ICANN起诉EPAG:德国法院发布第一例GDPR裁决

翻译   •   7月9日, 2018

第一项决议(仅限德语)中,德国法院认为,收集超出合法商业目的所需的数据违反了GDPR的基本原则之一。 GDPR第5条规定,个人数据收集应“为了规定的,明确的和合法的目的,不得以与这些目的不相容的方式进行更深一步地处理”,并且“足够的,相关的,并且限于与处理它们的目的有关的必要条件。”

该案件涉及互联网名称与数字地址分配机构(ICANN),一家负责监管注册域名全球WHOIS数据库的美国非营利性公司,以及德国域名注册商EPAG。 EPAG与ICANN建立了合同关系,以便从购买域名的人那里收集个人数据。 此外,ICANN希望EPAG提供注册实体的技术和管理联系人的姓名和联系方式。 EPAG拒绝收集后者的信息,认为这样做会违反GDPR第5条,因为没有业务需要,因此没有法律依据来收集和处理技术和行政联系人的个人数据。

ICANN在德国提起诉讼寻求禁令,迫使EPAG收集技术和管理联系信息。 ICANN认为,联系信息对于解决与域名注册相关的问题是必要的。 波恩(Bonn)地区法院拒绝了ICANN的请求,认为收集技术和管理联系人数据会违反数据最小化规则。 为支持其调查结果,法院指出,以前没有要求注册人提供技术和管理联系方式,并且ICANN未能提供足够的证据证明此类数据的收集是必要的。

ICANN已将波恩法院的裁决上诉至德国科隆高等地区法院(Higher Regional Court of Cologne, Germany)。 当GDPR于5月生效后,谷歌和Facebook的隐私实践所面临的挑战仍然在整个系统中进行,但这个案例表明,营利性和非营利性组织都必须注意考虑GDPR义务。 第一个GDPR裁决提醒企业应该评估和记录为什么他们收集和处理的个人数据是出于特定的合法目的所必需的,并确保信息仅限于实现该目的所需的信息。


译者注:

5月17日,ICANN发表的声明:ICANN Board Approves Temporary Specification for gTLD Registration Data

5月25日,ICANN发表的声明:ICANN Files Legal Action in Germany to Preserve WHOIS Data

5月29日,EPAG发表的声明:Tucows Statement on ICANN Legal Action