Domain-Handel und Recht: Marken, UDRP und Betrugsmaschen

Der Handel mit Domains ist legal. Der Handel mit den falschen Domains kostet Sie jedoch den Namen, das dafür bezahlte Geld und manchmal zusätzlich eine fünfstellige Strafzahlung. Der Unterschied zwischen diesen beiden Ergebnissen ist kein Glücksfall. Er beruht auf einem kleinen Rechtsgebiet, das Sie an einem Nachmittag erlernen können, sowie auf einer Handvoll operativer Gewohnheiten, die Ihr Portfolio sauber und Ihre Geschäfte vor Betrug schützen.

Dies ist der rechtliche und sicherheitsrelevante Pfeiler unserer Serie zum Domain-Handel. Er behandelt die Grenze zwischen Domaining und Cybersquatting, die beiden Streitbeilegungssysteme, die diese Grenze durchsetzen, wie man einen Verkauf abwickelt, ohne betrogen zu werden, und wie man verhindert, dass Ihnen jemand einen Namen unter den Füßen wegstiehlt. Nichts davon ist eine Rechtsberatung (siehe Haftungsausschluss am Ende), aber alles davon ist das Arbeitswissen, das erfahrene Händler in jeden Handel einpreisen.

Die eine Grenze, die Sie nicht überschreiten dürfen: Markenrechte

Redaktionelle Illustration eines generischen Domain-Tags mit einem grünen Haken auf der einen Seite einer Trennlinie und einer Domain mit Markenlogo, die durch ein rotes Verbotsschild auf der anderen Seite blockiert wird

Die gesamte rechtliche Frage reduziert sich auf eine einzige Unterscheidung. Die Registrierung eines generischen, beschreibenden oder erfundenen Namens zum Weiterverkauf ist eine gewöhnliche Investition. Die Registrierung von etwas, das auf der Marke eines bestimmten Unternehmens aufbaut, ist Cybersquatting und der einzige Schritt, der einen legitimen Handel in einen verlustreichen verwandelt.

Die Definition von Wikipedia ist der Standard: Cybersquatting ist die Praxis der Registrierung, des Handels oder der Nutzung eines Internet-Domain-Namens mit der bösgläubigen Absicht, aus dem guten Ruf einer Marke, die jemand anderem gehört, Profit zu schlagen. Zwei Wörter in diesem Satz sind entscheidend: Bösgläubigkeit und Marke. Ein Wörterbuchbegriff wie loans (Kredite) oder ein erfundener Name wie Zapio gehört niemandem im Besonderen. nikeshoes-store.com stützt sich eindeutig auf eine Marke, die jemandem gehört. Je näher ein Name an einer bestehenden Marke liegt, desto mehr sieht es so aus, als hätten Sie ihn registriert, um von dieser Marke Geld zu erpressen – und genau diese Absicht wird gesetzlich geahndet. Die genaue Abgrenzung ziehen wir in Cybersquatting vs. Domaining: UDRP und ACPA.

Ein praktischer Filter vor dem Kauf: Würde eine vernünftige Person annehmen, dass dieser Name auf ein bestimmtes Unternehmen verweisen soll? Wenn ja, lassen Sie die Finger davon, egal wie günstig er ist. Die Grundlagen, die einen Namen wertvoll machen, werden in Wie man den Wert eines Domain-Namens bestimmt und Was ist eine Domain behandelt; ein Name, der den Markentest nicht besteht, hat einen negativen Wert, da sein Besitz ein Haftungsrisiko darstellt.

UDRP: Wie ein Markeninhaber einen Namen zurückbekommt

Der schnelle und kostengünstige Weg zur Rechtsdurchsetzung ist die Uniform Domain-Name Dispute-Resolution Policy (UDRP). Sie ist Teil der Regeln der ICANN, die in den Registrierungsvertrag eingebettet sind, den Sie bei jeder Registrierung eines Namens akzeptieren, sodass Sie bereits daran gebunden sind. Die ICANN hat die UDRP 1999 eingeführt, und Streitigkeiten werden von akkreditierten Anbietern entschieden – allen voran von der Weltorganisation für geistiges Eigentum (WIPO).

