Sprache ändern: Deutsch
Share:

Cybersicherheit: EU will anonyme Websites verbieten

Europaparlament Pressemitteilungen

Die EU erarbeitet zurzeit eine Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz „NIS 2“). Danach soll die Registrierung von Internetdomainnamen künftig die korrekte Identifizierung des Inhabers in der Whois-Datenbank einschließlich Namen, Anschrift und Telefonnummer voraussetzen. Die denic registriert bisher keine Telefonnummern der Inhaber. Der federführende Industrieausschuss fordert zudem eine Überprüfung der Registrierungsdaten. Dies könnte das Ende von „whois privacy“-Diensten zur stellvertretenden Registrierung von Domains bedeuten und die Sicherheit von Aktivisten und Whistleblowern bedrohen. Heute Nachmittag stimmt der Innenausschuss über die Frage ab, am Monatsende soll sich der federführende Industrieausschuss positionieren.

Der Europaabgeordnete Dr. Patrick Breyer, Schattenberichterstatter im mitberatenden Innenausschuss, warnt vor diesen Vorstoß:

„Diese Ausweispflicht für Domaininhaber ist ein weiterer Schritt in Richtung Abschaffung anonymer Veröffentlichungen und Leaks im Internet.

Das gefährdet Webseitenbetreiber, denn nur Anonymität im Netz schützt wirksam vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und ‚Todeslisten‘. Besonders unverzichtbar ist das Recht auf Anonymität im Netz z.B. für Frauen, Kinder, Minderheiten und gefährdete Personen, Missbrauchs- und Stalkingopfer. Whistleblower und Presseinformanten, politische Aktivisten und beratungssuchende Menschen in Not, verstummen ohne den Schutz der Anonymität. Nur Anonymität verhindert die Verfolgung und Benachteiligung mutiger und hilfsbedürftiger Menschen und gewährleistet den freien Austausch mitunter lebenswichtiger Informationen. Hätten Wikileaks-Aktivisten beispielsweise die Website der Plattform auf ihren Namen registrieren müssen, wären sie von den USA sofort verfolgt worden.

Ich begrüße zwar das Ziel dieser Richtlinie, die Netzwerksicherheit zu erhöhen. Aber eine Ausweispflicht für Domaininhaber hat nichts mit Netzwerksicherheit zu tun. Deswegen fordern meine Fraktion und ich die Streichung der Identifizierungspflicht aus der Richtlinie.“

Die denic kritisiert die geplante Registrierungspflicht, während die ICANN sie noch verschärfen will.

✊Was du tun kannst

Der federführende Industrieausschuss ITRE nahm am 28. Oktober final die Position des Europäischen Parlaments an. Nun kannst du vor allem noch die ständigen Vertretungen deines Mitgliedsstaats anschreiben, da die Zustimmung der Mitgliedsstaaten aussteht.

Das Dossier, um das es geht, wird allgemein “NIS 2 Directive” genannt. Die Identifizierungspflicht ist in Artikel 23 geregelt.

Zur Vermeidung von Missverständnissen: Die zu registrierenden Personendaten sollen nicht veröffentlicht werden. Datenabfragen von Privatpersonen und Organisationen sollen ein “berechtigtes Interesse” voraus setzen, das allerdings leicht konstruiert werden kann. Auch Hacks drohen. Deswegen ist die Sicherheit von Aktivisten, bedrohten und belästigten Personen uvm. in Gefahr.

Der von ITRE empfohlene Gesetzeswortlaut

(fettgedruckt sind die Änderungen gegenüber dem Gesetzentwurf der EU-Kommission)

Article 23
Database structure of domain names and registration data
1. For the purpose of contributing to the security, stability and resilience of the DNS, Member States shall require TLD registries and entities providing domain name registration services to collect and maintain accurate, verified and complete domain name registration data in a database structure operated for that purposes.
2. Member States shall ensure that the database structure of domain name registration data referred to in paragraph 1 contains relevant information, which shall include at least the registrants’ name, their physical and email address as well as their telephone number, to identify and contact the holders of the domain names and the points of contact administering the domain names under the TLDs.
3. Member States shall ensure that TLD registries and entities providing domain name registration services have policies and procedures in place to ensure that the database structure includes accurate, verified and complete information. Member States shall ensure that such policies and procedures are made publicly available.
4. Member States shall ensure that TLD registries and entities providing domain name registration services make publicly available, without undue delay after the registration of a domain name, domain registration data which are not personal data. For legal persons as registrants, the domain registration data publicly available shall include at least the registrants’ name, their physical and email address as well as their telephone number.
5. Member States shall require TLD registries and entities providing domain name registration services to provide access to specific domain name registration data, including personal data, upon duly justified requests of legitimate access seekers, in compliance with U nion data protection law. Member States shall require TLD registries and entities providing domain name registration services to reply without undue delay and in any event within 72 hours upon the receipt of the requests for access. Member States shall ensure that policies and procedures to disclose such data are made publicly available.

