Zugangsdaten: Blindes Vertrauen ist gefährlich

Eine Domain ist mehr als eine Internetadresse, die man aufruft. Dahinter stecken viele Prozesse. Von der Findung des besten Domain-Namens samt Endung (TLD) bis zur Abklärung der Markenrechte, die man beachten muss. Worauf ich aber hinaus möchte, ist der Registrierungsprozess und das Besitzrecht.

Es gibt wirklich Agenturen, die registrieren die Domains ihrer Kunden unter dem eigenem Agenturnamen. Ich konnte es erst nicht glauben, als ich das per Zufall in einem Projekt feststellte. Ich war als Freiberuflerin für einen bestimmten Teil der Umsetzung zur Website-Erstellung in diesem Projekt engagiert worden. Mit den Abläufen zur Domainregistrierung habe ich in diesem Fall glücklicherweise nichts zu tun. Aber ich bin heute noch darüber entsetzt, dass so etwas vorkommt. Darum rate ich jedem Unternehmen, das die Domains nicht selbst registriert, auf Folgendes zu achten:

Domains müssen immer auf den Namen des Besitzers (Freiberufler) bzw. des Unternehmens (bei GmbH, AG und so weiter) registriert sein. Was heißt das genau?

Wenn ich einen Domain-Eintrag (in Deutschland) bei der DENIC aufrufe, dann sehe ich 6 Einteilungen/Überschriften:

1. Domaindaten (die Internetadresse, plus Datum der letzten Aktualisierung)
2. Domaininhaber (hier muss der Besitzer der Domain stehen!)
   -> Der Domaininhaber ist der Vertragspartner der DENIC und damit der an der Domain materiell Berechtigte.
3. Administrativer Ansprechpartner (admin-c)
   -> Der admin-c ist die vom Domaininhaber benannte natürliche Person, die als sein Bevollmächtigter berechtigt und gegenüber DENIC auch verpflichtet ist, sämtliche die Domain betreffenden Angelegenheiten verbindlich zu entscheiden.
4. Technischer Ansprechpartner (tech-c)
   -> Der tech-c betreut die Domain in technischer Hinsicht.
5. Zonenverwalter (zone-c)
   -> Der zone-c betreut die Nameserver der Domain.
6. Technische Daten (Nameserver)

Punkt 2. und 3. sind also die wichtigsten Eintragungen für Domainbesitzer der Unternehmen. Kontrollieren Sie unbedingt, wenn ein Dritter – wie beispielsweise eine Agentur oder ein Freiberufler – Ihre Domain für Sie registriert.

Wenn Sie nicht dort eingetragen sind, dann kümmern Sie sich schnellstmöglich um eine Änderung. Sie müssen in Punkt 2. eingetragen sein. Sonst ist die Domain nicht Ihre Domain!

Der admin-c in Punkt 3. ist übrigens jederzeit berechtigt, die Domain abzumelden oder auf Dritte zu übertragen!
Es darf jemand anders im admin-c stehen als der Domaininhaber. Aber dann sollten Sie vertraglich absichern, dass ungenehmigte Verfügungen nicht erlaubt sind, und Sie die alleinige Weisungsbefugnis haben. So oder so ähnlich. Fragen Sie Ihren Rechtsanwalt, was für Ihre Gesellschaftsform zweckdienlich ist.

Eintragungen 4. bis 6. sind Daten, die auf den Provider hinweisen. Hier ist hinsichtlich des Eigentums einer Domain keine Aufmerksamkeit nötig. Die Daten sollten jedoch stimmen.

Zurück zu unserer Agentur und dem kleinen Unternehmen.

Das kleine Unternehmen zeigt sich mittlerweile im Internet, die Agentur hat die Seite freigeschaltet. Eine letzte kleine Abschlagszahlung an die Agentur ist noch offen. Die Agentur wollte noch etwas ändern, was noch nicht so ganz nach den Vorstellungen des kleinen Unternehmens läuft. Es gibt Streit. Beide Seiten sind dickköpfig, keiner will nachgeben, es zeigt sich keine gütliche Einigung.

