Interview med Luc Seufer
Den 25. maj 2018 trådte den generelle forordning om databeskyttelse (GDPR) i kraft, hvilket berører alle enheder, som håndterer personoplysninger fra europæiske borgere. WHOIS-systemet, som er en offentlig liste med personoplysninger, ser ved første øjekast ud til at være inkompatibel med den nye forordning. Hvordan påvirker GDPR reelt set kampen mod onlinekrænkelser og -misbrug?
Vi interviewede Luc Seufer, Chief Legal Officer i EBRAND-koncernen, for at få et overblik.
Kan du som det første fortælle os, om EBRAND er påvirket af GDPR?
Som følge af vores kundetype og de serviceydelser vi tilbyder, har EBRAND førstehåndskendskab til de problematikker, GDPR skaber for domænebranchen.
Som domæneregistrator er beskyttelsen af vores kunders personoplysninger centrale for os, og vi har altid opfyldt alle gældende love hvad dette angår. Ud over censurering af visse oplysninger i vores WHOIS-databaser har forordningen ikke betydet voldsomme ændringer i den måde, vi arbejder på, men til gengæld en mere omfattende dokumentation.
Som serviceudbyder inden for varemærkebeskyttelse udgør ovennævnte censureringsopgave imidlertid en hindring, som vi ville foretrække at være foruden.
I de seneste måneder har der været en konstant strøm af artikler offentliggjort af grupper til beskyttelse af intellektuelle ejendomsrettigheder, som advarer offentligheden og de lovgivende myndigheder om alvorlige konsekvenser af det, de benævner “nedlukning af WHOIS”. Kan du fortælle os mere om det?
For at kunne forstå tingenes aktuelle tilstand vil jeg gerne starte med en kort gennemgang af ICANNs historie og beskyttelse af personoplysninger. Eksperter på personoplysningsområdet har i mange år officielt og uofficielt gjort ICANN opmærksom på, at visse politikker betød en krænkelse af europæisk databeskyttelseslovgivning.
Den tidligere Artikel 29-arbejdsgruppe, som nu har ændret navn til Det Europæiske Databeskyttelsesråd, har sendt adskillige breve til de på hinanden følgende administrerende direktører for ICANN.
Uheldigvis tog ingen dog disse advarsler alvorligt, og de nødvendige reformer blev aldrig indført.
Goran Marby, organisationens nuværende CEO, var nødt til at lægge pres på ICANNs bestyrelse om at godkende en midlertidig politik, som gav administratorer og registratorer mulighed for at træffe de foranstaltninger, som de mente var nødvendige for at overholde bestemmelserne i GDPR.
Formuleringen af denne politik er imidlertid så vag, at hver enkelt administrator og registrator har indført forskellige regler. For eksempel redigerer nogle administratorer hver enkelt Whois-post i deres database uden at tage højde for registrantens placering eller det faktum, at det drejer sig om juridiske personer, der derfor falder uden for forordningens omfang.
Andre, som EBRAND, har indtaget en mere pragmatisk tilgang, ved kun at redigere fysiske personers detaljer og ved at vise en anonymiseret e-mailkontaktadresse for disse registranter. Andre igen har valgt at lægge en online-kontaktformular på deres hjemmeside. Og nogle har endda forsøgt at skabe en adgangsmodel med et pseudo-akkrediteringssystem.
På få måneder er det uden tvivl blevet vanskeligt at få adgang til domæneregistranters kontaktoplysninger.
Er det ikke ICANNs opgave at definere branchestandarder og sørge for, at de overholdes?
På organisationens seneste møde i Panama City, som jeg deltog i, meddelte ICANN, at der ville blive sat gang i en hasteproces for udvikling af en politik med henblik på at skabe en varig global løsning. Det er ICANNs målsætning at færdiggøre og lancere denne politik før slutningen af april 2019.
Selvom det i offentligheden kan virke til at være en meget langsom proces, er det faktisk lynhurtigt for ICANNs vedkommende. Det tog f.eks. ICANN 10 år at lancere programmet med nye domæneendelser.
Med denne nye politik skal det være muligt at implementere et differentieret adgangssystem til Whois-databaserne. Eksempelvis vil de retshåndhævende myndigheder have én type adgang, IP-indehavere en anden, registratorer en tredje, sikkerhedsresearchere en fjerde…
Som nævnt før har visse registratorer forsøgt at foregribe ICANNs politik ved at udvikle deres egen differentierede adgang, men deres modeller tager ikke udgangspunkt i en fælles standard og drives af registratorerne selv. Selvom det må antages, at alle registratorer er kompetente udbydere af tekniske tjenester, er de absolut ikke kvalificerede til at bedømme legitimiteten af anmodninger om adgang til kunders personoplysninger. Efter min opfattelse er dette initiativ ret farligt og dårligt tilpasset, men det kan omvendt let forklares med iver efter at finde en løsning.
Betyder det, at domænenavnssystemet (Domain Name System – DNS) reelt set er lovløst?
Ikke helt. Ud over den lokale lovgivning er alle ICANN-akkrediterede registratorer bundet af den samme akkrediteringsaftale med ICANN. Denne aftale stiller krav om, at registratorer har et såkaldt misbrugskontaktpunkt til at forhindre misbrug. De skal undersøge forlydender om illegale aktiviteter vedrørende domænenavne, som de er ansvarlige for.
Som dokumenteret af vores enforcement-afdelings resultater, er det stadig muligt at opnå inddragelse af domænenavne, som bruges ulovligt. Men det er dog meget vanskeligt at påvise identiteten på den person, der står bag misbruget.
Det kan altså ikke længere lade sig gøre at identificere krænkende parter?
Her er det virkelige problem også manglen på standardprocesser og -politikker. Hver enkelt vedligeholder af en WHOIS-database (administrator eller registrator) handler i overensstemmelse med sin egen fortolkning af GDPR.
Nogle står fast på, at personoplysninger kun må offentliggøres som følge af en domstolsafgørelse. Andre stiller kun krav om en begrundet klage i henhold til kravene i DMCA (amerikansk ophavsretslov). Og nogle har ingen anelse om, hvad de skal gøre, og forbliver desværre tavse.
Når krænkelsen udgøres af selve domænenavnet, kan det overvejes at indlede en harmoniseret tvistbilæggelsesprocedure (UDRP) eller en suspension (URS, uniform rapid suspension), som kan tvinge registratoren til at fremlægge registrantoplysningerne. Denne vej er dog ret dyr i forhold til, at man blot opnår en simpel offentliggørelse.
Det betyder imidlertid ikke, at varemærkeindehavere er overladt til sig selv. EBRAND har over årene udviklet et sæt innovative teknologiske værktøjer, som fortsat er fuldt ud funktionsdygtige på trods af den aktuelle situation.
Luc Seufer, Chief Legal Officer EBRAND Group
