6. April 2021

Hacker mit einer Kapuze und blauer Binärcode-Matrix

Serie "Online Enforcement" (Nr. 7)

Das Schweizer Recht wurde kürzlich in zwei Punkten revidiert. Beide Änderungen beschlagen den Datenschutz und haben unmittelbare Auswirkungen auf die Verfolgung von Rechtsverletzungen online.

Einerseits dürfen IP-Adressen seit dem 1. April 2020 zur Pirateriebekämpfung (wieder) bearbeitet werden – andererseits werden seit dem 1. Januar 2021 hinsichtlich .ch-Domainnamen keine Personendaten mehr im WHOIS publiziert. Dieser Artikel befasst sich mit der zweiten Änderung. Die Kommentierung der ersten Änderung erfolgte in Teil 1.


Teil 2: Keine Personendaten mehr im WHOIS – erschwerte Identifikation von Verletzern

War die WHOIS-Abfrage in der Schweiz noch bis vor kurzem ein effizientes Hilfsmittel im Kampf gegen Rechtsverletzungen online, ist die Identifikation von Rechtsverletzern heute erschwert.

Worum es geht

Um Rechtsverletzungen online verfolgen zu können, sind die Rechtsinhaber darauf angewiesen, an die Identität (sprich: Personendaten) der verantwortlichen Personen zu gelangen. Erfolgt die Rechtsverletzung über einen .ch-Domainnamen, so konnte bis vor kurzem jedermann die Identität des jeweiligen Halters anonym und ohne grossen Aufwand bei der für die Verwaltung dieser Domainnamen zuständigen Registry SWITCH online abfragen (WHOIS-Abfrage). Vgl. in diesem Zusammenhang auch Beitrag Nr. 1 unserer Serie "Online Enforcement", "Die Rolle des WHOIS-Verzeichnisses".

Seit dem 1. Januar 2021 werden im WHOIS für .ch- (und auch für .li-)Domainnamen nun jedoch keine Personendaten mehr publiziert. An die Identität von Domainnamen-Haltern gelangt man heute nur noch, indem man sich gegenüber der SWITCH ausweist (also seinerseits Personendaten offenlegt) und einen spezifischen Interessennachweis erbringt.

Die neue gesetzliche Grundlage

Die Publikation der Daten in der Registration Data Directory Service (RDDS)-Datenbank (WHOIS) betreffend .ch-Domainnamen richtet sich nach Art. 46 der Verordnung über Internet-Domains (VID).

War unter altem Recht noch vorgesehen, dass Name und Adresse des Domainnamen-Halters und der technisch verantwortlichen Person abrufbar sein müssen, werden gemäss revidiertem Recht grundsätzlich keine Personendaten mehr publiziert. Die SWITCH kann die Personendaten des Halters nur publizieren, falls dieser zustimmt. Darüber hinaus kann sie auch die Identifizierungsangaben und Kontaktdaten der Halterin publizieren, wenn die Halterin eine juristische Person ist. Der bisherige und der neue Art. 46 VID lassen sich wie folgt gegenüberstellen (Hervorhebungen hinzugefügt):

Tabelle mit einer Gegenüberstellung von Art. 46 VID bisher und neu

Datenschutz als vorgeschobener Grund

In seinem erläuternden Bericht vom 26. Oktober 2020 zur Revision der VID (nachfolgend "Erläuternder Bericht BAKOM 2020"; S. 54) begründet das Bundesamt für Kommunikation (BAKOM) die Nicht-Publikation der erwähnten Personendaten im WHOIS mit dem Datenschutz: Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) hätten sich die Vorstellungen und Erwartungen hinsichtlich des WHOIS "eindeutig in Richtung eines grundsätzlichen Verbots der Veröffentlichung jeglicher persönlicher Daten von Domainnamen-Halter entwickelt".

