LG Bonn: Alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain verstößt gegen DSGVO
LG Bonn
Beschluss vom 29.05.2018
10 O 171/18
Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.
Aus den Entscheidungsgründen:
Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.
Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.
Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.
Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.
Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.
Beschluss vom 29.05.2018
10 O 171/18
Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.
Aus den Entscheidungsgründen:
Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.
Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.
Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.
Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.
Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.