WHOIS & Datenschutz: Was steht über dich im Netz?
Jede registrierte Domain hat einen öffentlichen WHOIS-Eintrag — mit Name, Adresse, Telefonnummer und E-Mail. Mit der DSGVO hat sich das System grundlegend verändert. Dieser Guide erklärt, was in deinem WHOIS-Eintrag steht, wie du deine Daten schützt und welche Grenzen es gibt.
Was ist WHOIS und wie funktioniert es?
WHOIS ist ein Abfrageprotokoll, mit dem du Informationen über eine registrierte Domain abrufen kannst — und zwar von jedem Computer mit Internetzugang. Tippe eine Domain in ein WHOIS-Tool ein, und du erfährst, wem sie gehört, seit wann sie registriert ist, wann sie verlängert wird und welche Nameserver sie verwendet.
Technisch funktioniert WHOIS so: Für jede Top-Level-Domain (.de, .com, .org, .io) gibt es eine zentrale Datenbank, die von der jeweiligen Registry verwaltet wird (für .de: die DENIC, für .com/.net: Verisign).Registrare — die Anbieter, bei denen du Domains kaufst — übermitteln die Daten ihrer Kunden an die Registry, sobald eine Domain registriert oder aktualisiert wird. Diese Datenbanken werden dann über das WHOIS-Protokoll öffentlich abfragbar gemacht.
Das WHOIS-System gibt es seit den 1980er Jahren — lange bevor Datenschutz ein allgegenwärtiges Thema war. Ursprünglich sollte es die Transparenz im Internet fördern und die Kontaktaufnahme mit Domain-Inhabern ermöglichen. In der Praxis hat das System jahrzehntelang dazu geführt, dass persönliche Daten von Millionen von Domain-Inhabern frei im Internet zugänglich waren.
Welche Daten sind im WHOIS sichtbar?
Der vollständige WHOIS-Eintrag einer Domain enthält je nach TLD und Registrar unterschiedlich viele Felder. Die wichtigsten sind:
| Datenfeld | Typische Sichtbarkeit | Datenschutz-Sensibilität |
|---|---|---|
| Domain-Name | Immer öffentlich | Gering |
| Registrar | Immer öffentlich | Gering |
| Registrierungsdatum | Immer öffentlich | Gering |
| Ablaufdatum | Immer öffentlich | Gering |
| Nameserver | Immer öffentlich | Gering |
| Domaininhaber (Name) | Öffentlich (ohne Datenschutz) | Hoch |
| Adresse (Strasse, PLZ, Ort) | Öffentlich (ohne Datenschutz) | Hoch |
| E-Mail-Adresse | Öffentlich (ohne Datenschutz) | Hoch |
| Telefonnummer | Öffentlich (ohne Datenschutz) | Hoch |
| Admin-C / Tech-C Kontakte | Öffentlich (ohne Datenschutz) | Hoch |
Zusätzlich zu diesen Datenfeldern gibt es sogenannte Status-Flags, die den Zustand der Domain beschreiben: clientTransferProhibited (Transfersperre), clientUpdateProhibited (Änderungssperre) und andere. Diese Flags sind für technisch versierte Nutzer ein wertvolles Instrument, um die Sicherheitslage einer Domain einzuschätzen.
Die DSGVO und ihre Auswirkungen auf WHOIS
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 hat sich das WHOIS-System fundamental verändert. Die Verordnung stellt klar: Personenbezogene Daten — und eine IP-Adresse, die einer natürlichen Person zugeordnet werden kann, ist personenbezogen — dürfen nicht ohne Rechtsgrundlage öffentlich zugänglich gemacht werden.
Das Ergebnis war ein massiver Eingriff in das WHOIS-System: Registrare auf der ganzen Welt haben reagiert und begonnen, personenbezogene Daten in WHOIS-Einträgen zu redigieren (zu schwärzen). Anstelle des echten Namens erscheint nun oft nur der Name des Datenschutzdienstes oder ein Vermerk wie „REDACTED FOR PRIVACY".
