gekennzeichnet. 
Wer eine Webseite besucht, die Dienste Dritter einbindet, wie etwa Cookiebot oder Google Maps, kann leicht herausfinden, ob die eigenen Besucherdaten damit unsicheren Drittländern ausgesetzt sein können. Eine Whois-Abfrage zeigt sofort, ob ein Problem mit dem Datenschutz anzunehmen ist.
Spätestens nach dem Privacy Shield Urteil des EuGH (“Schrems II”) sollte ist es wichtig zu wissen, wer Inhaber einer Domäne ist. Eine Domäne ist eine symbolische Internetadresse. Insbesondere für ausländische Domänen ist das Wissen über den Inhaber erheblich.
Wem gehört eine Domain?
Diese Frage kann mit einer Whois-Abfrage beantwortet werden.
Wer Daten in die USA übertragt oder sich zur Datenverarbeitung amerikanischer Firmen bedient, sollte dies nur nach Einwilligung durch Nutzer tun. Damit scheiden sämtliche Dienste von Google für den Webseitenbetreiber aus, der Wert auf eine hohe Rechtssicherheit legt. Update: Die Einwilligung für den US-Datentransfer ist allerdings an die Vorschriften des Art. 49 DSGVO geknüpft.
Durch Einsatz dieser Tools begibt man sich in die Gefahr, personenbezogene Daten (wie die Netzwerkadresse) über amerikanische Vorschriften wie dem Cloud Act, dem FISA-Gesetz (insbesondere Sektion 702) oder der Executive Order 12333 auszusetzen. Dies steht u. a. den Vorschriften in Art. 44ff DSGVO entgegen.
Eine betroffene Person, die eine Webseite besucht, kann zu einer gegebenen Domäne oder IP-Adresse schnell herausfinden, auf wen diese Domäne oder Adresse zugelassen wurde. Dazu bedient man sich einer jederzeit ausführbaren und kostenfreien Whois-Abfrage.
Eine sogenannte Whois-Abfrage (auch als WHOIS-Lookup bezeichnet) gibt Informationen zum Registrant, der die Domäne registriert hat. Für WHOIS Dienste gibt es zahlreiche Anbieter, die kostenlose Abfragen erlauben. Hier sind einige dieser Anbieter und Verwaltungsstellen für Internetadressen:
WHO.IS
Dieser Dienst ist unter der Adresse https://who.is erreichbar.
Die Abfrage ist durch Eingabe des Domänennamens möglich. Ein Domänenname ist beispielsweise google-analytics.com
Der Text www. oder https:// am Anfang wird hier weggelassen!
ICANN
Die ICANN ist die Internet Corporation for Assigned Names and Numbers. Sie koordiniert die Vergabe von einmaligen Namen und Adressen im Internet. Dazu gehört die Koordination des Domain Name Systems (DNS) und die Zuteilung von IP-Adressen. DNS dient dazu, um einem symbolischen Namen (dem Domänennamen) die zugehörige technische Netzwerkadresse zuzuweisen. Diese Zuordnung geschieht über einen Namensserver (Name Server), der einen DNS-Service darstellt.
Der WHOIS-Dienst von ICANN ist unter der Adresse https://lookup.icann.org/ erreichbar. Damit kann sowohl nach einem Domänennamen (nur Top Level Domain) wie cookiebot.com gesucht werden als auch nach einer IP-Adresse wie 184.86.103.220.
Wer zu einer Subdomäne wie consent.cookiebt.com fündig werden will, muss hierfür die IP-Adresse herausfinden. Das geht mit einem Browser wie Mozilla Firefox recht einfach. Dazu ruft man eine Webseite auf, die die fragliche Adresse über die Nutzung eines Tools wie Cookiebot anspricht. Vor Aufruf der Webseite öffnet man die Entwicklerkonsole mit der Taste F12. In der Entwicklerkonsole öffnet man die Netzwerkanalyse, ruft die Webseite ab, fährt man mit der Maus über die symbolische Adresse und sieht die IP-Adresse dazu.
Die am Ende der Adresse genannte Zahl 443, die mit einem Doppelpunkt von der IP-Adresse getrennt ist, bezeichnet den Port. Dieser ist für die aktuelle Betrachtung unerheblich.
