Artikel 28 Datenbank der Domänennamen-Registrierungsdaten

Summary What does Article 28 of the NIS 2 directive say?

This article focuses specifically on domain name registration data, placing obligations on TLD name registries and entities providing domain name registration services to collect, maintain, and provide access to accurate registration data.

The article is quite detailed in its prescriptions, setting out not only what data must be held but also how it must be managed, disclosed, and shared.

It sits within the broader framework of the directive's goal to strengthen DNS security, stability, and resilience, complementing the supervisory and registration obligations placed on these entities elsewhere in the directive.

Important points:

TLD name registries and domain name registration service providers must maintain a dedicated database of accurate and complete registration data, including the domain name, date of registration, and contact details of both the registrant and the administering point of contact.
These entities must respond to lawful and duly substantiated requests for access to registration data within 72 hours, and their disclosure policies and procedures must be made publicly available.
To avoid duplication of data collection, TLD name registries and domain name registration service providers are required to cooperate with each other.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domänennamensystems zu leisten, verpflichten die Mitgliedstaaten, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.
1. Für die Zwecke des Absatzes 1 schreiben die Mitgliedstaaten vor, dass die Datenbank der Domänennamen-Registrierungsdaten die erforderlichen Angaben enthält, anhand derer die Inhaber der Domänennamen und die Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Informationen müssen Folgendes umfassen:
  1. den Domänennamen;
  2. das Datum der Registrierung;
  3. den Namen des Domäneninhabers, seine E-Mail-Adresse und Telefonnummer;
  4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domänennamen verwaltet, falls diese sich von denen des Domäneninhabers unterscheiden.
1. Die Mitgliedstaaten schreiben vor, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, über Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, verfügen, mit denen sichergestellt wird, dass die in Absatz 1 genannten Datenbanken genaue und vollständige Angaben enthalten. Die Mitgliedstaaten schreiben vor, dass diese Vorgaben und Verfahren öffentlich zugänglich gemacht werden.
1. Die Mitgliedstaaten schreiben vor, dass die TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unverzüglich nach der Registrierung eines Domänennamens die nicht personenbezogenen Domänennamen-Registrierungsdaten öffentlich zugänglich machen.
1. Die Mitgliedstaaten schreiben vor, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, auf rechtmäßige und hinreichend begründete Anträge berechtigten Zugangsnachfragern im Einklang mit dem Datenschutzrecht der Union Zugang zu bestimmten Domänennamen-Registrierungsdaten gewähren. Die Mitgliedstaaten schreiben vor, dass die TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang beantworten. Die Mitgliedstaaten schreiben vor, dass diese Vorgaben und Verfahren im Hinblick auf die Offenlegung solcher Daten öffentlich zugänglich gemacht werden.
1. Die Einhaltung der in den Absätzen 1 bis 5 festgelegten Verpflichtungen darf nicht zu einer doppelten Erhebung von Domänennamen-Registrierungsdaten führen. Zu diesem Zweck schreiben die Mitgliedstaaten vor, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, miteinander zusammenarbeiten.

Relevant recitals

Erwägungsgrund 109 Domain name registration data

Die Pflege genauer und vollständiger Datenbanken mit Domänennamen-Registrierungsdaten („WHOIS-Daten“) und ein rechtmäßiger Zugang zu diesen Daten sind entscheidend, um die Sicherheit, Stabilität und Resilienz des DNS zu gewährleisten, was wiederum zu einem hohen gemeinsamen Cybersicherheitsniveau in der gesamten Union beiträgt. Zu diesem spezifischen Zweck sollten TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, verpflichtet sein, bestimmte Daten zu verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind. Die Verarbeitung stellt eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 dar. Diese Verpflichtung gilt unbeschadet der Möglichkeit, Domänennamen-Registrierungsdaten für andere Zwecke zu erheben, zum Beispiel auf der Grundlage vertraglicher Vereinbarungen oder rechtlicher Anforderungen, die in anderen Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt sind. Diese Verpflichtung zielt darauf ab, einen vollständigen und genauen Satz von Registrierungsdaten zu erreichen, und sollte nicht dazu führen, dass dieselben Daten mehrfach erhoben werden. Die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten zusammenarbeiten, um Doppelarbeit zu vermeiden.

