Om man besöker en webbplats som innehåller tjänster från tredje part, som till exempel Cookiebot eller Google Maps, kan man lätt upptäcka om sina användardata kan utsättas för osäkra tredjeland. En Whois-förfrågan visar omedelbart om det finns ett problem med dataskyddet.
Senast efter Eu-domstolens avgörande om Privacy Shield ("Schrems II") är det viktigt att veta vem ägare av en domän är. En domän är en symbolisk internetadress. Särskilt för utländska domäner är kunskapen om ägaren betydelsefull.
Vem tillhör en domän?
Denna fråga kan besvaras med en Whois-förfrågan.
Den som överför data till USA eller använder sig av amerikanska företags datalagring, bör endast göra detta efter användarens samtycke. Detta innebär att alla Googles tjänster för webbplatsägaren är uteslutna, som värderar högt rättslig säkerhet. Uppdatering: Samtycket för överföringen av data till USA är dock bundet till bestämmelserna i Artikel 49 DSGVO.
Genom att använda dessa verktyg riskerar man att lämna ut personuppgifter (som den nätverksadressen) till amerikanska bestämmelser som Cloud Act, FISA-lagen (särskilt avsnitt 702) eller Executive Order 12333. Detta står i strid med bland annat de bestämmelserna i artikel 44ff DSGVO.
En påverkad person som besöker en webbplats kan snabbt upptäcka till vem en given domän eller IP-adress är licensierad. För detta använder man sig av en löpande och kostnadsfri Whois-förfrågan.
En så kallad Whois-undersökning (även känd som WHOIS-Lookup) ger information om Registranten, som har registrerat domänen. För WHOIS-tjänster finns det många leverantörer som tillåter gratis frågor. Här är några av dessa leverantörer och administrativa myndigheter för internetadresser:
WHO.IS
Den här tjänsten är tillgänglig på adressen https://who.is.
Frågan är möjlig genom att skriva in domännamnet. Ett domännamn är till exempel google-analytics.com
Den här texten www. eller https:// som börjar med kommer att lämnas bort här!
Internetstiftelsen för identifiering av namn, nummer och adresser
ICANN är Internet Corporation for Assigned Names and Numbers. Den koordinerar utdelningen av unika namn och adresser på internet. Detta innefattar att koordinera Domain Name Systems (DNS) och att dela ut IP-adresser. DNS har till syfte att tilldela en symboliskt namn (domännamnet) den tekniska nätverksadress som hör till det. Denna tilldelning sker via ett namnservrar (Name Server), som representerar en DNS-tjänst.
ICANNs WHOIS-tjänst är tillgänglig på adressen https://lookup.icann.org/. Med den kan man både söka efter en domännamn (bara toppdomäner) som cookiebot.com och efter en IP-adress som 184.86.103.220.
Om du vill hitta en subdomän som till exempel consent.cookiebt.com måste du först hitta IP-adressen. Det går lätt med hjälp av ett webbläsare som Mozilla Firefox. För att göra detta öppnar man upp en sida som använder ett verktyg som Cookiebot och anropar den. Innan sidan har blivit uppkallad öppnas Entwicklarkonsolen med tangenten F12. I Entwicklarkonsolen öppnas Netzwerkanalys, man anropar webbsidan, man rör över symboliska adresser och ser IP-adresserna.
Den siffra som nämns vid slutet av adressen, 443, som skiljs från IP-adressen med ett dubbelsnitt, anger Port. Detta är för nuvarande obefintligt.
Om en adress inte hanteras av ICANN visas i resultatet av sökningen ett meddelande om vilken registratur som är ansvarig.
I Bild är även ägaren till adressen synlig, här: Akamai.
ICANN är den globala överorganisationen för domännamn och adresser. Den använder sig av fem Regionalagenturer, som, förenklat sagt, ansvarar för varje kontinent.
De regionala myndigheterna åker åt lokala registraturer, som till exempel DENIC för tyska domännamn. Varje lokal registratur samarbetar med partners som gör domänerna – oftast mot betalning – registrerbara. Dessa partner kallas Registrare.
| Term | Betydelse | Exempel |
|---|---|---|
| Registrerare | Tillåter registrering av domännamn | All-Inkl.com |
| Registerkansliet | Hanterar domännamn, även känd som registreringsplats | Tyskland .de-domän |
| Registrant | Person eller organisation som har registrerat en domän | Företag som har en internetadress |
| Regionala internetregister | En av fem globala platser som hanterar IP-adresser | RIPE NCC = RIPE Network Coordination Centre |
| Internetstiftelsen för identifiering av namn, nummer och adresser | Världsvid organisation för hantering av internetdomäner och -adresser | Internetstiftelsen för identifiering av namn, nummer och adresser |
ARIN och andra regionala enheter
ARIN står för American Registry for Internet Numbers. ARIN är underknut till ICANN och utgör en regional internetregistratur, som även RIPE tillhör. ARIN ansvarar bland annat för USA, medan RIPE bland annat ansvarar för Europa. Dessutom finns det APNIC, AFRINIC och LACNIC:
- ARIN: Nordamerika, Kanada, USA, delar av Karibien
- RIPE NCC: Europa, Mellanöstern, Centralasien
- APNIC: Asien och Stilla havet
- LACNIC: Latinamerika, delar av Karibien
- AFRINIC: Afrika
WHOIS-förfrågan från ARIN visar vilket amerikanskt företag som har tilldelats en internetadress.