Wird eine Adresse nicht von ICANN verwaltet, erscheint im Ergebnis der Abfrage der Hinweis, welche Registratur zuständig ist.
Im Bild ist neben dem zuständigen WHOIS-Server auch der Inhaber der Adresse zu sehen (hier: Akamai).
Die ICANN ist die weltweite Dachorganisation für Domänennamen und Adressen. Sie bedient sich fünf Regionalagenturen, die, vereinfacht gesagt, jeweils für einen Kontinentalraum zuständig sind.
Die Regionalagenturen wiederum bedienen sich lokalen Registraturen, wie beispielsweise DENIC für deutsche Domänennamen. Jede lokale Registratur arbeitet mit Partnern zusammen, die die Domänen – meist gegen Geld – registrierbar machen. Diese Partner werden Registrare genannt.
| Begriff | Bedeutung | Beispiel |
|---|---|---|
| Registrar | Erlaubt das Registrieren von Domänennamen | All-Inkl.com |
| Registratur | Verwaltet Domänennamen, auch Registrierungsstelle genannt | DENIC |
| Registrant | Person oder Organisation, die eine Domäne registriert | Firma, die eine Internetadresse besitzt |
| Regionale Internetregistratur | Eine von fünf weltweiten Stellen, die IP-Adressen verwalten | RIPE NCC |
| ICANN | Weltweite Dachorganisation für die Verwaltung von Internet-Domänen und -Adressen | ICANN |
ARIN und andere Regionalstellen
ARIN steht für American Registry for Internet Numbers. Die ARIN ist der ICANN untergliedert und stellt eine regionale Internetregistratur dar, zu denen auch RIPE gehört. ARIN ist unter anderem für die USA zuständig, RIPE unter anderem für Europa. Daneben gibt es noch APNIC, AFRINIC und LACNIC:
- ARIN: Nordamerika, Kanada, USA, Teile der Karibik
- RIPE NCC: Europa, Mittlerer Osten, Zentralasien
- APNIC: Asien, Pazifikraum
- LACNIC: Lateinamerika, Teile der Karibik
- AFRINIC: Afrika
Die WHOIS-Abfrage von ARIN zeigt, welchem amerikanischen Unternehmen eine Internet-Adresse zugeordnet ist.
Beispielsweise kann man so herausfinden, dass beim Einbinden des SoundCloud Audio Dienstes auf einer Webseite ein Datentransfer zu einem Server von Amazon, Seattle/USA hergestellt wird. Dies wäre einwilligungspflichtig gemäß Art. 44 ff DSGVO. Ebenso kann man herausfinden, dass die Domäne consent.cookiebot.com, die u. a. auf die o.g. Adresse 184.86.103.220 zeigt, auf folgendes Unternehmen zugelassen wurde:
Somit kann festgestellt werden, dass die Einbindung von Cookiebot auf einer Webseite, um eine Einwilligungsabfrage zu realisieren, einen Datentransfer bedeutet, der in der Hand von Akamai als amerikanischem Unternehmen liegt. Akamai wird in diesem Fall wahrscheinlich sogar als Anbieter der Server-Infrastruktur fungieren, indem das Akamai CDN genutzt wird, um Cookiebot Scripte auszuspielen. Ein CDN ist ein Content Delivery Network und stellt so etwas wie ein lastverteiltes, hochverfügbares, schnelles Netzwerk dar. Bei weltweit aufgestellten CDNs entstehen Datenschutzfragen. Daher sind CDNs rein europäischer Anbieter zu bevorzugen, wenn Probleme mit dem Datenschutz vermieden werden sollen.
RIPE NCC
RIPE NCC steht für RIPE Network Coordination Center und ist eine Internetregistratur, die auch für Europa zuständig ist. RIPE bedeutet Réseaux IP Européens (Europäische IP-Netze).
Die WHOIS-Abfrage ist auf der Einstiegsseite zugänglich.
Gibt man in der RIPE Adressabfrage eine Adresse ein, die nicht von RIPE verwaltet wird, erscheint folgendes Bild:
RIPE verweist also direkt auf die anderen Registraturen, von denen die gesuchte Adresse verwaltet werden kann.
