Einreichung von UDRP-Beschwerden nach der DSGVO: Ein Leitfaden für Markeninhaber

In der Vergangenheit haben sich Markeninhaber und ihre Vertreter in hohem Maße auf diesen Massenzugriff auf die Daten der Registranten verlassen, um Informationen über Registranten und Cybersquatter zu sammeln, die das DNS missbrauchen. Die neuen Beschränkungen, die die DSGVO für den Zugriff auf die Daten der Registranten auferlegt, bergen die Gefahr, dass Markeninhaber im Namen ihrer UDRP-Befragten auf neue Kriterien zurückgreifen müssen, um das Fehlen eines berechtigten Interesses oder das Vorhandensein von Bösgläubigkeit nachzuweisen.

Während die Bedingungen für die Einreichung einer UDRP nach der DSGVO unverändert bleiben, besteht die Gefahr, dass die Fähigkeit der Beschwerdeführer, die Entscheidungskriterien der Verwaltungsgremien zu erfüllen, nach der DSGVO erheblich beeinträchtigt wird. Um den UDRP-Prozess nach der DSGVO für die beteiligten Parteien zu klären, hat die Weltorganisation für geistiges Eigentum (WIPO) die wichtigsten Fragen in einer informellen Fragerunde zu diesem Thema behandelt.

Während öffentlich verfügbare WHOIS-Daten möglicherweise keine Domänenregistrantenkennungen mehr enthalten (wie etwa den Namen des Registranten und die administrativen, abrechnungsbezogenen und technischen Kontakte der Domäne), wies die WIPO darauf hin , dass es für Markeninhaber immer noch möglich wäre, das UDRP-Verfahren gegen den Beklagten für die umstrittene Domäne einzuleiten, indem sie als Details des Registranten die im öffentlich zugänglichen WHOIS bereitgestellten Datensatzergebnisse angeben, z. B. „PRIVACY REDACTED“. Dies unterscheidet sich nicht von dem, was zuvor in Fällen erforderlich war, in denen die Daten des Registranten durch Proxy- und Datenschutzdienste geschützt waren (gemäß Tencent Technology (Shenzhen) Co.Ltd v. Super Privacy Service, WIPO-Fall Nr. D2018-0391 ).

Zum Zeitpunkt der Fragen und Antworten war der Ansatz hinsichtlich der Anwendung noch nicht harmonisiert: Einige Registrare gaben an, dass sie möglicherweise auch im Zusammenhang mit dem Datenfeld „Organisation“ eingeschränkten Zugriff anwenden würden, wobei sie das mögliche Problem von Einzelunternehmen, also gewerblichen Unternehmen, die den Namen einer Einzelperson tragen, berücksichtigen würden. Ebenso könnten Registrare ohne Niederlassung in der Europäischen Union (EU) möglicherweise nicht unbedingt bei allen ihren Registrierungen eine Schwärzung der WHOIS-Daten vornehmen. Stattdessen könnten diese Registrare WHOIS-Daten nur im Zusammenhang mit natürlichen Personen mit Sitz in der EU schwärzen.

Wie im Fall, dass die Identität des Beklagten durch Datenschutzdienste geschützt ist, sind ICANN-akkreditierte Registrare theoretisch verpflichtet, dem interessierten UDRP-Anbieter nach Einreichung der UDRP-Beschwerde vollständige Registrierungsdaten bereitzustellen. Gemäß mehreren Kommentaren zur DSGVO wäre die Datenweitergabe im Namen des Registrars in diesem Zusammenhang sowohl durch Artikel 6.1(f) – berechtigtes Interesse – als auch durch Artikel 6.1(b) – Erfüllung eines Vertrags – legitimiert.

Wenn ein UDRP-Anbieter die Informationen des Angeklagten vom Registrar erhält, übermittelt er diese an den Beschwerdeführer und ermöglicht so die Änderung der ursprünglichen Beschwerde mit den neu erhaltenen Informationen über den Angeklagten. Aufgrund der Unzulänglichkeiten im Registrar Accreditation Agreement (RAA) von ICANN in Bezug auf die DSGVO besteht jedoch insbesondere das Risiko, dass Registrare sich weigern könnten, dem UDRP-Anbieter den erforderlichen Datensatz bereitzustellen, oder weitere Informationen zum betreffenden Fall anfordern, bevor sie der Datenweitergabe zustimmen.

