Wer derzeit eine .de-Domain abfragt, sieht mehr als noch vor wenigen Monaten. Seit dem 6. Dezember 2025 gelten neue Vorgaben für Registrierungsdaten. Grundlage ist die nationale Umsetzung der europäischen NIS-2-Richtlinie. Für Domaininhaber bedeutet dies, dass die Spielräume bei der Anonymität enger werden, die Anforderungen an korrekte Angaben steigen. Die DENIC hat ihre Domainabfrage entsprechend angepasst. Ziel der Neuregelung ist es, hinter jeder Domain eine klar identifizierbare Zuständigkeit sicherzustellen, ohne dabei die datenschutzrechtlichen Schutzmechanismen vollständig preiszugeben. Der Spagat zwischen Transparenz und Datenschutz wird damit neu austariert.
Der Provider wird sichtbar
Bei jeder .de-Domain wird künftig das zuständige DENIC-Mitglied genannt. Es handelt sich um den Provider, über den die Registrierung läuft. Die Anzeige erfolgt unabhängig vom Inhabertyp. Damit steht zu jeder Domain zumindest ein administrativ verantwortlicher Ansprechpartner fest. Selbst wenn personenbezogene Daten des Inhabers aus Datenschutzgründen nicht veröffentlicht werden, bleibt der Registrierungsweg nachvollziehbar. Für Ermittlungsbehörden, Rechteinhaber oder Sicherheitsforscher ist das ein nicht unerheblicher Fortschritt.
Klare Trennung zwischen Unternehmen und Privatpersonen
Die neue Regelung unterscheidet deutlich zwischen juristischen und natürlichen Personen – eine Differenzierung, die bereits aus der DSGVO-Praxis bekannt ist, nun jedoch regulatorisch präzisiert wird.
Juristische Personen werden (etwas) blank gezogen
Bei Unternehmen, Vereinen oder sonstigen Organisationen werden künftig öffentlich sichtbar:
- Name und Anschrift des Domaininhabers
- E-Mail-Adresse und Telefonnummer
- Datum der Registrierung
- Name und Kontaktdaten des zuständigen DENIC-Mitglieds
Wer eine Domain geschäftlich nutzt, muss folglich damit rechnen, dass vollständige Kontaktdaten öffentlich abrufbar sind. Die Transparenz steigt deutlich. Das ist politisch gewollt – insbesondere im Kontext von Missbrauchsbekämpfung, Phishing-Abwehr und IT-Sicherheitsvorfällen.
Natürliche Personen erhalten mehr Schutz
Anders verhält es sich bei privaten Domaininhabern. Hier bleiben personenbezogene Daten weiterhin geschützt. Öffentlich einsehbar sind lediglich:
- Datum der Domainregistrierung
- Name und Kontaktdaten des zuständigen DENIC-Mitglieds
Die Identität privater Inhaber wird nicht offengelegt. Der Kontakt erfolgt weiterhin mittelbar über den Provider. Damit bleibt das datenschutzrechtliche Schutzkonzept im Kern bestehen.
Gestufter Zugang bleibt erhalten
Unverändert bleibt das bereits seit der DSGVO etablierte Zugangsmodell. Domaininhaber können ihre hinterlegten Daten nach entsprechender Legitimation einsehen. Dritte – etwa Rechteinhaber oder Behörden – erhalten bei berechtigtem Interesse und nach Einzelfallprüfung Zugriff auf nicht öffentliche Informationen. Das Prinzip lautet weiterhin: Öffentlichkeit dort, wo regulatorisch erforderlich – Einzelfallprüfung dort, wo sensible Daten betroffen sind. Die neue Regelung verschiebt die Schwelle, hebt sie aber nicht auf.
Zweite Phase ab April 2026: Risikoprüfung von Registrierungsdaten
Mit dem 14. April 2026 beginnt eine weitere Umsetzungsstufe. Dann unterzieht DENIC Contact- und Domainaufträge einem systematischen Risk Assessment. Die DENIC prüft Registrierungsdaten automatisiert auf Plausibilität und mögliche Auffälligkeiten. Stellt sie Unstimmigkeiten fest, fordert sie das zuständige DENIC-Mitglied zur Verifizierung auf. Bleibt eine Klärung innerhalb der vorgesehenen Fristen aus, versetzt die DENIC die Domain zunächst in Quarantäne und löscht sie anschließend gegebenenfalls. In den ersten drei Wochen informiert DENIC betroffene Inhaber zusätzlich per E-Mail über eingeleitete Maßnahmen. Damit entsteht faktisch eine neue Qualität der Kontrolle: Nicht nur die Veröffentlichung ändert sich, sondern auch die laufende Überprüfung der hinterlegten Daten.
Was das für Domaininhaber bedeutet
Für Unternehmen bedeutet die Neuregelung vor allem eines: Die hinterlegten Kontaktdaten müssen korrekt, vollständig und dauerhaft aktuell sein. Da sie künftig öffentlich einsehbar sind, führen Fehler nicht nur zu regulatorischen Problemen, sondern unter Umständen auch zu Reputationsrisiken. Private Inhaber bleiben zwar weiterhin geschützt, allerdings greifen im Hintergrund strengere Prüfmechanismen. Unvollständige oder falsche Angaben können künftig schneller zu Maßnahmen führen. Mit der Anpassung der WHOIS-Abfrage verschiebt sich der Schwerpunkt klar in Richtung Nachvollziehbarkeit und Sicherheit. Die .de-Domain bleibt datenschutzsensibel – wird regulatorisch jedoch deutlich enger geführt als bisher. Die Zeiten anonymer oder halbvalider Registrierungsdaten nähern sich damit, zumindest im .de-Raum, ihrem Ende.
Was interessiert mich der Provider, über den die Domain läuft? Relevant für bspw. Rechteinhaber ist doch hingegen der Provider des Servers, auf den die Domain zeigt. Und der war auch vorher schon einseh- bzw. ohne viel Aufwand herausfindbar. Aber ich sehe schon, in welche Richtung das geht. Stichwort: DNS-Sperre. Man möchte nicht bloss eine Domain ISP-seitig sperren können, sondern möchte die auch löschen oder gar übernehmen. Quasi nach US-amerikanischem Vorbild. Denn der Server hinter einer de-Domain entzieht sich deutschem Recht, wenn er nicht auch in Deutschland steht. Sprich, die deutschen Behörden haben absolut keine Handhabe gegen einen Server in bspw. Armenien, Afghanistan oder Tschetschenien nur weil da eine de-Domain draufzeigt und auf ggf. nach deutschem Recht illegales Material enthält.
Ich bin ehrlich gespannt, wie lange es geht, bis man auch als Privatperson gewzungend wird, seine Telefonnummer den WHOIS-Daten hinzuzufügen. Das öffnet Spam und Scam Tür und Tor, denn als Privatperson verfügt man in der Regel schlicht nicht um die notwendigen Mittel der Abwehr im Gegensatz zu einer Firma.
Davon mal abgesehen: Wie blöd muss man sein, eine de-Domain zu registrieren, wenn auf dem dahinterliegenden Server potenziell illegales oder zumindest fragwürdiges Material oder Dienste in der Richtung gehostet werden sollen? Da nimmt man lieber eine Domain eines von Armut erschütterten Südseeinselstaats. Denn der stellt keinerlei Fragen solange regelmässige Zahlungen verbucht werden.