DENIC
DENIC steht für Deutsches Network Information Center. Es handelt sich um eine eingetragene Genossenschaft (DENIC eG). DENIC verwaltet die Domänen mit der Endung .de, also die vor allem von deutschen Webseiten genutzten Domänen. Länderspezifische Top-Level-Domains werden auch ccTLD genannt. ccTLD bedeutet Country Code Top-Level-Domain. Die länderübergreifenden Domänen, wie .com, werden von eigens benannten Stellen verwaltet, sodass jede Top-Level-Domain von einer bestimmten Registratur verwaltet wird.
DENIC ist Mitglied von RIPE und vertritt laut eigener Aussage in den ICANN-Arbeitsgruppen die Interessen der deutschen Internetgemeinschaft.
Direkt auf der Startseite bietet DENIC eine Domänenabfrage an. Über diese kann der Inhaber einer Domäne herausgefunden werden.
Die Abfrage zeigt technische Details an, darunter den Nameserver zur Domäne. Dies ist meist der Server des Anbieters (Web Hosters), auf dem Inhalte zur Domäne gespeichert werden.
Angaben zum Domaininhaber sind nicht direkt abrufbar. Als Inhaber einer Domäne kann man die Daten zu Prüfungszwecken einsehen. Ansonsten ist eine Einsichtnahme nur aufgrund von rechtlichen Notwendigkeiten möglich, etwa zur Strafverfolgung.
Zwischenhändler: Anbieter von Domänennnamen
Wer eine Webseite betreiben möchte oder E-Mails von einer eigenen Domäne verschicken möchte, muss die zugehörige Domäne für sich reservieren. Eine Domäne ist eine Adresse wie etwa spiegel.de. Genau genommen bestehen derartige Domänennamen aus einem primären Teil (“.de”, auch als Top Level Domain oder TLD bezeichnet) und einem sekundären Teil (“spiegel”, auch als Second Level Domain oder SLD oder 2LD bezeichnet).
Für die Registrierung solcher Domänen gibt es verschiedene Anbieter. Aus Datenschutzsicht sollte ein deutscher oder europäischer Anbieter genutzt werden.
Als Negativbeispiele seien zwei Anbieter genannt, die man besser nicht nutzt, wenn Rechtssicherheit eine Rolle spielt. Diese Anbieter fungieren als Zwischenhändler und werden auch als Registrar bezeichnet.
Namecheap
Namecheap ist ein populärer Anbieter von Domänennamen. Wer schon immer wissen wollte, wo der Firmensitz von Namecheap ist, sollte viel Zeit zum Suchen mitbringen oder hier nachsehen.
Namecheap, Inc. is a US-based company.
Namecheap Inc.
4600 East Washington Street
Suite 305
Phoenix, AZ 85034
USA
Quelle: https://www.namecheap.com/support/knowledgebase/article.aspx/490/5/where-is-your-company-located/
MarkMonitor Inc.
Auch MarkMonitor ist bekannt dafür Domänennamen anzubieten. Beispielsweise ist MarkMonitor als Registrar der Domäne google-analytics.com genannt und betreibt einen eigenen Whois-Server unter whois.markmonitor.com.
Laut Webseite ist MarkMonitor eine Marke von Clarivate Analytics. Erst nach längerem Suchen erfährt der geneigte Datenschützer, wo der Firmensitz von Clarivate bzw. MarkMonitor Inc. ist. Wahrscheinlich interessiert sich ansonsten niemand dafür, denn sonst hätte man diese Angabe nicht so gut versteckt.
Als Kontaktadresse findet sich zweideutig folgendes:
Friars House
160 Blackfriars Road
London SE1 8EZ
United KingdomClarivate Analytics (US) LLC
Quelle: https://clarivate.com/privacy-center/notices-policies/privacy-policy/ (Abschnitt How you can contact us for privacy questions)
1500 Spring Garden Street
Philadelphia, PA 19130
United States
Die beiden Adressen stehen genau so untereinander. Welche wohl für Deutschland relevant ist?
