NIS2-Richtlinien

1.1 Gemäß Artikel 28 der NIS2-Richtlinie (EU) 2022/2555 sind wir als Domain-Registrar verpflichtet, die Identität von Domain-Inhabern zu verifizieren. Dies dient der Sicherstellung korrekter und vollständiger Registrierungsdaten.

1.2 Für jede Domain-Registrierung ist die Verifizierung sowohl der E-Mail-Adresse als auch der Telefonnummer des Domain-Inhabers erforderlich. Eine Domain gilt erst als vollständig verifiziert, wenn beide Kontaktdaten bestätigt wurden.

1.3 Die Verifizierungspflicht gilt für natürliche Personen ebenso wie für juristische Personen und Organisationen. Bei juristischen Personen muss eine vertretungsberechtigte Kontaktperson benannt und verifiziert werden.

2.1 Die E-Mail-Verifizierung erfolgt durch Zusendung eines Bestätigungslinks an die hinterlegte E-Mail-Adresse. Der Link ist 24 Stunden gültig und muss durch Anklicken bestätigt werden.

2.2 Die Telefon-Verifizierung erfolgt wahlweise durch:

• SMS-Code an die hinterlegte Mobilfunknummer
• Automatischen Telefonanruf mit Ansage eines Bestätigungscodes

2.3 Die Verifizierungscodes sind jeweils 10 Minuten gültig. Bei Ablauf kann ein neuer Code angefordert werden.

2.4 Die erfolgreiche Verifizierung wird im Kundenkonto angezeigt und mit Zeitstempel dokumentiert.

3.1 Bei Neuregistrierung einer Domain muss die vollständige Verifizierung innerhalb von 14 Tagen nach Registrierung abgeschlossen sein.

3.2 Bei Änderung der Kontaktdaten (E-Mail oder Telefonnummer) ist eine erneute Verifizierung der geänderten Daten erforderlich. Die Frist beträgt ebenfalls 14 Tage ab Änderung.

3.3 Bei bestehenden Domains, die vor Inkrafttreten dieser Richtlinie registriert wurden (Import), wird eine Revalidierungsfrist von 14 Tagen ab Aufforderung gesetzt.

3.4 Wir behalten uns vor, in begründeten Fällen eine erneute Verifizierung anzufordern, insbesondere bei Verdacht auf fehlerhafte Daten oder bei Beschwerden Dritter.

5.1 Gemäß NIS2 Artikel 28 Absatz 5 gewähren wir berechtigten Antragstellern Zugang zu spezifischen Domain-Registrierungsdaten. Als berechtigt gelten:

• Strafverfolgungsbehörden (LEA) im Rahmen laufender Ermittlungen
• Computer Emergency Response Teams (CERT/CSIRT) bei Sicherheitsvorfällen
• Behörden zur Durchsetzung von geistigem Eigentum (IP Enforcement)
• Gerichte und gerichtlich bestellte Vollstrecker
• Sonstige Behörden mit gesetzlicher Grundlage

5.2 Private Rechtsanwälte oder Unternehmen sind nicht direkt anfrageberechtigt, können jedoch über zuständige Behörden oder im Rahmen gerichtlicher Verfahren Auskunft erlangen.

6.1 Anfragen sind schriftlich zu stellen an: disclosure@itsh.dev

6.2 Die Anfrage muss folgende Informationen enthalten:

• Name, Organisation und Kontaktdaten des Anfragenden
• Nachweis der Berechtigung (z.B. Dienstausweis, Gerichtsbeschluss)
• Aktenzeichen oder Vorgangsnummer
• Betroffene Domain(s)
• Rechtsgrundlage der Anfrage
• Konkret benötigte Daten und Begründung

6.3 Unvollständige Anfragen werden mit Hinweis auf fehlende Angaben zurückgewiesen.

7.1 Jede Anfrage wird anhand folgender Kriterien geprüft:

• Legitimität: Ist der Anfragende berechtigt gemäß § 5?
• Rechtsgrundlage: Liegt eine gültige gesetzliche Grundlage vor?
• Verhältnismäßigkeit: Sind die angefragten Daten für den Zweck erforderlich?
• Datensparsamkeit: Werden nur notwendige Daten angefragt?

7.2 Bei Zweifeln an der Berechtigung kann eine Rückfrage beim Anfragenden oder der übergeordneten Behörde erfolgen.

7.3 Ablehnungen werden schriftlich begründet. Der Anfragende kann gegen die Ablehnung Beschwerde beim Datenschutzbeauftragten einlegen.

9.1 Folgende Daten können auf berechtigte Anfrage offengelegt werden:

• Name des Domain-Inhabers (natürliche oder juristische Person)
• Anschrift des Domain-Inhabers
• E-Mail-Adresse des Domain-Inhabers
• Telefonnummer des Domain-Inhabers
• Registrierungs- und Ablaufdatum der Domain
• Technische Kontaktdaten (falls abweichend)

9.2 Folgende Daten werden nicht offengelegt:

• Passwörter oder Zugangsdaten
• Zahlungsinformationen (Kreditkarten, Bankverbindungen)
• Interne Kundennummern oder Account-IDs
• Kommunikationsverläufe mit dem Kundensupport

9.3 Für weitergehende Daten ist ein Gerichtsbeschluss erforderlich.

10.1 Missbrauchsmeldungen können über folgende Kanäle eingereicht werden:

• Online-Formular über den Link „Missbrauch melden" in der Fußzeile
• E-Mail an: abuse@itsh.dev

10.2 Eine Meldung sollte folgende Informationen enthalten:

• Betroffene Domain(s)
• Art des Missbrauchs (siehe § 11)
• Beschreibung des Vorfalls mit Nachweisen (Screenshots, URLs, etc.)
• Kontaktdaten des Meldenden (E-Mail erforderlich)

10.3 Anonyme Meldungen werden bearbeitet, jedoch kann ohne Kontaktdaten keine Rückmeldung erfolgen.

11.1 Wir bearbeiten Missbrauchsmeldungen in folgenden Kategorien:

• Spam: Unerwünschte Massen-E-Mails oder Werbung über die Domain
• Phishing: Täuschende Websites zur Erlangung von Zugangsdaten
• Malware: Verbreitung von Schadsoftware über die Domain
• Fehlerhafte Registrierungsdaten: Offensichtlich falsche Inhaberangaben
• Markenrechtsverletzung: Verletzung eingetragener Markenrechte
• Sonstiges: Andere Verstöße gegen unsere Nutzungsbedingungen

11.2 Bei strafrechtlich relevanten Inhalten (z.B. Kindesmissbrauch) erfolgt unverzüglich eine Meldung an die zuständigen Behörden.

12.1 Nach Eingang einer Meldung erfolgt die Bearbeitung in folgenden Schritten:

12.2 Wir streben eine Bearbeitungszeit von maximal 7 Werktagen an. Bei komplexen Fällen kann die Bearbeitung länger dauern.