SWITCH zur neuen Datenschutz-Grundverordnung DSGVO

Bekanntgabe von Personendaten an SWITCH für die Registrierung von .ch Domain-Namen gemäss DSGVO:

Wie ist die Rechtslage?

  • Ausgangslage: Konflikt DSGVO und WHOIS-Datenbank

    Die ICANN verlangt von den Registries, diverse Personendaten der Domain-Namen-Halter
    im WHOIS öffentlich zu publizieren. Die EU-Datenschutzgrundverordnung (DSGVO), welche
    ab dem 25. Mai 2018 unmittelbar anwendbar sein wird, verbietet jedoch unter dem Grundsatz
    der Datenminimierung eine übermässige Sammlung von Personendaten und generell die Bearbeitung
    von Personendaten ohne Rechtfertigungsgrund. Die meisten WHOIS-Datenbanken
    sind in ihrer heutigen Form somit nicht DSGVO-konform.
    SWITCH als Registry der ccTLD “.ch“ will mit dem vorliegenden Schreiben die Registrare
    informieren, ob und weshalb sie Personendaten im Zusammenhang mit der Registrierung
    von .ch Domain-Namen weiterhin an SWITCH übermitteln dürfen bzw. ob und weshalb
    SWITCH diese Daten im WHOIS nach wie vor öffentlich zugänglich machen darf.

  • Rechtfertigungsgrund für die Datenbearbeitung durch SWITCH

    SWITCH als Registerbetreiberin verlangt von den Registraren für die Registrierung eines
    .ch Domain-Namens die Bekanntgabe diverser Daten. Bei vielen dieser Daten handelt es sich
    um Personendaten, weshalb für die Verarbeitung gemäss DSGVO ein Rechtfertigungsgrund
    erforderlich ist (Art. 6 DSGVO). Auf SWITCH als Registry ist die DSGVO mangels Vorliegen
    der Voraussetzungen nach Art. 3 (2) DSGVO jedoch nicht anwendbar und ein Rechtfertigungsgrund
    für die Bearbeitung somit nicht erforderlich. Dessen ungeachtet verfügt SWITCH,
    wie nachfolgend aufgeführt, über eine gesetzliche Grundlage für die Datenverarbeitung, welche
    auch nach DSGVO als Rechtfertigungsgrund dienen würde.
    SWITCH ist als Registerbetreiberin der .ch Domain-Namen an die Verordnung über Internet-
    Domains (VID) vom 5. November 2014 (SR 784.104.2) gebunden. Art. 10 Abs. 1 lit. a VID
    verpflichtet SWITCH in ihrer Funktion als Registerbetreiberin unter anderem zur Einrichtung,
    Verwaltung und Aktualisierung einer WHOIS-Datenbank. Art. 46 Abs. 1 VID verlangt konkret
    die Publikation folgender Angaben in der WHOIS-Datenbank:
    – Bezeichnung des zugeteilten Domain-Namens und ACE-String (lit. a);
    – Name und Postadresse der Halterin oder des Halters des Domain-Namens (lit. b);
    – bei einem aktivierten Domain-Namen: Daten der zugeteilten Namensserver (lit. c);
    – Name und Postadresse der technisch verantwortlichen Person (lit. f);
    – ob ein Domain-Name durch das DNSSEC-System gesichert ist (lit. g);
    – Datum der ersten Zuteilung des Domain-Namens (lit. h);
    – vollständiger Name des Registrars, der im Auftrag der Halterin oder des Halters des
    betreffenden Domain-Namens handelt (lit. i).
    Art. 24 Abs. 2 lit. b Ziff. 2 VID sieht für die Behandlung eines Registrierungsgesuchs sodann
    die Bekanntgabe der E-Mail-Adresse des Halters an die Registerbetreiberin vor. SWITCH
    verlangt vom Registrar deshalb zusätzlich die Bekanntgabe der E-Mail-Adresse, welche aber
    nicht in der WHOIS-Datenbank veröffentlicht wird.
    Durch die erwähnten Gesetzesartikel hat SWITCH eine gesetzliche Grundlage im Sinne von
    Art. 6 (1) (c) DSGVO bzw. infolge der Umsetzung des Schweizer Gesetzes ein berechtigtes
    Interesse gemäss Art. 6 (1) (f) DSGVO, um die Daten zu speichern und im WHOIS zu veröffentlichen.
    Somit ist ein Rechtfertigungsgrund gegeben und die Verarbeitung der erwähnten
    Personendaten wäre auch bei Anwendbarkeit der DSGVO rechtmässig.
    Die rechtliche Grundlage für die Rechtmässigkeit der Bekanntgabe der Personendaten durch
    die Registrare an SWITCH liegt in Art. 6 (1) (b) DSGVO, da die Bekanntgabe der Daten an
    SWITCH für die Registrierung eines Domain-Namens und somit zur Vertragserfüllung mit der
    Halterin oder dem Halter erforderlich ist. Für ausländische Registrare ist die Bekanntgabe der
    Daten an SWITCH auch unter dem Aspekt der Datenübermittlung ins Ausland zulässig, da
    die Schweiz als Drittstaat gemäss Angemessenheitsentscheid der Europäischen Kommission
    ein adäquates Datenschutzniveau bietet.

  • Schlussfolgerung: Rechtmässigkeit der Datenbekanntgabe an SWITCH

    Zusammenfassend kann festgehalten werden, dass SWITCH und die Registrare für die Verarbeitung
    folgender Personendaten über einen Rechtfertigungsgrund verfügen:
    – Domain-Name
    – Name und Postadresse des Halters
    – Name und Postadresse der technisch verantwortlichen Person
    – vollständiger Name des zuständigen Registrars
    – E-Mail-Adresse des Halters
    Für die Registrare gilt somit auch nach dem 25. Mai 2018, dass sie SWITCH für die Registrierung
    von .ch Domain-Namen weiterhin die erwähnten Personendaten zur Verfügung stellen
    können, ohne gegen die DSGVO zu verstossen.
    Über weitere Entwicklungen im Zusammenhang mit dem Datenschutz werden wir auf dem
    Laufenden halten und nehmen allfällige Fragen und Anliegen jederzeit gerne entgegen.