Chiunque visiti un sito web che integra servizi di terze parti, come Cookiebot o Google Maps, può facilmente scoprire se i dati dei propri visitatori possono essere esposti a Paesi terzi non sicuri. Un'interrogazione Whois mostra immediatamente se è probabile che ci siano problemi di protezione dei dati.
Dopo il giudizio Privacy Shield del Tribunale di Giustizia dell'Unione Europea ("Schrems II") è importante sapere chi è il proprietario di un dominio. Un dominio è una indirizzo internet simbolico. In particolare per i domini esteri, conoscere il proprietario è molto importante.
Chi possiede un dominio?
A questa domanda si può rispondere con una query Whois.
Chi trasmette dati negli Stati Uniti o si avvale dei servizi di elaborazione dati delle aziende americane dovrebbe farlo soltanto dopo l'autorizzazione degli utenti. Ciò esclude tutti i servizi di Google per il gestore del sito web che dà importanza alla massima sicurezza giuridica. Aggiornamento: L'autorizzazione al trasferimento dei dati negli Stati Uniti è comunque legata alle norme dell'Art. 49 GDPR.
Utilizzando questi strumenti si corre il rischio di esporre dati personali (come l'indirizzo di rete ) a normative statunitensi come la Legge sul Cloud, il FISA Act (in particolare sezione 702) o l'Ordine esecutivo 12333. Ciò contrasta con le norme di cui agli artt. 44 ff della GDPR .
Una persona interessata che visita un sito web può facilmente scoprire a chi è stata assegnata una data o un'indirizzo IP specifico. Per farlo si utilizza una query Whois eseguibile in qualsiasi momento e gratuita.
Una cosiddetta Whois-Abfrage (anche denominata WHOIS-Lookup) fornisce informazioni sul Registrant, che ha registrato il dominio. Per i servizi WHOIS esistono numerose aziende che consentono richieste gratuite. Ecco alcuni di questi fornitori e Uffici per l'amministrazione delle adresse internet:
WHO.IS
Questo servizio è raggiungibile all'indirizzo https://who.is.
La ricerca è possibile mediante inserimento del nome di dominio. Un nome di dominio, ad esempio, è google-analytics.com
Il testo www. o https:// all'inizio viene qui omesso!
ICANN
La ICANN è la Internet Corporation for Assigned Names and Numbers. Coordinata l'assegnazione di nomi e indirizzi univoci nell'internet. Ciò comprende la coordinazione del Domain Name Systems (DNS) e l'assegnazione di indirizzi IP. Il DNS serve a assegnare al nome simbolico (il nome dominio) l'indirizzo tecnico della rete corrispondente. Questa assegnazione avviene attraverso un server dei nomi (Name Server), che rappresenta un servizio DNS.
Il servizio WHOIS di ICANN è raggiungibile all'indirizzo https://lookup.icann.org/. Con esso si può cercare sia un nome di dominio (solo Top Level Domain) come cookiebot.com che un indirizzo IP come 184.86.103.220.
Chi vuole trovare una sottodominio come consent.cookiebt.com deve prima individuare l'indirizzo IP. Ciò può essere fatto con un browser come Mozilla Firefox. Per farlo, si apre una pagina web che richiede l'indirizzo in questione utilizzando uno strumento come Cookiebot. Prima di caricare la pagina web, si apre la console dello sviluppatore con il tasto F12. Nella console dello sviluppatore si apre l'analisi del network, si carica la pagina web, ci si sposta con il mouse sulla rappresentazione dell'indirizzo e si vede l'indirizzo IP.
La numero 443 citato alla fine dell'indirizzo, separato dalla IP-Adresse da due punti, indica il Port. Questo è irrilevante per la considerazione attuale.
Se un indirizzo non è amministrato dall'ICANN, il risultato dell'interrogazione indicherà il registro responsabile.
Nell'immagine è visibile, oltre al server WHOIS competente, anche il proprietario dell'indirizzo (qui: Akamai).
La ICANN è l'organizzazione mondiale per i nomi di dominio e gli indirizzi. Si avvale di cinque agenzie regionali, che, in poche parole, sono responsabili ciascuna di un continente.