Aus rechtlicher Sicht kann der Nachweis des Fehlens eines berechtigten Interesses des Beklagten für den Markeninhaber per se eine erhebliche Herausforderung darstellen [1]. Eine solche Beweislast könnte ohne Kenntnis der Identität des Registranten kaum erfüllt werden.

In diesen Fällen gibt die WIPO keine allgemeine Antwort, sondern plädiert für eine Lösungsfindung im Einzelfall sowie für die Möglichkeit, sich an ICANN zu wenden, um die Einhaltung der RAA durch den Registrar sicherzustellen. Allerdings ist die letztgenannte Lösung nicht erfolgversprechend, wie die Entscheidung der deutschen Gerichte in der Rechtssache ICANN gegen EPAG Domainservices GmbH (Vorabentscheidungsersuchen vor dem Gerichtshof der EU) nahelegt.

Alternativ können Markeninhaber, da es keine zentrale Clearingstelle gibt und ICANN noch auf die Implementierung ihres Compliance-Modells wartet, Domain-Name-Registrare direkt kontaktieren und eine teilweise Offenlegung der Registrierungsdaten der Personen verlangen, die ihr geistiges Eigentum verletzen. Die Offenlegung der Daten durch den Registrar kann in diesem Zusammenhang nur dann gemäß Artikel 6.1(f) der DSGVO legitimiert werden, wenn eine angemessene Abwägung zwischen dem berechtigten Interesse des Beschwerdeführers an der Erlangung der Registrierungsdaten einerseits und dem Grundrecht und Interesse der betroffenen Person am Schutz ihrer Daten andererseits vorgenommen wird.

Nur wenn diese die berechtigten Interessen des Beschwerdeführers nicht überwiegen, ist der Registrar berechtigt, die Offenlegung der Daten zu gewähren. Um als berechtigt zu gelten, muss das Interesse des Beschwerdeführers notwendigerweise rechtmäßig sein, ein definiertes und gegenwärtiges Interesse darstellen und ausreichend spezifisch und artikuliert sein, um eine wirksame Abwägung mit dem Recht der betroffenen Person auf Datenschutz zu ermöglichen. Die von den einzelnen Registraren bei der Durchführung der Bewertung zu berücksichtigenden Elemente sind nicht harmonisiert, aber die WIPO hat darauf hingewiesen , dass Markeninhaber oder ihre Vertreter in der Lage sein sollten (indikativ): den betreffenden Domänennamen; Angaben zum Markeninhaber; die angeforderten Informationen (d. h. den Namen des Registranten); eine Erklärung, in der das geltend gemachte berechtigte Interesse am Zugriff auf die Informationen beschrieben wird (in diesem Fall die Durchsetzung eines geistigen Eigentumsrechts); Informationen zu der betreffenden Marke; eine Bestätigung, dass die angeforderten personenbezogenen Daten nur im zulässigen Umfang der DSGVO für das geltend gemachte berechtigte Interesse gespeichert und verwendet werden.

Die für die Durchführung der Abwägung erforderlichen Ad-hoc -Prozesse sowie das erforderliche Fachwissen und die Anzahl der Anfragen veranlassten mehrere Registrare dazu, bei der Beantragung der Offenlegung der Daten der Registranten eine Gebühr zu verlangen. Die Rechtmäßigkeit einer solchen wirtschaftlichen Belastung beim Zugriff auf Registrierungsinformationen könnte angesichts der Ziele der DSGVO durchaus auch in Frage gestellt werden, da sie den freien Verkehr personenbezogener Daten innerhalb der EU erheblich behindert.

Die Einleitung eines UDRP-Verfahrens gegen einen Beklagten, dessen Privatsphäre unter der DSGVO geschützt ist, kann für den Markeninhaber bereits in der Vorphase des Rechtsstreits zusätzliche Kosten verursachen. Wie bereits erwähnt, würde die Einreichung eines UDRP-Verfahrens gegen einen unbekannten Beklagten die Fähigkeit des Klägers erheblich einschränken, das Fehlen des Rechts oder berechtigten Interesses des Beklagten in Bezug auf den umstrittenen Domänennamen gemäß den Vorgaben von Absatz 4(a) des UDRP zu beurteilen und nachzuweisen.

In Fällen, in denen die von einem RAA-konformen Registrar bereitgestellten Informationen zum Rückzug der UDRP-Beschwerde führen würden (z. B. wenn sich herausstellen würde, dass der Registrant der autorisierte Lizenznehmer des Markeninhabers ist), bietet die WIPO (und kein anderer UDRP-Anbieter) die Möglichkeit einer Rückerstattung.