Ein Beschwerdeführer muss drei Dinge beweisen, und zwar alle. Wie Wikipedia die Richtlinie zusammenfasst, muss der Name identisch oder zum Verwechseln ähnlich mit einer Marke oder Dienstleistungsmarke sein, an der der Beschwerdeführer Rechte hat; der Registrant keine Rechte oder legitimen Interessen an dem Domain-Namen hat; und der Name registriert wurde und der Domain-Name in „böser Absicht“ verwendet wird. Wird auch nur einer der drei Punkte verfehlt, scheitert die Beschwerde.

Der Einsatz bei einer UDRP ist begrenzt, aber absolut. Die einzigen Rechtsmittel sind die Löschung oder Übertragung der Domain. Es wird kein Geld zugesprochen, aber Sie verlieren den Vermögenswert vollständig, und ein Gremium kann ihn Ihnen innerhalb von Wochen entziehen, im Gegensatz zu den Monaten, die ein Gerichtsverfahren dauern würde. Dieses System ist gut ausgelastet: Die WIPO berichtete, dass im Jahr 2024 Markeninhaber aus 133 Ländern 6.168 Fälle unter der Uniform Domain Name Dispute Resolution Policy (UDRP) und nationalen ccTLD-Variationen eingereicht haben. Für einen Händler ist die Lektion einfach: Eine UDRP ist das günstige und schnelle Werkzeug, zu dem eine Marke als Erstes greift. Jeder Name, der eine solche Beschwerde plausibel nach sich ziehen könnte, ist ein Name, den Sie nicht im Bestand haben wollen.

ACPA: Wenn es zu einer Klage und Geldforderungen kommt

Die UDRP kann nur den Namen übertragen. Das US-Recht geht weiter. Der Anticybersquatting Consumer Protection Act, der 1999 erlassen wurde, ermöglicht es einem Markeninhaber, vor einem Bundesgericht zu klagen und nicht nur die Domain, sondern auch Schadensersatz zu fordern.

Der ACPA hängt davon ab, ob der Registrant eine bösgläubige Absicht hat, von der Marke zu profitieren, und die Gerichte wägen eine Liste von Faktoren ab, um dies zu entscheiden. Mehrere dieser Faktoren zielen direkt auf Händler ab: Ein Gericht prüft die Absicht des Registranten, Kunden vom Online-Standort des Markeninhabers abzulenken und jedes Angebot, den Domain-Namen gegen finanziellen Gewinn an den Markeninhaber oder einen Dritten zu übertragen, zu verkaufen oder anderweitig abzutreten, ohne eine legitime Nutzung nachzuweisen. Lesen Sie das zweimal: Einer Marke eine E-Mail zu schreiben, um ihr „ihren“ Namen zum Kauf anzubieten, ist an sich schon ein Beweis für Bösgläubigkeit. Das ist die Falle, in die ahnungslose Händler tappen.

Das Geld ist der Teil, der wirklich wehtut. Nach dem Gesetz kann ein Kläger einen pauschalen Schadensersatz von nicht weniger als 1.000 $ und nicht mehr als 100.000 $ pro Domain-Namen, wie das Gericht es für gerecht hält, geltend machen. Registrieren Sie eine Handvoll markenähnlicher Namen, und das Risiko vervielfacht sich schnell. Nichts davon betrifft die generischen und markenfähigen Namen, die ein gesundes Portfolio ausmachen. Es ist vollständig vermeidbar, indem man niemals Namen kauft, die sich an die Marke eines anderen anlehnen.

Die Verteidigung des Händlers: Reverse Domain Name Hijacking

Das Gesetz ist keine Einbahnstraße, und das ist der Teil, den die meisten Anfänger nicht kennen. Manchmal handelt der Markeninhaber in böser Absicht und versucht, einen legitimen Registranten aus einem Namen zu drängen, auf den er keinen wirklichen Anspruch hat. Die Richtlinie hat einen Namen dafür. Reverse Domain Name Hijacking tritt auf, wenn ein rechtmäßiger Markeninhaber versucht, sich einen Domain-Namen zu sichern, indem er Cybersquatting-Ansprüche gegen den „Cybersquatter“-Besitzer eines Domain-Namens geltend macht. Die UDRP-Regeln definieren es als die Einreichung einer Beschwerde in böser Absicht, die zum Missbrauch des UDRP-Verwaltungsverfahrens führt.