Le agenzie regionali utilizzano a loro volta registrazioni locali, ad esempio DENIC per i nomi di dominio tedeschi. Ogni registrazione locale lavora con partner che rendono le domene registrabili – spesso a pagamento. Questi partner vengono chiamati Registrare.
| Termine | Significato | Esempio |
|---|---|---|
| Registro | Consente la registrazione di nomi di dominio | All-Inkl.com |
| Registratur | Gestisce i nomi di dominio, chiamati anche registro | DENICO |
| Registrant | Persona o organizzazione che registra un dominio | Azienda che ha un indirizzo Internet |
| Regionale Internetregistratur | Una delle cinque organizzazioni globali che gestiscono gli indirizzi IP | RIPE NCC |
| ICANN | Organizzazione globale per l'amministrazione dei domini e degli indirizzi internet | ICANN |
ARIN e altri uffici regionali
ARIN sta per American Registry for Internet Numbers. L'ARIN è sottoposto all'ICANN e rappresenta una registrazione internet regionale, a cui appartiene anche il RIPE. L'ARIN si occupa, tra l'altro, degli Stati Uniti, mentre il RIPE si occupa, tra l'altro, dell'Europa. Esistono poi il APNIC, l'AFRINIC e il LACNIC:
- ARIN: Nord America, Canada, USA, parti dei Caraibi
- RIPE NCC: Europa, Medio Oriente, Asia Centrale
- APNIC: Asia, regione del Pacifico
- LACNIC: America Latina, parti dei Caraibi
- AFRINIC: Africa
La richiesta WHOIS di ARIN mostra a quale azienda americana è associata un'indirizzo internet.
Esempi di come si può scoprire che l'inserimento del SoundCloud servizio audio su un sito web comporta il trasferimento dei dati a un server di Amazon, Seattle/USA, il che sarebbe conforme all'Art. 44 ff GDPR. Allo stesso modo si può scoprire che la domanda consent.cookiebot.com, che ad esempio punta sull'indirizzo IP 184.86.103.220, è stata registrata a un certo [9]azienda:
Quindi si può stabilire che l'integrazione di Cookiebot su un sito web per realizzare una richiesta di consenso comporta il trasferimento dei dati, che è nelle mani di Akamai come azienda americana. In questo caso Akamai probabilmente fungerà anche da fornitore dell'infrastruttura del server utilizzando l'Akamai CDN per distribuire i script di Cookiebot. Un CDN (Content Delivery Network) è un tipo di rete di distribuzione dei contenuti che rappresenta una sorta di rete distribuita, affidabile e veloce. In caso di CDNs installate in tutto il mondo si pongono problemi relativi alla protezione dei dati. Pertanto, i CDN di fornitori europei sono da preferire per evitare problemi con la protezione dei dati.
RIPE NCC
RIPE NCC significa RIPE Network Coordination Center e è un registro Internet che copre anche Europa. RIPE significa Réseaux IP Européens (Rete IP europea).
La WHOIS-ricerca è disponibile sulla pagina di accesso.
Se si inserisce un indirizzo nella RIPE address query che non è gestito da RIPE, appare la seguente schermata:
Il RIPE rimanda quindi direttamente agli altri registri da cui è possibile gestire l'indirizzo ricercato.
DENICO
DENIC rappresenta il Deutsches Network Information Center. Si tratta di una società cooperativa (DENIC eG) registrata. DENIC gestisce le domine con l'estensione .de, quindi quelle utilizzate soprattutto da siti web tedeschi. Le top-level domain specifiche per paese vengono anche chiamate ccTLD. ccTLD significa Country Code Top-Level-Domain. Le domine interstatali, come .com, sono gestite da strutture denominate a seconda del caso, quindi ogni Top-Level-Domain è gestita da una determinata registrazione.
DENIC è membro di RIPE e rappresenta, secondo la sua stessa affermazione, gli interessi della comunità internet tedesca nelle commissioni ICANN.
Direttamente sulla home page offre DENIC una ricerca di dominio. Con essa si può scoprire il proprietario di un dominio.
La query visualizza i dettagli tecnici, compreso il server del nome del dominio. Di solito si tratta del server del provider (host web) su cui è memorizzato il contenuto del dominio.
Non è possibile accedere direttamente alle informazioni sul titolare del dominio. In qualità di proprietario di un dominio, è possibile visualizzare i dati a scopo di verifica. Altrimenti, l'accesso è possibile solo per motivi legali, come ad esempio per un procedimento penale.