In Bezug auf die Konsolidierung schlug die WIPO vor , dass sich die Verwaltungsgremien in Ermangelung der Informationen des Registranten zunehmend auf andere Indikatoren für eine gemeinsame Kontrolle konzentrieren könnten. Das Fehlen der Daten des Registranten hat die Identifizierung anderer eindeutiger Identifikatoren, wie die Verwendung ähnlicher Namensmuster, Vorlagen und Texte, zu einer grundlegenden Voraussetzung für Markeninhaber gemacht, um eine gemeinsame Kontrolle über mehrere missbräuchliche Domänen nachzuweisen.

Durch die Unzugänglichkeit der Identität des Registranten der umstrittenen Domain bestand auch die Gefahr, dass die Möglichkeiten des Beschwerdeführers beeinträchtigt wurden, die Bösgläubigkeit des Beschwerdegegners gemäß Absatz 4(a) der UDRP nachzuweisen (gemäß Carlsberg A/S gegen Xu Guo Xing , WIPO-Fall Nr. D2017-0301 ).

Gemäß Absatz 4(b) der UDRP, der eine nicht abschließende Liste von Bedingungen enthält, die auf bösen Glauben bei der Registrierung oder Verwendung von Domänennamen hindeuten können, stellt ein Muster missbräuchlicher Domänennamenregistrierungen im Namen des Beklagten einen Beweis für bösen Glauben dar. In seiner „Jurisprudential Overview 3.0“ von 2017 hob die WIPO hervor, dass UDRP-Verwaltungsgremien festgestellt haben, dass mindestens zwei vorherige missbräuchliche Domänenregistrierungen durch einen Beklagten Folgendes darstellen: „Ein Verhaltensmuster, das einen Markeninhaber daran hindert, seine Marke in einem Domänennamen widerzuspiegeln. “

Die Umsetzung der DSGVO und die daraus resultierende Entfernung der Daten von Domänennamen-Registranten aus dem Datensatz, der als Antwort auf WHOIS-Abfragen angezeigt wird, ermöglicht es Markeninhabern nicht mehr, missbräuchliche Verhaltensmuster durch namensbasierte Suchen in den Archiven von Verwaltungsgremien zu überprüfen, bevor sie eine UDRP einreichen, wenn der Registrar einer solchen präventiven Offenlegung nicht zustimmt, sondern nur für mögliche Änderungen ihrer ursprünglichen Beschwerden, sobald der betreffende Registrar zustimmt, die Daten des Registranten an den UDRP-Anbieter weiterzugeben. Die WIPO hat ihrerseits die Veröffentlichung der Namen der Streitparteien gemäß Absatz 4(J) der UDRP sichergestellt, da dies für das allgemeine Funktionieren der UDRP-Verfahren (und damit für die Erfüllung des RAA-Vertrags gemäß Artikel 6.1(b) DSGVO) erforderlich ist.

Dennoch wäre es für jede der an einem UDRP-Prozess beteiligten Parteien weiterhin möglich, einen begründeten Antrag auf Löschung ihrer personenbezogenen Daten zu stellen und damit möglicherweise die Bemühungen der WIPO zunichte zu machen, die Funktionsfähigkeit des Systems nach der DSGVO sicherzustellen. Die in der DSGVO und in den Leitlinien der Artikel-29-Datenschutzgruppe zur Löschung personenbezogener Daten festgelegten Kriterien, vor allem das Kriterium der Relevanz für die Öffentlichkeit, stützen derartige Löschungen kaum, insbesondere wenn festgestellt wird, dass die Registranten missbräuchliche Registrierungen durchgeführt haben.

Als Mitglied der IP Constituency bei ICANN verfolgt Thomsen Trampedach, unser Kompetenzzentrum für Domainnamenverwaltung , die Entwicklung der laufenden Diskussion über Datenschutzbestimmungen für das WHOIS-Dienstverzeichnis in allen Aspekten, einschließlich der Auswirkungen auf den UDRP-Prozess, die Haftung des Registrars und die wirksame Untersuchung und Verfolgung von IP-Verletzungen im Internet. Für weitere Informationen und Unterstützung wenden Sie sich an unser Team.

[1] Questel erbringt keine Rechtsberatung. Legal erfolgt durch unabhängige IP-Anwälte auf der Grundlage einer gesonderten Auftragsvereinbarung zwischen Ihnen und, sofern Sie dies wünschen, einer Partner-IP-Anwaltskanzlei.