Gastbeitrag von Rechtsanwältin Katia Genkin, Düsseldorf
Dass Datenschutz mitunter den Tatenschutz fördert, ist schon öfter behauptet worden. Aber die DSGVO liefert nun den Beleg für diese These. Während um Redlichkeit bemühte Blogger oder Shop-Betreiber jeden Tag fürchten, wegen einer Banalität abgemahnt zu werden, können sich die professionellen Schmutzfinken des Internets entspannt zurücklehnen: Mit der DSGVO ist es noch schwieriger geworden, etwa gegen Verleumdungen oder Beleidigungen vorzugehen. Der Grund: Auch Domain-Inhaberdaten sind nun gut geschützt.
Was einem Unternehmen oder einer Privatperson passieren kann, zeigt das Beispiel der Stiftung Warentest.
Deutschlands höchste Instanz für den Verbraucherschutz kämpft derzeit ebenso verzweifelt wie erfolglos gegen Internetveröffentlichungen eines “Anleger-Portals”, das den Angaben zufolge “frei erfundene Vorwürfe gegenüber der Stiftung und speziell einer Redakteurin” in Netz gestellt hat. Das deutschsprachige Portal nennt im Impressum eine Adresse in den USA, bei der es sich laut Stiftung Warentest um eine reine Briefkasten-Adresse handelt.
Sinn und Zweck der Impressumspflicht ist es, einfach Information darüber erhalten zu können, wer für den Webauftritt verantwortlich ist und Reklamationen und Klagezustellungen zu ermöglichen. Ohne (zutreffende) Impressumsangaben läuft aber eine juristische Maßnahme etwa gegen Verleumdung ins Leere, denn eine Klage muss zugestellt werden können.
Bis vor kurzem gab es noch eine Chance, einen Impressums-Schummler mit vertretbarem Aufwand zu ermitteln: über die Inhaberdaten der Domain.
Zwar sieht der Bundesgerichtshof die Eintragung einer Person als Inhaberin in der WHOIS-Datenbank nur als ein Indiz an, nicht als einen stichhaltigen Beweis für die Inhaberschaft der Domain (BGH, Urteil vom 18.01.2012, I ZR 187/10) und ein Domain-Inhaber ist nicht zwangsläufig der Verantwortliche einer Onlineveröffentlichung. Aber die Domainabfrage ist immerhin ein erster Ansatz, dem Verantwortlichen auf die Spur zu kommen.
Seit dem 25.05.2018, dem Inkrafttreten der DSGVO ist es damit vorbei. Wer etwa bei ICANN wissen will, wer hinter whitehouse.gov steckt, erfährt nur:
DOTGOV WHOIS Server ready
Domain Name: WHITEHOUSE.GOV
Status: ACTIVE
Bei Fake-News hätte man also bei so einer Adresse möglicherweise ein echtes Problem, falls kein Impressum existiert. Wie wäre es zum Beispiel mit handelsblatt.com? Das Ergebnis ist ziemlich eintönig.
Name: REDACTED FOR PRIVACY
Organization: REDACTED FOR PRIVACY
Mailing Address: REDACTED FOR PRIVACY
Phone: REDACTED FOR PRIVACY
Ext: REDACTED FOR PRIVACY
Fax: REDACTED FOR PRIVACY
Fax Ext: REDACTED FOR PRIVACY
Email:info@domain-contact.org
etc.
Wer Glück hat, findet bei den verbliebenen Angaben noch eine Mail-Adresse für Missbrauchsfälle und kann dann mal gucken, ob irgendjemand, wo auch immer, irgendwann mal darauf antwortet.
Der Fairness halber sei gesagt, dass es schon früher bei Domain-Registraren in fernen Ländern möglich war, mehr oder weniger inkognito eine Domain zu registrieren, weil Angaben kaum geprüft wurden oder eine Anmeldung über sogenannte „WHOIS Protection“-Dienste möglich war, die bei einer „Whois-Abfrage“ – etwa im DENIC-Register – falsche Angaben lieferte.
Auch deshalb genießen .de-Domains viel Vertrauen, denn da geht es mit deutscher Gründlichkeit zu. Früher gab es bei der Vergabestelle DENIC verlässliche Domain-Inhaberdaten, heute gibt es verlässlich im Sinne der DSGVO erst mal … nichts mehr. Klare Ansage: Daten zum Domaininhaber werden nicht mehr angezeigt.
Ausnahmsweise können Behörden die Domaindaten noch bekommen. Die DENIC erteilt zudem, “auf Basis von Einzelfallprüfungen”, gegen Nachweis eines berechtigten Interesses Auskünfte zum Domaininhaber an
– Inhaber eines Namens- oder Kennzeichenrechts, das durch die Domain möglicherweise verletzt wird.
– oder Anspruchsteller, die im Besitz eines vollstreckbaren Titels sind und die zivilrechtliche Pfändung der domainvertraglichen Ansprüche des Domaininhabers beabsichtigen.
Wie das in der Praxis gehandhabt wird, ist mir noch nicht bekannt. Absehbar aber ist, dass die DENIC bei Fällen von Verleumdungen oder Beleidigungen kaum Auskunft erteilen wird, denn sie spricht von einer Rechtsverletzung durch die Domain, nicht von einer Rechtsverletzung durch den Inhalt.
Der Inhaber einer Domain wie www.besser-als-allianz-versicherung.de würde vermutlich preisgegeben. Wenn hingegen jemand die Domain www.50-korrupte-politiker.de registriert und anonym Verleumdungen und Beleidigungen über Politiker verbreitet, wird es kaum Domain-Daten geben, wodurch Politiker aber immerhin einen ungeahnten Praxisbezug ihrer Gesetzgebung erhalten würden.
Der Domain-Zuteiler ICANN, der mit einer Klage gegen den in Bonn sitzenden Domain-Registrar EPAG das Ziel verfolgte, dass auch nach Inkrafttreten der Datenschutzgrundverordnung zusätzliche Daten weiterhin erhoben und ihr mitgeteilt würden, hat eine Schlappe erlitten. Das Landgericht Bonn (LG Bonn, Beschluss vom 29.05.2018, 10 O 171/18, nicht rechtskräftig) hat klargestellt, dass Datenerhebungen restriktiv zu handhaben sind. Das Gericht hat argumentiert, dass zwar „ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen“. Vor dem Hintergrund des Grundsatzes der Datensparsamkeit sei aber nicht zu erkennen, warum zusätzlichen Datensätze erhoben werden müssten.
Bleibt der Löschungsanspruch gegen Google und andere Suchmaschinen-Betreiber, damit Schmutzkampagnen zumindest nicht noch prominent in den Suchergebnissen gezeigt werden. Wie das Beispiel der Stiftung Warentest zeigt, ist jedenfalls Google dabei offenkundig nicht besonders kooperativ.
Da war noch was? Wer als Opfer von Verleumdung und Beleidigung auf das Netzwerkdurchsetzungsgesetz hofft, dem Berliner Schwert gegen das Böse im Internet, der wird schon wieder enttäuscht. Es gilt nur für die Sozialen Netzwerke, nicht für eine Homepage.
Fazit also: Während die Politik mit dem Netzwerkdurchsetzungsgesetz gerade Verleumdungen und Beleidigungen im Netz unterbinden wollte, hat sie mit der DSVGO eine komfortable Schutzzone eben dafür eingerichtet. Unternehmen haben zunächst viel investieren müssen, um allen DSVGO-Anforderungen gerecht zu werden. Künftig werden sie auch noch – wenn sie nicht einfach nichts tun wollen – erheblich Budget und Personalressourcen aufbringen müssen, um die Personen zu identifizieren zu versuchen, die unter dem Schutz der DSGV illegale Machenschaften gegen sie betreiben.
Die Autorin Katia Genkin ist Rechtsanwältin in Düsseldorf. Sie berät deutsche und französische Unternehmen unter anderem zum Gewerblichen Rechtsschutz sowie Reputationsschutz.