Dies überzeugt aus zwei Gründen nicht:

Erstens unterscheidet sich das Schweizer Datenschutzrecht vom europäischen Datenschutzrecht konzeptionell grundlegend: Gemäss DSGVO dürfen Personendaten nur bearbeitet werden, wenn dafür eine (Rechts-)grundlage (wie z.B. Einwilligung, Notwendigkeit für die Vertragserfüllung oder überwiegende private Interessen) besteht (sog. "Verbotsregelung"). Demgegenüber ist ein Rechtfertigungsgrund nach Schweizer Datenschutzrecht (auch unter dem 2022 in Kraft tretenden neuen Recht) nur erforderlich, wenn entweder die Bearbeitungsgrundsätze nicht eingehalten werden, die betroffene Person der Bearbeitung widersprochen hat oder einem Dritten besonders schützenswerte Personendaten mitgeteilt werden sollen. Der revidierte Art. 46 VID lässt diesen konzeptionellen Unterschied ausser Acht.

Bemerkenswert ist auch, dass das BAKOM im erläuternden Bericht vom 13. Februar 2014 zur (in 2015 in Kraft getretenen) VID (nachfolgend "Erläuternder Bericht BAKOM 2014"; S. 20) das öffentliche Interesse an Publizität noch höher gewichtete als das Interesse der Domainnamen-Halter an der Geheimhaltung ihrer Personendaten: "Eine Inhaberin oder ein Inhaber eines Domain-Namens kann sich der Veröffentlichung seiner Daten nicht widersetzen. Das öffentliche Interesse an Öffentlichkeit – Schutz der Rechte von Dritten und der Konsumenten, Notwendigkeit von Transparenz im Medium Internet, Gewährleistung der Wirksamkeit des Rechts und technische Stabilität des Internets – überwiegt vorliegend das Interesse an der Geheimhaltung der veröffentlichten Personendaten." Weshalb die Interessenabwägung heute anders ausfallen soll, ist nicht nachvollziehbar.

Zweitens haben die meisten Website-Betreiber unter Schweizer Recht nach Art. 3 Abs. 1 lit. s Ziff. 1 des Bundesgesetzes gegen unlauteren Wettbewerbs (UWG) in einem Impressum ihre Identität und Adresse offenzulegen. Und selbst wer nicht der Impressumspflicht unterliegt, hat im Rahmen der Datenschutzerklärung seine Identität offenzulegen.

Der Datenschutz erscheint insofern als vorgeschoben für die Begründung der erfolgten Revision. Naheliegender scheint, dass sich das BAKOM dem Druck der Internet Corporation for Assigned Names and Numbers (ICANN) gebeugt hat, ohne Widerstand zu leisten. Die ICANN hatte im Zuge einer Reform des RDDS-Dienstes (WHOIS) für generische Internet-Domains (gTLDs, wie z.B. .com-, .net- und .org-Domainnamen) beschlossen, künftig auf die Publikation von Personendaten im WHOIS zu verzichten.

Das Auskunftsgesuch an die SWITCH

Will jemand herausfinden, wem ein .ch-Domainname gehört, hat er bzw. sie nunmehr bei der SWITCH ein schriftliches Auskunftsgesuch zu stellen. Die SWITCH stellt dafür ein Online-Formular zur Verfügung (für Behörden besteht ein separates Online-Formular "Auskunftsgesuch Behörden"). Dabei braucht es nicht nur einen Identitätsnachweis (also die Offenlegung von Personendaten), sondern auch einen Interessennachweis. Die SWITCH legt die Personendaten des Halters bzw. der Halterin nur offen, wenn die Gesuchstellerin "ein überwiegendes legitimes Interesse" an den angefragten Daten glaubhaft macht.

Sie prüft im Einzelfall, ob ihrer Ansicht nach ein solches überwiegendes legitimes Interesse vorliegt. Als Beispiele von legitimen Interessen nennt die SWITCH (vgl. auch Erläuternder Bericht BAKOM 2020, S. 55):

  • die Überprüfung des aktuellen Domainnamen-Eintrags durch den Halter oder technischen Kontakts des betreffenden Domainnamens (Selbstauskunft);
  • die (mutmassliche) Verletzung von Kennzeichenrechten;
  • die (mutmassliche) Verletzung von Urheber- oder Persönlichkeitsrechten;
  • die Notwendigkeit der Daten für die Erfüllung gesetzlicher Aufgaben durch eine Behörde (Behördenauskunft).

Nicht genügen soll hingegen gemäss SWITCH "[d]er Wunsch, einen Domain-Namen zu kaufen oder den Betreiber der Website zu kontaktieren".
Die Anspruchsgrundlage, die dazugehörigen Belege wie auch der Identitätsnachweis (amtlicher Ausweis bzw. Handelsregisterauszug) sind hochzuladen und an die SWITCH zu übermitteln.

