Die Stiftung SWITCH betreibt im Auftrag des Bundes die Registrierungsstelle nic.ch für die Top-Level-Domain «.ch». Dazu führt sie eine öffentliche zentrale Datenbank, die allen Interessierten einen Echtzeit-Zugang zu Angaben über die InhaberInnen (Name und Postanschrift) von Domain-Namen gewährleistet. Und sie «trifft geeignete Massnahmen, um die missbräuchliche Verwendung der öffentlich zugänglichen Angaben […] zu verhindern». Dieser rechtliche Rahmen ist durch Art. 14 der Verordnung über die Adressierungselemente im Fernmeldebereich (AEFV) abgesteckt.
Damit die personenbezogenen Daten nicht missbräuchlich und/oder automatisch ausgelesen werden können, beschränkt SWITCH die Anzahl Abfragen und verbietet eine weitergehende Bearbeitung in der Benutzungsordnung. Im Internet vor 15 Jahren war dies sicherlich ausreichend. Für dubiose Adresshändler und Datenverknüpfer stellt dies heutzutage aber kein Hindernis – jedoch ein lohnendes Geschäft dar. Swiss Registers (neuerdings suisse-data), Domain Tools und auch andere Unternehmen beschaffen sich die Daten aus der nic.ch/WHOIS-Datenbank, publizieren diese öffentlich im Internet oder verlangen sogar Geld für historische Daten.
Wer seine eigenen Daten schützen möchte, hat einen schweren Stand: Dass eine Intervention bei Swiss Registers nicht von Erfolg gekrönt sein wird, ahnt man schon. Aber auch SWITCH will mit der Angelegenheit nichts zu tun haben. Der Support wimmelt ab oder reagiert nicht. Erst mehrmaliges Nachhaken und ein persönlicher Kontakt veranlasst SWITCH den Datensammler (erfolglos) abzumahnen und darauf hinzuweisen,
dass Sie über einen bedeutend besseren Rechtsanspruch gegenüber swiss-register.ch verfügen als SWITCH als Registerbetreiberin. Es steht Ihnen frei, den Halter des Domain-Namens auf der Grundlage des Datenschutzgesetzes oder mit einer Persönlichkeitsrechtsklage in Anspruch zu nehmen.
Zu gut Deutsch soll sich also die betroffene Privatperson auf eigene Kosten international mit den Rechteverletzern auseinandersetzen – während das Datenleck bei SWITCH weiter offen steht.
Dieses muss jedoch an der Quelle geschlossen werden. Eine Beschränkung auf 25 Abfragen pro Minute reicht nicht. Source-IP-Adressen sind zur Verhinderung von missbräuchlichen Datenbankabfragen ungeeignet. Um dem Datenschutz genüge zu tun, könnten die Abfrage durch ein Captcha (dies könnte allenfalls sogar als reiner Text/ASCII-Art gelingen) oder ein Login geschützt werden. Oder es müsste möglich sein, die Adresse – wie im Telefonbuch auch – sperren zu lassen.
Von einer ähnlichen Problematik sind Leute betroffen, die im Handelsregister eingetragen sind. Daten, welche im Zefix veröffentlicht sind, werden von Moneyhouse übernommen, mit Daten von Schober «angereichert» und wieder veröffentlicht. Der Eidgenössische Datenschutzbeauftragte hat sich eben ausführlich mit dem Fall beschäftigt.
Aktuell läuft eine Vernehmlassung zur Änderung der gesetzlichen Bestimmungen zum Handelsregister. Hier soll im Art. 936 Abs. 3 und 4 OR folgendes festgelegt werden:
Der Bund veröffentlicht die Einträge sowie die Statuten und Stiftungsurkunden im Internet. […] In den im Internet zugänglich gemachten Einträgen des Handelsregisters ist eine Suche nach bestimmten Kriterien, insbesondere nach personenbezogenen und chronologischen Kriterien, zu ermöglichen.
Bestimmungen zum Datenschutz, eine Eingrenzung der Datenabfrage und eine Beschränkung des Anwendungszwecks fehlen. Der EDÖB hat sich – scheinbar wenig erfolgreich – in der Ämterkonsultation, die vor der Vernehmlassung stattgefunden hat, geäussert. Noch bis zum 5. April können Antworten eingereicht werden.