Sprache ändern: Deutsch
Share:

Cybersicherheit: EU verbietet anonyme Websites

Europaparlament Freiheit, Demokratie und Transparenz Presseberichte

Die Abgeordneten des EU-Parlaments haben heute der Richtlinie zur Erhöhung der Cybersicherheit („NIS 2“) mit großer Mehrheit zugestimmt. Danach soll die Registrierung von Internetdomainnamen künftig die korrekte Identifizierung des Inhabers in der Whois-Datenbank voraussetzen (Artikel 28). Die Pflicht zur Registrierung der Identität gilt ausdrücklich auch für „Privacy“ und „Proxy“-Registrierungsdienste und Reseller (Artikel 6). Zugriff auf die Daten erhalten Behörden und Privatpersonen bei „berechtigtem Interesse“. „Whois privacy“-Dienste zur stellvertretenden Registrierung von Domains werden dadurch illegal, was die Sicherheit von Aktivisten und Whistleblowern bedroht.

Der Europaabgeordnete Dr. Patrick Breyer, Schattenberichterstatter im mitberatenden Innenausschuss, erläutert:

„Wenn die Betreiber von Leakseiten wie Wikileaks künftig namentlich verzeichnet würden, riskieren sie wie Julian Assange lange Haftstrafen für die Veröffentlichung von Kriegsverbrechen der USA. Auch das katalonische Unabhängigkeitsreferendum musste über anonym registrierte Webseiten organisiert werden, weil in Spanien Inhaftierung drohte.

Diese staatliche Identifizierungspflicht ist weltweit einzigartig und bricht mit internationalen Prinzipien der Internet Governance. Sie wird von Staaten wie Russland, Iran und China dankend übernommen werden und schlimme Folgen für mutige Menschenrechts- und Demokratieaktivisten haben.

Zwangsidentifizierung gefährdet Webseitenbetreiber, denn nur Anonymität im Netz schützt wirksam vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und ‚Todeslisten‘. Besonders unverzichtbar ist das Recht auf Anonymität im Netz z.B. für Frauen, Kinder, Minderheiten und gefährdete Personen, Missbrauchs- und Stalkingopfer. Whistleblower und Presseinformanten, politische Aktivisten und beratungssuchende Menschen in Not, verstummen ohne den Schutz der Anonymität. Nur Anonymität verhindert die Verfolgung und Benachteiligung mutiger und hilfsbedürftiger Menschen und gewährleistet den freien Austausch mitunter lebenswichtiger Informationen. Wir Piraten unterstützen vollauf die Teile der Richtlinie, die endlich die Netzwerksicherheit erhöhen werden. Aber eine Ausweispflicht für Domaininhaber hat nichts mit Netzwerksicherheit zu tun.“

Breyers Fraktion hatte eine separate Abstimmung über die Identifizierungspflicht beantragt, dies wurde von der Parlamentsmehrheit jedoch abgelehnt.

Die Richtlinie muss von den EU-Mitgliedsstaaten noch umgesetzt werden.

Anhang: Artikel 28 im Wortlaut

Article 28 Database of domain name registration data

  1. For the purpose of contributing to the security, stability and resilience of the DNS, Member States shall require TLD name registries and entities providing domain name registration services to collect and maintain accurate and complete domain name registration data in a dedicated database with due diligence in accordance with Union data protection law as regards data which are personal data.
  2. For the purposes of paragraph 1, Member States shall require the database of domain name registration data to contain the necessary information to identify and contact the holders of the domain names and the points of contact administering the domain names under the TLDs. Such information shall include:
    • (a)      the domain name;
    • (b)      the date of registration;
    • (c)       the registrant’s name, contact email address and telephone number;
    • (d)      the contact email address and telephone number of the point of contact administering the domain name in the event that they are different from those of the registrant.
  3. Member States shall require the TLD name registries and the entities providing domain name registration services to have policies and procedures, including verification procedures, in place to ensure that the databases referred to in paragraph 1 include accurate and complete information. Member States shall require such policies and procedures to be made publicly available.
  4. Member States shall require the TLD name registries and the entities providing domain name registration services to make publicly available, without undue delay after the registration of a domain name, the domain name registration data which are not personal data.
  5. Member States shall require the TLD name registries and the entities providing domain name registration services to provide access to specific domain name registration data upon lawful and duly substantiated requests by legitimate access seekers, in accordance with Union data protection law. Member States shall require the TLD name registries and the entities providing domain name registration services ▌to reply without undue delay and in any event within 72 hours of receipt of any requests for access. Member States shall require policies and procedures with regard to the disclosure of such data to be made publicly available.
  6. Compliance with the obligations laid down in paragraphs 1 to 5 shall not result in a duplication of collecting domain name registration data. To that end, Member States shall require TLD name registries and entities providing domain name registration services to cooperate with each other.