Die Kosten

Für den Zugang zu den Personendaten kann die SWITCH nach Art. 52 Abs. 4 VID grundsätzlich eine Vergütung "nach den Regeln und Gebühren, die auf internationaler Ebene angewendet werden", verlangen. Gemäss Erläuterndem Bericht BAKOM 2020 soll der Zugang jedoch kostenlos sein, und die Einrichtungs- und Betriebskosten mittels einer leichten Erhöhung des Grosshandelspreises gedeckt werden, den die SWITCH ab dem 1. Januar 2021 für jede Registrierung oder Erneuerung eines .ch-Domainnamens in Rechnung stellt. Die Kosten werden letztlich also auf die einzelnen Domainnamen-Halter abgewälzt.

Andererseits werden jene, die die SWITCH um Auskunft ersuchen, ihre Kosten im Zusammenhang mit dem Auskunftsgesuch selber zu tragen haben.

Zumindest in der Übergangsphase ist schliesslich auch mit einer Zunahme von direkten Anfragen an Registrare (d.h. Registrierungsstellen) von .ch-Domainnamen (mit damit verbundenem Aufwand für sie) zu rechnen. Deren Kontaktangaben bleiben im WHOIS ersichtlich. Die Registrare sind jedoch weder für allfällige über die Domainnamen ihrer Kunden erfolgende Rechtsverletzungen verantwortlich, noch die richtige Anlaufstelle für die Herausgabe von Personendaten. Sie sind gut beraten, Dritte für konkrete Auskünfte an die SWITCH zu verweisen oder aber (sofern die Anfrage des Dritten über die blosse Identitätsabfrage hinausgeht) gemäss Code of Conduct Domainnamen (CCD) des Schweizer ICT-Branchenverbands Swico zu verfahren. Vgl. in diesem Zusammenhang auch Beitrag Nr. 2 unserer Serie "Online Enforcement", "Die Rolle der Hosting-Anbieter".

Cyberkriminelle als Profiteure

Die Nicht-Publikation von Personendaten hilft primär Cyberkriminellen, die ihre Identität verschleiern wollen und sich auch um andere einschlägige Bestimmungen wie die Impressumspflicht und datenschutzrechtliche Informationspflichten foutieren.

Gewiss: Wer als Halter eines .ch-Domainnamens seine Identität verschleiern wollte, konnte dies bereits unter bisherigem Recht – etwa durch die Nutzung eines "WHOIS Privacy"-Dienstes, oder durch die Hinterlegung falscher Angaben im WHOIS. Mit dem neuen Recht wird diese Verschleierung indes nochmals einfacher – so ist etwa damit zu rechnen, dass viele falsche Angaben (weil nicht publiziert) zunächst mal unentdeckt bleiben.

Offene Fragen

Es wird sich weisen müssen, wie effizient die SWITCH das Verfahren für Auskunftsgesuche gestalten wird. Gerade bei Rechtsverletzungen online sind Rechtsinhaber im Hinblick auf mögliche superprovisorische Massnahmen (wie z.B. Sperrung eines bestimmten Domainnamens) darauf angewiesen, zeitnah an die verlangten Informationen zu gelangen. Andernfalls laufen sie Gefahr, ihre Rechte zu verwirken.

Weist die SWITCH im Einzelfall ein Auskunftsgesuch zurück, stellt sich weiter die Frage, ob die Begründung nachgebessert werden kann, und ob der Entscheid der SWITCH einer gerichtlichen Überprüfung zugeführt werden kann.

Jedenfalls führt das nun vorgesehene Auskunftsverfahren ohne Not zu einem administrativen Mehraufwand (und unnötiger Offenlegung von Personendaten) für all jene, die auf die entsprechenden Informationen angewiesen sind, wie namentlich Inhaber von IP-Rechten.

Weitere Informationen:

Unsere Serie "Online Enforcement" thematisiert Besonderheiten bei der Durchsetzung von Rechten im Internet.

Weitere Artikel aus der Serie:

Kategorien: Immaterialgüterrecht

You are currently offline. Some pages or content may fail to load.