Exempelvis kan man så här upptäcka att när man lägger till SoundCloud ljudtjänsten på en webbplats skapas ett datatransfer till en server från Amazon, Seattle/USA. Detta skulle vara enligt Artikel 44 ff DSGVO. Likaså kan man upptäcka att domänen consent.cookiebot.com, som bl.a. pekar på adressen 184.86.103.220, har licensierats till följande företag:
Detta innebär att man kan konstatera att införandet av Cookiebot på en webbplats för att genomföra en samtyckesfråga, innebär ett datatransfer som ligger i handen hos Akamai som amerikanskt företag. I detta fall kommer Akamai sannolikt även att fungera som leverantör av serverinfrastruktur genom att använda Akamai CDN för att distribuera Cookiebot-skript. En CDN är ett Content Delivery Network och utgör sådant som ett lastbalanserat, högpresterande och snabbt nätverk. Vid världsomspännande uppsatta CDNs uppstår frågor kring dataskydd. Därför bör man föredra CDN:s från europeiska leverantörer om problem med dataskydd ska undvikas.
RIPE NCC = RIPE Network Coordination Centre
RIPE NCC står för RIPE Network Coordination Center och är en internetregistratur som också ansvarar för Europa. RIPE betyder Réseaux IP Européens (europiska IP-nätverk).
WHOIS-förfrågan_ är tillgänglig på startsidan.
Om man skriver in en adress i RIPE:s sökfunktion som inte är under RIPE:s uppsikt, visas följande bild:
RIPE pekar också direkt på de andra registreringarna, från vilka den eftertraktade adressen kan hanteras.
Tyskland .de-domän
DENIC står för Deutsches Network Information Center. Det är en registrerad kooperativ (DENIC eG). DENIC hanterar domäner med suffixet .de, dvs de främst av tyska webbplatser använda domäner. Länderspecifika toppdomäner kallas också ccTLD. ccTLD betyder Country Code Top-Level-Domain. De länderövergripande domäner, som .com, hanteras av särskilda enheter, så att varje Top-Level-Domain hanteras av en viss registratur.
DENIC är medlem i RIPE och företräder enligt egen uppgift de tyska internetgemenskapens intressen i ICANN-grupperna.
Direkt på startsidan erbjuder DENIC en domänjakt. Via denna kan ägaren till en domän upptäckas.
Frågan visar tekniska detaljer, bland annat namnserver till domänen. Det är oftast servern hos leverantören (webbhotell), där innehållet för domänen lagras.
Information om domäninnehavaren är inte direkt tillgänglig. Som ägare av en domän kan man se data för utvärderingsändamål. Annars är insyn endast möjlig på grund av rättsliga nödvändigheter, exempelvis vid brottsutredning.
Mellanhänder: Tillhandahållare av domännamn
Om man vill driva en webbplats eller skicka e-post från sin egen domän, måste man reservera den tillhörande domänen. En domän är en adress som till exempel spiegel.de. I själva verket består sådana domännamn av ett primärt del (".de", även kallat Top Level Domain eller TLD) och ett sekundärt del ("spiegel", även kallad Second Level Domain eller SLD eller 2LD).
För registrering av sådana domäner finns det olika leverantörer. Från dataskyddssynpunkt bör en tysk eller europeisk leverantör användas.
Som negativa exempel kan nämnas två leverantörer som man bättre inte använder sig av när rätts säkerhet spelar en roll. Dessa leverantörer fungerar som mellanhänder och kallas även för registratör.
Namncheap
Namecheap är en populär leverantör av domännamn. Vem som helst som vill veta var Namecheaps huvudkontor ligger, bör förbereda sig på att spendera mycket tid med att leta eller här titta.
Namecheap, Inc. is a US-based company.
Namecheap Inc.
4600 East Washington Street
Svit 305
Förlagning, AZ 85034
USA
Källa: https://www.namecheap.com/support/knowledgebase/article.aspx/490/5/where-is-your-company-located/
MarkMonitor Inc.
MarkMonitor är också känd för att erbjuder domännamn. Till exempel är MarkMonitor som Registrant för domänen google-analytics.com uppgiven och driver en egen Whois-server under whois.markmonitor.com_
Laut Webbplats är MarkMonitor en varumärke av Clarivate Analytics. Först efter ett långt sökande får den intresserade dataskyddaren reda på var företagets säte för Clarivate respektive MarkMonitor Inc. ligger. Sannolikt är det ingen annan som bryr sig om detta, eftersom man hade dold denna uppgift i första hand.
Som kontaktpunkt hittar man tvetydigt följande:
Friars House 160 Blackfriars Road London SE1 8EZ United Kingdom
Clarivate Analytics (US) LLC 1500 Spring Garden Street Filadelfia, PA 19130 United States
Quelle: https://clarivate.com/privacy-center/notices-policies/privacy-policy/ (Abschnitt How you can contact us for privacy questions)
De två adresserna står precis så under varandra. Vilken av dem är väl relevant för Tyskland?
Även de nyckellägenavslöjar bara att det finns två ytterligare platser i Kina och Japan.
Lau Wikipedia enligt alla har MarkMonitor Inc. huvudkontoret i San Francisco, USA. Detta gör att ett datatransfer dit är kritiskt och bör endast ske efter användarens samtycke.
Sammandrag
Om en datatransfer sker till USA och därmed till ett ofta som osäkert betraktat tredje land, kan det med hjälp av en Whois-förfrågan fastställas.
Närhelst en datatransfer från USA förekommer eller ett amerikanskt företag är registrant eller registrar för en adress eller domän uppstår frågor om personuppgiftsskydd. Registranten är ägaren av en domän, registraren är mellanhänder som erbjuder och tekniskt hanterar en domän.
För vissa verktyg krävs inte ens en Whois-förfrågan för att anta eller bevisa ett datatransfer till USA. För Google Analytics har Google officiellt medgett att alla analyseringsdata alltid hanteras i USA. För den Google Tag Manager kan man enligt användarvillkoren visa att ett datatransfer sker genom ett amerikanskt företag och att data även hanteras i amerikanska serverhallar.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