Recitals
(59) Maintaining accurate, verified and complete databases of domain names registration data (so called ‘WHOIS data’) is essential to ensure the security, stability and resilience of the DNS, which in turn contributes to a high common level of cybersecurity within the Union, and for tackling illegal activities. TLD registries and entities providing domain name registration services should therefore be required to collect domain name registration data, which should include at least the registrants’ name, their physical and email address as well as their telephone number. In practice, the collected data may not always be thoroughly accurate, however TLD registries and entities providing domain name registration services should adopt and implement proportionate processes to verify that natural or legal persons requesting or owning a domain name have provided contact details on which they can be reached and are expected to reply. Using a ‘best efforts’ approach, these verification processes should reflect the current best practices used within the industry. Those best practices in the verification process should reflect the advances being made in the electronic identification process. The TLD registries and entities providing domain name registration services should make publicly available their policies and procedures to ensure the integrity and availability of the domain name registration data. Where processing includes personal data such processing shall comply with Union data protection law.
(60) TLD registries and entities providing domain name registration services should be required to make publicly available domain name registration data that does not contain personal data. A distinction should be made between natural and legal persons. For legal persons, TLD registries and entities should make publicly available at least the registrants’ name, their physical and email address as well as their telephone number. The legal person should be required to either provide a generic email address that can be made publicly available or give consent to the publication of a personal email address. The legal person should be able to demonstrate such consent at the request of TLD registries and entities providing domain name registration services.
(61) The availability and timely accessibility of the domain name registration data to legitimate access seekers is essential for cybersecurity purposes and tackling illegal activities in the online ecosystem. TLD registries and entities providing domain name registration services should therefore be required to enable lawful access to specific domain name registration data, including personal data, to legitimate access seekers, in accordance with Union data protection law. Legitimate access seekers should make a duly justified request to access domain name registration data on the basis of Union or national law, and could include competent authorities under Union or national law for the prevention, investigation or prosecution of criminal offences, and national CERTs or CSIRTs. Member States should ensure that TLD registries and entities providing domain name registration services should respond without undue delay and in any event within 72 hours to requests from legitimate access seekers for the disclosure of domain name registration data. TLD registries and entities providing domain name registration services should establish policies and procedures for the publication and disclosure of registration data, including service level agreements to deal with requests for access from legitimate access seekers. The access procedure may also include the use of an interface, portal or other technical tools to provide an efficient system for requesting and accessing registration data. With a view to promoting harmonised practices across the internal market, the Commission may adopt guidelines on such procedures without prejudice to the competences of the European Data Protection Board.

Comments

3 Comments
  • Josef

    Man kann sich die DSGVO auf verschiedene Arten kaputt machen. Wenn jetzt jeder erst wieder einfachst and die persönl. Daten kommt?

  • Der Dummmichel

    Ist schon arg traurig, wenn man Argumente bringen muss warum dies schlecht sei (Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und ‚Todeslisten‘. Besonders unverzichtbar …).
    Alleine das Argument Anonymität, und “Ich möchte nicht 24/7 von Staatsdienern und deren Institutionen wie der NSA überwacht und kontrolliert werden” sollte ausreichen meine ich.

    Diese ganzen Vorwände wie Cybersicherheit. Wie blöd meinen die ist das Volk?
    Erst anno Ende der 90er die vier Reiter der Infokalypse beschwören, um in zwei Jahrzehnten überall einen Überwachungsstaat zu errichten.
    Dann 2013/2015 zu den erlogenen Vorwänden irgendwas mit “Hassrede” hinzufügen, und nun kommt wieder der Vorwand Sicherheit.

    Wir haben es verstanden: Das Internet ist für euch herrschende Klasse und Reichen zu gefährlich. Das Volk kann mit einem freien Internet schlecht kontrollieren, unterdrücken und leiten.
    Der Kapitalismus bietet auch immer weniger Freizügigkeiten und Nutznießer, also will man das Volk dessen Freiheiten berauben, weil man sonst mit Unruhen rechnet und einem Volk, welche die Freiheiten dazu nutzen könnte sich zukünftig gegen die herrschende Klasse aufzuwiegeln.
    Den Buchdruck konntet ihr kontrollieren, die Zeitungen auch, wie Radio und Fernsehen – aber das Internet könnte ihr nicht kontrollieren.
    Da helfen auch die mehrheitlich staatlichen kontrollierten Medien nicht.
    Sah man schon 9/11. Die Lügenmaschine lief ohne Ende – wurde dennoch durchschaut.
    Am Beispiel der Plandemie (Great Reset) sieht man es auch: Die meisten haben längst durchschaut was es mit der Plandemie auf sich hat.

    Ihr wollt ein Ebenbild Chinas. Alles klar.

    Mein Dank an Patrick Beyer und alle die gegen gestimmt haben. Werde sehen wie ich mit E-Mail oder Anruf mithelfen kann.
    Auch nette Erkenntnis: Die Volksfeinde die teils schon 70 Jahre einheitlich herrschen (CDU, SPD, CSU und co.), nun noch die AFD, sind auch immer diejenigen die für mehr Überwachung, weniger Freiheiten und co. stimmen.

    Volksherrschaft. Welche Volksherrschaft. Repräsentative. Lustig.
    Eher Parteiendiktatur, EU-DIktatur und eine Schein-Volksherrschaft.

  • Lupi

    Ich betreibe keine Website bzw. Blog und werde so etwas auch nie betreiben. Die mir gehörenden Domains nutze ich nur für denprivaten Mailverkehr. Eine der Domains lautet auf meinen Nachnamen. Muß ich also dann damit rechnen, daß dann jeder unter den o.g. Bedingungen meine Adresse/Wohnsitz erfährt? Das kann ja wohl nicht deren Ernst sein!

Write a comment:

All information is voluntary. Your email address will not be published.