DENIC WHOIS: Mehr Transparenz bei Domains und Folgen für M&A

Mehr Transparenz im Domainrecht: Mit der Reform des DENIC-WHOIS wird sichtbar, wer hinter einer .de-Domain steht – zumindest bei Unternehmensdomains. Grundlage der Neuerung ist das Inkrafttreten des NIS‑2‑Umsetzungsgesetzes, das neue Vorgaben zur Cybersicherheit enthält und dazu geführt hat, dass im DENIC-WHOIS nun auch die Inhaberdaten von auf juristische Personen registrierten Domains offengelegt werden.

Auch für die M&A‑Praxis hat die Neuerung Konsequenzen: Die Prüfung der Inhaberschaft im Rahmen der Due Diligence wird erleichtert, gleichzeitig entstehen neue Risiken durch Non‑Compliance. Unvollständige oder veraltete Daten können Verifizierungsprozesse auslösen und im Extremfall zur Quarantäne oder Löschung einer Domain führen. Auch die Vertragsgestaltung ist betroffen: Bei besonders geschäftskritischen Domains - beispielsweise im E-Commerce - kann es sinnvoll sein, die Aktualität und Richtigkeit der Daten in die Garantieerklärungen des Unternehmenskaufvertrags einzubeziehen. Besondere Sorgfalt ist schließlich beim Vollzug von Asset Deals erforderlich, um geschäftsschädigende Domain‑Ausfälle zu vermeiden.

Was das WHOIS ist – und was sich geändert hat

Das WHOIS ist das öffentlich zugängliche Abfragesystem für Domain-Registrierungsdaten. Bislang konnten Dritte Inhaberdaten bei .de-Domains nur abrufen, wenn sie gegenüber der DENIC eG - der zentralen Vergabestelle für .de-Domains - ein berechtigtes Interesse plausibel machen konnten, etwa aufgrund einer von der betreffenden Webseite ausgehenden Rechtsverletzung. Für Domains juristischer Personen entfällt dieses Erfordernis nun.

Unabhängig von Größe oder Branche werden künftig standardmäßig u. a. folgende Angaben ausgegeben:

• Name und Anschrift
• E-Mail-Adresse und Telefonnummer
• Datum der Domainregistrierung
• Name und Kontaktdaten des verwaltenden DENIC-Mitglieds

Eines gesonderten Antrags oder einer besonderen Begründung bedarf es nicht mehr.

Zweistufige Umsetzung: Fristen und Verifizierungsprozess

Seit Ende Januar 2026 müssen Domaininhaber bei Neuregistrierungen vollständige Kontaktdaten angeben, einschließlich E-Mail-Adresse und Telefonnummer. Die DENIC führt sodann eine automatisierte Erstprüfung durch. Die aktive Verifizierung der E-Mail-Adresse obliegt dem DENIC-Mitglied, das die Registrierung im Auftrag des Endkunden durchführt. Ergeben sich Auffälligkeiten, muss die Richtigkeit der Daten nachgewiesen werden.

Ab Mitte April 2026 werden auch Bestandsdaten anhand eines Risikomodells geprüft. Unplausible Angaben lösen Verifizierungsanfragen aus; im Eskalationsfall können zusätzliche Belege wie etwa Handelsregisterauszüge gefordert werden.

Quarantäne, Löschung – und neue Phishing-Risiken

Wer auf eine Verifizierungsanfrage nicht reagiert oder die Daten auch im Verlaufe eines Eskalationsprozesses nicht belegen kann, riskiert die Quarantäne der Domain: Die DNS-Auflösung wird deaktiviert, sodass die Webseite ohne Kenntnis der IP-Adresse nicht mehr erreichbar ist. Bleibt eine Klärung aus, kann die DENIC die Domain sogar löschen. Unternehmen müssen daher sicherstellen, dass die Daten aktuell sind und Verifizierungsanfragen zuverlässig bearbeitet werden.

Mit dem neuen Verifizierungsprozess geht auch ein zusätzliches Risiko einher: Da Unternehmen künftig regelmäßig mit Verifizierungsanfragen konfrontiert werden, besteht die Gefahr, dass betrügerische Phishing-E-Mails, die solche Anfragen imitieren, nicht als solche erkannt werden. Entsprechende Schulungen und klar definierte Zuständigkeiten sind daher empfehlenswert.

Auswirkungen im M&A-Kontext

Für Investoren bzw. Kaufinteressenten erleichtern die neuen Offenlegungspflichten die Due Diligence-Prüfung. Bislang mussten sie entweder auf die Angaben des Verkäufers bzw. der Zielgesellschaft vertrauen oder entsprechende Nachweise im Datenraum verlangen. Künftig kann direkt über die WHOIS-Abfrage geprüft werden, ob die Domains tatsächlich auf die Zielgesellschaft registriert sind und nicht etwa auf eine natürliche Person; ein insbesondere im Start-up-Kontext nicht seltener Befund.

Aus Käufersicht sollte zudem erwogen werden, den Garantiekatalog des Unternehmenskaufvertrags gezielt anzupassen. Neben der Inhaberschaft an den wesentlichen Domains sollte der Verkäufer – sofern zutreffend – garantieren, dass die im WHOIS hinterlegten Daten vollständig, aktuell und zutreffend sind und dass keine Umstände bekannt sind, aufgrund derer eine Quarantäne droht.

Verkäufern ist spiegelbildlich zu empfehlen, das Domainportfolio im Vorfeld der Transaktion zu prüfen: Sämtliche wesentlichen .de-Domains sollten auf die Zielgesellschaft registriert und die hinterlegten Kontaktdaten auf Aktualität und Vollständigkeit geprüft werden. Empfehlenswert ist zudem die Hinterlegung einer funktionalen, rollenbasierten E-Mail-Adresse (z.B. domain@unternehmen.de) anstelle einer personenbezogenen Adresse.

Schließlich besteht ein operatives Risiko, das bei Asset Deals relevant werden kann: Gerät eine Domain infolge des Inhaberwechsels in das Risikoprüfungssystem oder führen Integrationsfehler dazu, dass Verifizierungsanfragen unbearbeitet bleiben, droht die DNS-Deaktivierung und damit ein faktischer Betriebsausfall. Dementsprechend sorgfältig ist das Thema zu steuern.

Fazit

Die Reform des DENIC-WHOIS verändert die Informationslage rund um .de-Domains: Inhaberdaten juristischer Personen werden öffentlich einsehbar, fehlerhafte Einträge werden systematisch erkannt und sanktioniert.

Im Rahmen von Unternehmenstransaktionen empfiehlt sich auf beiden Seiten eine frühzeitige Prüfung der WHOIS‑Daten – eine Möglichkeit, die nun auch dem Erwerbsinteressenten offensteht.

In der Transaktionsdokumentation sollten Garantien zur Aktualität, Vollständigkeit und Richtigkeit der hinterlegten Daten ergänzt werden. Darüber hinaus sind klare interne Prozesse erforderlich, um Einträge aktuell zu halten und legitime Verifizierungsanfragen zuverlässig von Phishing-Versuchen unterscheiden zu können.