Erwägungsgrund 110 Legitimate access to domain name registration data

Die Verfügbarkeit und zeitnahe Zugänglichkeit von Domänennamen-Registrierungsdaten für berechtigte Zugangsnachfrager ist für die Prävention und Bekämpfung von DNS-Missbrauch sowie für die Prävention und Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung. Unter berechtigten Zugangsnachfragern ist jede natürliche oder juristische Person zu verstehen, die einen Antrag gemäß des Unionsrechts oder des nationalen Rechts stellt. Dazu gehören können nach dieser Richtlinie und nach Unionsrecht oder nationalem Recht für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten zuständige Behörden sowie CERTs oder CSIRTs. TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten verpflichtet sein, berechtigten Zugangsnachfragern im Einklang mit dem Unionsrecht und den nationalen Rechtsvorschriften rechtmäßigen Zugang zu bestimmten Domänennamen-Registrierungsdaten, die zum Zwecke des Antrags auf Zugang notwendig sind, zu gewähren. Dem Antrag berechtigter Zugangsnachfrager sollte eine Begründung beigefügt sein, die es ermöglicht, die Notwendigkeit des Zugangs zu den Daten zu beurteilen.

Erwägungsgrund 111 Accurate domain name registration data

Zur Gewährleistung der Verfügbarkeit genauer und vollständiger Domänennamen-Registrierungsdaten sollten die TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste, die Integrität und Verfügbarkeit von Domänennamen-Registrierungsdaten erfassen und garantieren. Insbesondere sollten TLD-Namenregister und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Grundsätze und Verfahren festlegen, um im Einklang mit dem Datenschutzrecht der Union genaue und vollständige Domänennamen-Registrierungsdaten zu erfassen und zu pflegen sowie unrichtige Registrierungsdaten zu verhindern bzw. zu berichtigen. Diese Strategien und Verfahren sollten so weit wie möglich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten verhältnismäßige Verfahren für die Überprüfung der Domänennamen-Registrierungsdaten verabschieden und umsetzen. Bei diesen Verfahren sollten die in dem Wirtschaftszweig angewandten bewährten Verfahren und, soweit möglich, die Fortschritte im Bereich der elektronischen Identifizierung berücksichtigt werden. Beispiele für Überprüfungsverfahren können Ex-ante-Kontrollen zum Zeitpunkt der Registrierung und Ex-post-Kontrollen nach der Registrierung sein. TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten insbesondere mindestens eine Kontaktmöglichkeit des Domäneninhabers überprüfen.

Erwägungsgrund 112 Publication of domain name registration data

TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten Domänennamen-Registrierungsdaten, die nicht in den Anwendungsbereich des Datenschutzrechts der Union fallen, z. B. Daten, die juristische Personen betreffen, gemäß der Präambel der Verordnung (EU) 2016/679 öffentlich zugänglich machen müssen. Bei juristischen Personen sollten die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, zumindest den Namen des Domäneninhabers und die Kontakt-Telefonnummer öffentlich zugänglich machen. Die Kontakt-E-Mail-Adresse sollte ebenfalls veröffentlicht werden, sofern sie keine personenbezogenen Daten enthält u. a. durch den Einsatz eines E-Mail-Alias oder eines Funktionskontos. TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten es auch ermöglichen, dass berechtigte Zugangsnachfrager rechtmäßigen Zugang zu bestimmten Domänennamen-Registrierungsdaten natürlicher Personen im Einklang mit dem Datenschutzrecht der Unionerhalten. Die Mitgliedstaaten sollten TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, verpflichten, Anträge auf Offenlegung von Domänennamen-Registrierungsdaten von berechtigten Zugangsnachfragern unverzüglich zu beantworten. TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten Grundsätze und Verfahren für die Veröffentlichung und Offenlegung von Registrierungsdaten festlegen, einschließlich Leistungsvereinbarungen für die Bearbeitung von Anträgen berechtigter Zugangsnachfrager. Diese Strategien und Verfahren sollten so weit wie möglich etwaigen Leitlinien und den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. Das Zugangsverfahren könnte auch die Verwendung einer Schnittstelle, eines Portals oder eines anderen technischen Instruments umfassen, um ein effizientes System für die Anforderung von und den Zugriff auf Registrierungsdaten bereitzustellen. Zur Förderung einheitlicher Verfahren für den gesamten Binnenmarkt kann die Kommission unbeschadet der Zuständigkeiten des Europäischen Datenschutzausschusses Leitlinien zu solchen Verfahren bereitstellen, bei denen so weit wie möglich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung getragen wird. Die Mitgliedstaaten sollten dafür sorgen, dass alle Arten des Zugangs zu personenbezogene und nicht personenbezogenen Domänennamen-Registrierungsdaten kostenfrei sind.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.