Auch die Key Locations verraten nur, dass es noch zwei weitere Standort in China und Japan gibt.
Lau Wikipedia jedenfalls hat MarkMonitor Inc. den Hauptsitz in San Francisco, USA. Damit erscheint ein Datentransfer dorthin als kritisch und sollte nur nach Nutzereinwilligung stattfinden.
Fazit
Ob ein Datentransfer in die USA, und somit in ein oft als unsicher bezeichnetes Drittland stattfindet, kann mithilfe einer Whois-Abfrage festgestellt werden.
Wann immer ein USA-Datentransfer vorliegt oder ein US-Unternehmen der Registrant oder Registrar einer Adresse oder Domäne ist, entstehen datenschutzrechtliche Fragen. Registrant ist der Inhaber einer Domäne, Registrar ist der Zwischenhändler, der eine Domäne anbietet und technisch verwaltet.
Für bestimmte Tools bedarf es nicht einmal einer Whois-Abfrage, um einen Datentransfer in die USA anzunehmen oder nachzuweisen. Für Google Analytics hat Google offiziell zugegeben, sämtliche Analyse-Daten immer in den USA zu verarbeiten. Für den Google Tag Manager lässt sich anhand der Nutzungsbedingungen zeigen, dass ein Datentransfer durch ein amerikanisches Unternehmen stattfindet und Daten auch in amerikanischen Rechenzentren verarbeitet werden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen 
Hallo Herr Meffert,
heute habe ich ein ganz anderes anliegen und ich mache weder Scherze, noch will ich Sie „veräppeln“:
Auf Grund eines gegebenen Anlasses aus der letzten Woche kann ich folgendes sagen:
Im Moment läuft eine größere, gefährliche Angriffswelle auf „kleine“ Domain-Besitzer.
Hauptangriffsziel sind Webseiten, die mit «Wordpress» betrieben werden.
Dazu nur ein Stichwort, die Malware heißt: «AnonymousFox». Das ist ein Cracker gegen WordPress, Joomla, Drupal, etc.
Beispiel (6 aus ca. 60):
xxxxxxxxxxxxx.com anon-65-21-255-69.your-server.de – – [23/Sep/2022:20:38:59 +0200] “GET /shell4.php HTTP/1.1” 301 246 “www.google.com” “Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36”
xxxxxxxxxxxxx.com anon-65-21-255-69.your-server.de – – [23/Sep/2022:20:39:22 +0200] “GET /saudi.php HTTP/1.1” 301 245 “www.google.com” “Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36”
xxxxxxxxxxxxx.com anon-116-203-146-114.your-server.de – – [25/Sep/2022:10:32:06 +0200] “GET /admin.php HTTP/1.1” 301 245 “anonymousfox.co” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36”
xxxxxxxxxxxxx.com anon-116-203-146-114.your-server.de – – [25/Sep/2022:10:33:16 +0200] “GET /wp-booking.php HTTP/1.1” 301 250 “anonymousfox.co” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36”
xxxxxxxxxxxxx.com anon-116-203-146-114.your-server.de – – [25/Sep/2022:10:33:36 +0200] “GET /wp-1ogin_bak.php HTTP/1.1” 301 252 “anonymousfox.co” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36”
xxxxxxxxxxxxx.com anon-116-203-146-114.your-server.de – – [25/Sep/2022:10:34:39 +0200] “POST /wp-includes/css/wp-config.php HTTP/1.1” 301 265 “anonymousfox.co” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36”
Soweit ich das in den letzten drei Tagen entschlüsseln konnte, kommt für mich folgendes Bild zustande:
Es ist ein internationaler Ring am Werk, der sich mindestens aus Deutschland, Niederlande und Russland zusammen setzt.
Dabei sind Server von your-server.de, timeweb.ru, evtl. auch yandex.ru und ntup.net beteiligt, es ist auch ein githubusercontent.com involviert.
Siehe dazu:
Ok, vielleicht ist das für Sie ein alter Hut, dann bitte ich um Entschuldigung, wenn nicht seien Sie vorgewarnt.
Wenn sich mein Stress etwas gemildert hat, werde ich mich bei Ihnen im Klartext melden.
Besten Gruss
hjr