ICANN (Internet Corporation for Assigned Names and Numbers) koordiniert das globale WHOIS-System für internationale TLDs wie .com, .net, .org. Die nationalen Regulatoren (DENIC für .de, EURid für .eu) verwalten die länderspezifischen TLDs. Nach der DSGVO mussten alle drei Ebenen ihre WHOIS-Richtlinien anpassen. Die Umsetzung ist bis heute nicht einheitlich — je nach TLD und Registrar sind unterschiedlich viele Daten geschützt.
Allerdings ist die DSGVO-konforme Umsetzung von WHOIS ein Dauerthema mit Kompromissen:
- Zugang für legitime Zwecke: Strafverfolgungsbehörden, Markeninhaber und Anti-Missbrauchs-Dienste können weiterhin auf WHOIS-Daten zugreifen — allerdings über formale Anfragen (RDAP/ESC) statt durch freie Abfragen.
- Inkonsistente Umsetzung: Nicht alle Registrare und TLDs behandeln WHOIS-Datenschutz gleich. Manche TLDs zeigen weiterhin relativ viele Daten, andere blenden fast alles aus.
- Neue Datenlücken: Die Kehrseite des Datenschutzes: Legitime Nutzer — zum Beispiel Sicherheitsforscher, die Missbrauch melden wollen — können Domaininhaber nicht mehr direkt kontaktieren.
Die Domain-Datenschutzverordnung (DDV)
Für .de-Domains gibt es seit dem 28. Oktober 2013 ein eigenes Datenschutzinstrument: Die Domain-Datenschutzverordnung (DDV) ermöglicht es Inhabern von .de-Domains, die Veröffentlichung ihrer personenbezogenen Daten in der DENIC-WHOIS-Datenbank zu sperren. Die Sperre muss über den Registrar beantragt werden und ist kostenlos.
Die DDV-Sperre ist stärker als der DSGVO-konforme Schutz, den viele internationale Registrare anbieten: Bei einer DDV-Sperre werden die Daten gar nicht in der öffentlichen WHOIS-Abfrage angezeigt. Bei einem reinen DSGVO-Schutz werden die Daten in der WHOIS-Auskunft angezeigt, aber in der zugrunde liegenden Datenbank gespeichert und können über Anfragen zugänglich gemacht werden.
Logge dich in dein Registrar-Portal ein und suche nach dem Punkt „WHOIS-Schutz", „Domain-Datenschutz" oder „DDV-Sperre". Bei den meisten großen Registraren (1und1, Strato, Hetzner, Goneo) ist die DDV-Sperre im Domain-Management-Bereich zu finden. Die Aktivierung ist in der Regel sofort wirksam.
So aktivierst du Domain-Datenschutz
Der Weg zum aktivierten Datenschutz hängt von deinem Registrar und der TLD ab. Hier die gängigsten Wege:
Für .de-Domains: DDV-Sperre
Die DDV-Sperre ist der einfachste Weg: Sie wird direkt in der DENIC-Datenbank eingetragen und gilt für alle WHOIS-Abfragen weltweit. Nach Aktivierung werden in der WHOIS-Abfrage nur noch Domain-Name, Registrar, Status-Flags, DNS-Server und das Erstelldatum angezeigt — keine persönlichen Daten.
Für internationale TLDs (.com, .net, .io): Privacy/Datenschutzdienst
Viele Registrar bieten einen eingebauten WHOIS-Datenschutz an. Bei Cloudflare Registrar beispielsweise ist der Schutz für alle unterstützten TLDs kostenlos eingebaut. Bei Namecheap ist ein „WhoisGuard" genannter Dienst verfügbar, der die E-Mail-Adresse durch eine geschützte Adresse ersetzt.
Wichtig zu wissen: Ein WHOIS-Datenschutzdienst ersetzt deine Kontaktdaten durch die des Anbieters. Kontaktanfragen über das WHOIS-System landen dann beim Datenschutzanbieter, der sie an dich weiterleitet. Das funktioniert in der Praxis gut — solange der Anbieter zuverlässig weiterleitet.
Für .eu-Domains: EURid Privacy Service
EURid bietet einen eigenen WHOIS-Schutzdienst für .eu-Domains an. Der Dienst ist kostenlos und blenden die persönlichen Daten des Inhabers aus dem WHOIS-Eintrag aus, ohne die Kontaktierbarkeit vollständig zu unterbrechen.