Intermediari: fornitori di nomi di dominio
Chi vuole gestire un sito web o inviare e-mail da una propria domanda, deve riservare la relativa domana. Una domana è un indirizzo come ad esempio spiegel.de. Precisamente tali nomi di dominio sono composti da un primo elemento (".de", anche chiamato Top Level Domain o TLD) e da un secondo elemento ("spiegel", anche chiamato Second Level Domain o SLD o 2LD).
Esistono diversi provider per la registrazione di tali domini. Dal punto di vista della protezione dei dati, è opportuno utilizzare un provider tedesco o europeo.
Come esempi negativi sono da considerare due fornitori che non si dovrebbero utilizzare se la sicurezza giuridica è in questione. Questi fornitori fungono da intermediari e vengono anche chiamati Registrar.
Namecheap
Namecheap è un popolare fornitore di nomi a dominio. Chi ha sempre voluto sapere dove si trova la sede dell'azienda Namecheap, dovrebbe portare molto tempo per cercare o guardare qui .
Namecheap, Inc. is a US-based company.
Namecheap Inc.
4600 East Washington Street
Suite 305
Phoenix, AZ 85034
STATI UNITI D'AMERICA
Fonte: https://www.namecheap.com/support/knowledgebase/article.aspx/490/5/where-is-your-company-located/
MarkMonitor Inc.
Anche MarkMonitor è noto per offrire nomi a dominio. Ad esempio, MarkMonitor è registrato come Registrar della domaina google-analytics.com e gestisce un proprio server Whois sotto whois.markmonitor.com.
Il sito web è MarkMonitor una marca di Clarivate Analytics. Solo dopo una ricerca prolungata il rispettoso tutelatore della privacy scopre dove si trova la sede dell'azienda di Clarivate o MarkMonitor Inc. Probabilmente non interessa a nessuno altrimenti avrebbero nascosto questa informazione.
Il seguente indirizzo di contatto è ambiguo:
Friars House 160 Blackfriars Road Londra SE1 8EZ United Kingdom
Clarivate Analytics (US) LLC 1500 Spring Garden Street Filadelfia, PA 19130 United States
Quelle: https://clarivate.com/privacy-center/notices-policies/privacy-policy/ (Abschnitt How you can contact us for privacy questions)
I due indirizzi sono esattamente uguali. Quale dei due è rilevante per la Germania?
Anche le Location chiave rivelano solo che ci sono altri due siti in Cina e Giappone.
Lau Wikipedia in ogni caso ha MarkMonitor Inc. la sede principale a San Francisco, USA. Ciò significa che un trasferimento di dati verso di essa è critico e dovrebbe avvenire solo con l'autorizzazione dell'utente.
Conclusione
Il trasferimento di dati verso gli Stati Uniti, e quindi verso un Paese terzo spesso etichettato come non sicuro, può essere determinato con l'aiuto di un'interrogazione Whois.
Ogni volta che si verifica un trasferimento di dati negli Stati Uniti o che una società statunitense è il registrante o il registrar di un indirizzo o di un dominio, sorgono problemi di protezione dei dati. Il registrante è il proprietario di un dominio, il registrar è l'intermediario che offre e gestisce tecnicamente un dominio.
Per certi strumenti non è neanche necessaria una richiesta Whois per accettare o dimostrare un trasferimento di dati negli Stati Uniti. Per il Google Analytics Google ha ufficialmente ammesso che tutti i dati di analisi vengano sempre elaborati negli Stati Uniti. Per il Google Tag Manager si può dimostrare, in base alle condizioni d'uso, che un trasferimento di dati avviene tramite un'azienda americana e i dati vengono anche elaborati nei centri di elaborazione dei dati americani.
Messaggi chiave
Utilizzando un Whois lookup puoi scoprire chi possiede un sito web e se i tuoi dati potrebbero essere esposti a rischi per la privacy.
È possibile scoprire a quale azienda un indirizzo internet appartiene tramite strumenti come WHOIS.
L'utilizzo di servizi come Cookiebot per il consenso sui cookie comporta il trasferimento dei dati a fornitori americani come Akamai, sollevando preoccupazioni per la protezione dei dati. È preferibile utilizzare CDNs europei per evitare tali problemi.
È importante scegliere un provider di nomi di dominio tedesco o europeo per proteggere i dati, perché i provider americani potrebbero trasferire i dati negli Stati Uniti, dove la protezione dei dati potrebbe non essere così elevata.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