Da kommt der Agentur die Idee: Wenn der Kunde nicht zahlt, dann stellen wir die Website einfach ab. Dann wird das Unternehmen schon zahlen. Übrigens ist das auch eine übliche Praxis der Webhoster (Serveranbieter), wenn man seine Domaingebühren oder Hostinggebühren nicht zahlt. Davon habe ich schon das eine oder andere Mal von anderen Betroffenen gehört.

Man einigt sich nun doch, die Website bleibt online, der Restbetrag ist überwiesen. Ende gut, alles gut? Fast, denn eine ganze Kleinigkeit fehlt noch. Das kleine Unternehmen hat nämlich nicht daran gedacht, dass es die Zugangsdaten nicht erhalten hat. Man hat ja von so etwas wenig Ahnung, deshalb hatte man einen externen Dienstleister engagiert.

Vertrauen ist gut, das sollte man auf jeden Fall haben, aber die Kontrolle darf man nicht vollends abgeben. Jeder, der eine Website hat, sollte auf jeden Fall überprüfen, ob folgende Zugangsdaten sofort zur Hand sind:

1. Serverzugang/Provider: Hierzu gehören alle Daten, die man benötigt, um auf den Server, auf dem die Website liegt, zu kommen. Bei Webhosting-Paketen ist das meistens eine Administrationsoberfläche.
   • Administration für die Domain, E-Mail, FTP-Einstellungen, phpMyAdmin und vieles mehr
   • Kundenzugang für Rechnungen und Supportanfragen zum Provider
2. Website-Zugang: Ein oder mehrere normale Benutzeraccounts sind sicherlich für das tägliche Arbeiten freigeschaltet. Damit kann man Textänderungen und ähnliches machen.
   Wichtig, dass auch ein Admin-Account zur Verfügung steht, zu dem man die Daten bekommt. Diesen wird man so gut wie nie nutzen, wenn man sich nicht damit auskennt. Aber man sollte ihn zur Verfügung stehen haben. An manche Systeme kommt man nur schwierig heran (Aufwand/Kosten!), wenn kein Admin-Zugang vorhanden ist, den man nutzen kann.

Man stelle sich vor, nach ein paar Monaten oder Jahren kommt das kleine Unternehmen auf die Idee, die Agentur zu wechseln. Die Agentur stellt sich quer wegen der Zugänge und man hat einen enormen Aufwand, an alles heranzukommen. Oder die Agentur ist mittlerweile nicht mehr aktiv oder hat die Zugangsdaten selber nicht archiviert oder, oder, oder …

Das alles habe ich mir nicht ausgedacht. Ich habe öfter erlebt, wenn ich als Freiberuflerin die Neuerstellung oder Aktualisierung einer Website übernommen habe, dass der Kunde völlig hilflos war, was die Zugangsdaten anging. Und wenn einem dann die Domain noch nicht einmal gehört, man nicht weiß, wo (auf welchem Server) die Website liegt, dann kann das richtig Ärger machen.

Vermeiden Sie solche Situationen, indem Sie – als Unternehmen – zu Beginn eines Auftrages verhandeln und schriftlich festlegen, dass Ihnen die Zugangsdaten von der Agentur sofort zugehen und dass die Domain auf Ihren Namen registriert wird. Das sind nur zwei Kleinigkeiten, die aber sehr wichtig sind. Und nun überlegen Sie am besten, wie und wo Sie die Zugangsdaten speichern, damit Ihnen diese nicht verloren gehen. Oder wiederum in falsche Hände fallen, siehe auch Social Engineering.

Erwähnenswert ist natürlich auch, dass sich viele Agenturen und Freiberufler äußerst korrekt verhalten, was den Umgang mit Zugangsdaten und der Domainregistrierung angeht. Im Artikel sind die “schwarzen Schafe” der Internetbranche herausgestellt, damit Ihnen als Auftraggeber einer Website so etwas nicht passiert.

Die Tipps und Hinweise im Artikel beinhalten keine Rechtsberatung.