haften

OLG Frankfurt am Main
Urteil vom 27.05.2010
6 U 65/09
§ 823 Abs. 1 BGB
Providerhaftung KK-Antrag


Das OLG Frankfurt hat entschieden, dass ein Provider für unberechtigte KK-Anträge seiner Kunden, die zur Änderung des WHOIS-Eintrages bei der DENIC führen, auf Schadensersatz haften kann. Dabei haftet der Provider nicht nur als Störer sondern als Täter für die Rechtsverletzung.

Aus den Entscheidungsgründen:

"Die Beklagte kann sich nicht darauf berufen, sie habe lediglich den Auftrag eines namentlich nicht genannten Kunden ausgeführt und sei daher nicht dafür verantwortlich, dass die Domains des Klägers ohne dessen Kenntnis und Einwilligung seiner Verfügungsmacht entzogen wurden und vorübergehend die Beklagte als Provider dieser Domains fungierte. Der Einwand, sie, die Beklagte, habe darauf vertrauen dürfen, dass ihr Kunde gegenüber dem Kläger berechtigt war, die Inhaberschaft an den Domains zu ändern, könnte das Verschulden der Beklagten ausschließen, wenn es sich um einen „normalen“ Auftrag gehandelt hätte. Der Kläger hat jedoch unwidersprochen dargelegt, dass die Beklagte versucht hat, das WHOIS-Register bezüglich einer Vielzahl von Domains des Klägers mit jeweils einer Vielzahl von sogenannten KK-Anträgen zu verändern. Wegen der Einzelheiten wird auf die Anlage K 4 zur Klageschrift Bezug genommen. Wenn zugunsten der Beklagten unterstellt wird, dass ihr Vortrag zutrifft, ein Kunde habe all diese Anzeigen veranlasst, so hätte die Beklagte jedenfalls diese besonderen Umstände zum Anlass nehmen müssen, zu überprüfen, ob die von ihr an die DENIC weitergeleiteten Anträge in Kenntnis des Klägers und seines Geschäftspartners erfolgten.
[...]
Die Beklagte kann ihre fehlende Verantwortlichkeit auch nicht damit begründen, das Verfahren der Weiterleitung von KK-Anträgen laufe bei ihr automatisiert ab. Sie muss durch eine entsprechende Organisation ihres Betriebs im Rahmen des Zumutbaren dafür sorgen, dass jedenfalls in Fällen der vorliegenden Art die Verletzung von Rechten Dritter unterbleibt."


Den Volltext der Entscheidung finden Sie hier: