Urteile

Domain-Registrar muss Infos zu Tech-C und Admin-C aufgrund von DSGVO nicht weiter speichern

Landgericht Bonn

Beschluss v. 29.05.2018 - Az.: 10 O 171/18

Leitsatz

Domain-Registrar muss Infos zu Tech-C und Admin-C aufgrund von DSGVO nicht weiter speichern

Anmerkung

Hinweis: Die Entscheidung ist in der Beschwerdeinstanz durch das OLG Köln (Beschl. v. 01.08.2018 - Az.: 19 W 32/18) bestätigt worden.

Tenor

In dem einstweiligen Verfügungsverfahren (...) hat die 10. Zivilkammer des Landgerichts Bonn am 29.05.2018 durch (...) beschlossen:

Der Antrag auf Erlaes einer einstweiligen Verfügung vom 25.05.2018 wird auf Kosten der Antragstellern zurückgewiesen.

Entscheidungsgründe

I.
Die Antragstellerin begehrt den Erlass einer einstweiligen Verfügung, mit der der Antragsgegnerin untersagt werden soll, bei von ihr vorgenommenen Vergaben von Internetdomains auf die (zusätzliche) Erhebung von Daten eines technischen und administrativen Kontakts zu verzichten.

Bei der Antragstellerin handelt es sich um eine gemeinnützige Organisation, welche zur Sicherstellung der stabilen und sicheren Funktionswelse eines eindeutigen Identifikationssystems im Internet die Vergabe von einmaligen Namen und Adressen im Internet koordiniert. Dazu gehört namentlich die Koordination des Domain-Name-Systems. 

In dieser Funktion schließt die Antragstellerin mit anderen Organisationen Vertrage über die Vergabe sog. generischer Top Level Domains und - hier streitgegenstandlich - Second Level Domains innerhalb der jeweiligen Top Level Domains. Wegen der im Einzelnen von der Antragstellerin vergebenen konkreten Top Level Domains wird auf Anlage AS 1 verwiesen.

Unter dem sog. „WHOIS" Service werden die im Zusammenhang mit Neuregistrierungen erhobenen und gespeicherten Daten zu Identifizerungszwecken auf einem, öffentlich zugänglichen Internetportal veröffentlicht.

Die Antragsgegnerin ist als sog. „akkreditierter Registrar" der Antragstellerin durch zwischen den Parteien geschlossenen Vertrag befugt, Second Level Domains unterhalb einer durch separaten Vertrag vergebenen Top Level Domain an Registrierungswiilige zu vergeben.

In Ziffer 3.4 des zwischen den Parteien geschlossenen Vertrags, dem „Registrar Accreditation Agreement" vom 22.012014 (Anlage AS 4, kurz RAA) ist - auf Grundlage der von der Antragstellerin mitgelieferten Übersetzung des ursprünglich engfischsprachigen Vertrags - folgendes geregelt:


"3.4.1 Für jeden durch den Registrar gesponserten registrierten Domainnamen innerhalb einer gTLD muss der Registrar in seiner eigenen elektronischen Datenbank, die von Zeit zu Zeit aktualisiert wird, sammeln und sichern: (...)
3.4.1.2    Die in den Ziffern 3.3.1.1 bis 3.3.1.8 aufgeführten Daten;"

Die insoweit in Bezug genommenen Ziffern lauten:

"3.3.1.1 Den Namen des registrierten Domainnamens
3.3.1.2 Die Namen des ersten Namensservers und des zweiten Namensservers für den Domainnamen;
3.3.1.3    Die Identität des Registrars (dieser kann durch die Internetseite des Registrars zur Verfügung gestellt werden);
3.3.1.4    Das Datum der erstmaligen Registrierung;
3.3.1.5    Das Enddatum der Registrierung;
3.3.1.6    Den Namen und die Anschrift des Registrierenden;
3.3.1.7    Den Namen, Anschrift, E-Mail-Adresse, Telefonnummer und (soweit verfügbar) die Faxnummer des technischen Kontakts für den registrierten Domainnamen und
3.3.1.8 Den Namen, Anschrift, E-Mail-Adresse, Telefonnummer und (soweit verfügbar) die Faxnummer des administrativen Kontakts für den registrierten Domainnamen"

in Ziff. 3.7.2 des RAA ist geregelt, dass sich der Registrar an anwendbare Gesetze und staatliche Bestimmungen zu halten hat.

Auf Grundlage dieses RAA vergibt die Antragsgegnerin als sog. Registrar Internetdomains an registrierungswillige Dritte, mithin natürliche und juristische Personen. 

Bisher erhob (und speicherte) die Antragsgegnerin in Gemäßheit der oben wiedergegebenen vertraglichen Regelung neben den Kontaktdaten des Domaininhabers auch weitere Personendaten, und zwar zum einen für einen technischen und zum anderen für einen administrativen Kontakt. Nunmehr - unter dem Eindruck der kürzlich in Kraft getretenen DSGVO - kündigte die Antragsgegnerin gegenüber der Antragstellerin an, bei der künftigen Vergabe von Domainnamen nur noch die Daten des Domaininhabers selbst zu erheben und auf die zusätzliche Erhebung von Daten eines technischen und administrativen Kontakts zu verzichten.

Die Antragstellern ist der Ansicht, die Antragsgegnerin sei vertraglich zur Erhebung auch der Daten für den technischen und administrativen Kontakt verpflichtet. Auch seien diese Daten zur Erreichung der Zwecke der Antragstellerin zwingend erforderlich.

Die kürzlich in Kraft getretene DSGVO stehe dem nicht entgegen. Eine Eilbedürftigkeit liege vor, weil die Antragsgegnerin angekündigt habe, ihre bisherige Praxis nunmehr ändern zu wollen.

Die Antragstellerin beantragt, im Wege der einstweiligen Verfügung, die der besonderen Dringlichkeit wegen ohne vorauslaufende mündliche Verhandlung und durch den Vorsitzenden anstelle des Prozessgerichts erlassen werden soll, unter Androhung eines Ordnungsgeldes von bis zu 250.000,00 Euro der Antragsgegnerin aufzugeben, es zu unterlassen, als von der ICANN akkreditierter Registrar in Bezug auf jede generische Top Level Domain, die in Anlage AS 1 aufgeführt ist, Second Level Domainnamen anzubieten und/oder zu registrieren, ohne die folgenden Daten des Registrierenden, der einen Second Level Domainnamen über die Antragsgegnerin registrieren will, zu erheben:

Name, Postanschrift, E-Mail-Adresse, Telefonnummer und (sofern vorhanden) Faxnummer des technischen Kontakts für den jeweiligen Domainnamen;

und/oder

Name, Postanschrift, E-Mail-Adresse, Telefonnummer und (sofern vorhanden) Faxnummer des administrativen Kontakts für den jeweiligen Domainnamen.

Die Antragsgegnerin beantragt im Rahmen der von ihr eingereichten Schutzschrift, den Antrag auf Erlass einer einstweiligen Verfügung zurückzuweisen.

Sie ist der Ansicht, die Erhebung (und Speicherung) personenbezogener Daten für den administrativen und technischen Kontakt verstoße gegen die Bestimmungen der zum 25.05.2018 in Kraft getretenen DSGVO, namentlich gegen Art. 5 Abs. 1 lit. c) i.V.m. Art. 25 DSVGO, und sei daher von ihr nicht mehr zulässigerweise zu verlangen, zumal auch im streitgegenständlichen Vertrag mit der Antragstellerin geregelt sei, dass sich die Antragsgegnerin an geltendes Recht zu halten habe.

Wegen der Einzelheiten des Sach- und Streitstands wird auf die Antragsschrift der Antragstellerin nebst Anlagen und die Schutzschrift der Antragsgegnerin verwiesen.

II.

1. 
Das Landgericht Bonn ist für die Entscheidung über den Antrag auf Erlass einer einstweiligen Verfügung zuständig. Zwar haben die Parteien sich in Art. 6.8 des streitgegenständlichen RAA auf eine Schiedsklausel geeinigt, wonach gilt:

"Zur Unterstützung des Schiedsverfahrens und/oder um die Rechte der Parteien während des Schiedsverfahrens zu wahren, haben die Parteien das Recht, einstweiligen Rechtsschutz vom Schiedsgericht zu verlangen oder von einem Gericht in Los Angeles, Kalifornien, USA, was keinen Verzicht auf diese Schiedsklausel bedeutet."

Eine Derogation in Bezug auf das am Sitz des vereinbarten Schiedsgerichts ansässige staatliche Gericht ist im Bereich des einstweiligen Rechtsschutzes indes nicht wirksam möglich, weshalb es bei- der Zuständigkeit (auch) des nach allgemeinen Regeln zuständigen staatlichen Gerichtes bleibt (vgl. OLG Köln GRUR-RR 2002, 309).

2.
Der zulässige Antrag auf Erlass der begehrten einstweiligen Verfügung war zurückzuweisen, da er sich als unbegründet erweist. Ein Verfügungsanspruch wurde nicht glaubhaft gemacht.

Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. 

Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vonschriften zu halten hat. 

Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mit geltendem Recht stehen, § 242 BGB.

Gemessen an der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit. c), ist ein hinreichendes Bedürfnis im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragsteilerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. 

Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all jene Funktionen auf sich vereinigen kann.

Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragsteilerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). 

Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragsteilerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können.

Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. 

Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. 

Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2,2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht.

Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.

Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog, „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.


3.
Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO.


III.
Der Streitwert war auf 50.000,00 Euro zu beschränken. Wirtschaftliche Beeinträchtigungen von der Größenordnung, die im Antrag angegeben ist, hat die Antragstellerin, welche sich selbst zudem als gemeinnützige Organisation bezeichnet, nicht ansatzweise dargestellt, so dass die Kammer mangels anderer Anhaltspunkte von dem festgesetzten deutlich geringeren Wert ausgegangen ist.