Ein aktiviertes WHOIS-Privacy bedeutet nicht, dass deine Daten vollständig unsichtbar sind. Registrys, Registrar-Support-Teams, Strafverfolgungsbehörden und — je nach Jurisdiction — Gerichte können weiterhin auf die vollständigen WHOIS-Daten zugreifen. Der Schutz verhindert die zufällige öffentliche Abfrage, nicht die gezielte behördliche Anfrage.
Datenschutz vs. Verantwortlichkeit: Die Trade-offs
Der WHOIS-Datenschutz ist ein zweischneidiges Schwert. Einerseits schützt er die Privatsphäre von Domain-Inhabern — gerade für Privatpersonen, Freiberufler und kleine Unternehmen, die keine Rechtsabteilung haben, ist das ein echter Vorteil. Andererseits hat das WHOIS-System auch eine wichtige Funktion: Es ermöglicht die Zuordnung von Domain zu Verantwortlichem — für Rechtsverfolgung, bei Markenverletzungen, bei Spam-Tracking und bei Sicherheitsvorfällen.
Für Unternehmen gelten besondere Überlegungen:
- Geschäftliche Domains: Bei Unternehmens-Domains ist ein vollständiger Datenschutz manchmal kontraproduktiv — wenn das Unternehmen seine Domain-Inhaberschaft öffentlich machen will (z.B. für Markenstrategie oder SEO-Signale). Ein Kompromiss: Eine geschäftliche Adresse und E-Mail im WHOIS hinterlegen, nicht die private.
- Markenportfolio: Markeninhaber sollten ihre strategischen Domains prüfen: Zeigt der WHOIS-Eintrag den echten Markennamen oder den des Anwalts/der Agentur? Letzteres ist ein Hinweis auf ein aktives Markenportfolio und kann Begehrlichkeiten wecken.
- DNS-Sicherheit: Unabhängig vom WHOIS-Datenschutz: Aktiviere immer Zwei-Faktor-Authentifizierung beim Registrar und — wenn verfügbar — Registry Lock. Das sind die wirksameren Schutzmaßnahmen gegen unbefugte Domain-Änderungen.
Eigene Domain prüfen: WHOIS-Abfrage durchführen
Du willst wissen, welche Daten über deine Domain im Umlauf sind? Nutze ein WHOIS-Lookup-Tool:
- ICANN RDAP:
https://rdap.verisign.com/com/lookup— offizielle, DSGVO-konforme Schnittstelle für .com-Domains - DENIC WHOIS:
whois.denic.de— für .de-Domains direkt bei der Registry - whois.com:
https://www.whois.com/whois/— komfortable Web-Oberfläche für alle TLDs - Heise Netalyx:
https://www.heise.de/netalyx/— deutscher Dienst mit übersichtlicher Darstellung
Achte besonders auf: Ist deine Privatadresse sichtbar? Deine private Telefonnummer? Deine private E-Mail? Falls ja, aktiviere den verfügbaren Datenschutz — in den meisten Fällen ist er kostenlos.
Fazit
Das WHOIS-System steht seit 2018 unter Druck — und das ist gut so. Die DSGVO hat erzwungen, dass persönliche Daten nicht mehr unbegrenzt öffentlich im Internet zugänglich sind. Für .de-Domains bietet die DDV-Sperre den stärksten Schutz; für internationale TLDs solltest du den WHOIS-Datenschutz deines Registrars aktivieren.
Datenschutz im WHOIS ist sinnvoll, aber kein Allheilmittel: Er verhindert zufällige öffentliche Abfragen, nicht behördliche oder gerichtliche Anfragen. Für ein umfassendes Schutzkonzept gehören Zwei-Faktor-Authentifizierung und Registry Lock beim Registrar — das sind die Maßnahmen, die wirklich vor unbefugten Domain-Änderungen schützen.
Wenn du eine neue Domain registrieren willst und Datenschutz wichtig ist, prüfe vorab, ob dein Wunschanbieter kostenlosen WHOIS-Schutz anbietet. Unsere Anbieter-Übersicht hilft dir, den richtigen Registrar zu finden. Und über die Domain-Suche findest du sofort, ob deine Wunschdomain noch frei ist.
Domain suchen und vergleichen
Prüfe jetzt die Verfügbarkeit deiner Wunschdomain und vergleiche die besten Angebote — kostenlos und ohne Anmeldung.