Wenn Sie ein generisches Wort Jahre bevor ein Unternehmen es als Marke angenommen hat, registriert haben, haben Sie ein legitimes Interesse, und ein Gremium kann gegen den Beschwerdeführer entscheiden, weil er es versucht hat. Genau deshalb sind datierte und dokumentierte Erwerbsunterlagen wichtig. Je sauberer Ihre Geschichte – generischer Name, aus einem offensichtlich nicht verletzenden Grund registriert, nie zur gezielten Ansprache von jemandem verwendet –, desto stärker ist Ihre Verteidigung und desto wahrscheinlicher ist es, dass ein Gremium einen Rüpel zur Ordnung ruft. Halten Sie Ihre WHOIS- und Kaufunterlagen in Ordnung; sie sind Ihre Beweise.

Den Verkauf abwickeln, ohne betrogen zu werden

Redaktionelle Illustration eines Käufers mit Münzen und eines Verkäufers mit einem Domain-Tag, die beide über einen neutralen Treuhandsafe geleitet werden, der gleichzeitig Gelder und die Domain freigibt

Das Markenrisiko ist das rechtliche Risiko. Das transaktionale Risiko ist das Geschäft selbst. Ein Domain-Verkauf ist eine klassische Pattsituation in Sachen Vertrauen: Der Verkäufer wird nicht übertragen, bevor er bezahlt wird, und der Käufer wird nicht bezahlen, bevor er den Namen erhält. Wer zuerst handelt, ist dem Risiko ausgesetzt, und Betrüger nutzen diese Lücke.

Die Standardlösung ist ein Treuhandservice (Escrow) – eine neutrale dritte Partei, die gemäß der allgemeinen Definition Geld oder Eigentum für die primären Transaktionsparteien empfängt und auszahlt, wobei die Auszahlung von vereinbarten Bedingungen abhängt. Der Käufer zahlt an den Treuhänder, der Verkäufer überträgt die Domain, der Treuhänder bestätigt die Übergabe und gibt dann das Geld frei. Keine Seite muss der anderen vertrauen, nur dem Treuhänder. Die Mechanik erläutern wir in Domain-Treuhandservice erklärt und im Glossareintrag zu Treuhandservice.

Einige Betrugsmuster treten so häufig auf, dass man sie sich merken sollte. Weitere listen wir in Betrug beim Domain-Verkauf vermeiden auf:

Gefälschte Treuhand-Websites. Ein „Käufer“ besteht auf einem Treuhandservice, von dem Sie noch nie gehört haben, mit einer URL, die eine echte nachahmt. Die Website gehört ihm; Ihre Domain und alle Gebühren verschwinden. Verwenden Sie nur Treuhandservices, die Sie selbst ausgewählt und unabhängig überprüft haben.
Rückbuchungs- und Stornierungsbetrug. Ein Käufer zahlt mit einer rückgängig machbaren Methode, Sie übertragen den Namen, und dann zieht er die Zahlung zurück. Seriöse Treuhanddienste und unumkehrbare Abwicklungen existieren genau, um dies zu verhindern.
Überzahlungsbetrug. Ein „Käufer“ sendet zu viel Geld und bittet um die Rückerstattung der Differenz; die ursprüngliche Zahlung platzt später.

Die Quintessenz: Geben Sie niemals die Kontrolle über einen Namen aufgrund eines Versprechens ab. Die vollständige Vorgehensweise für Verkäufer finden Sie unter Wie man einen Domain-Namen verkauft, der einem gehört und in der breiteren Übersicht zum Domain-Handel.

So schützen Sie Ihr Portfolio vor Diebstahl

Redaktionelle Illustration eines Domain-Tags, das durch ein geschlossenes Vorhängeschloss und einen Schild mit einem umschlagsförmigen Schlüssel geschützt ist, während ein roter Phishing-Haken blockiert wird

Die letzte Bedrohung braucht Ihre Mitarbeit überhaupt nicht. Domain-Hijacking ist der Akt der Änderung der Registrierung eines Domain-Namens ohne die Erlaubnis seines ursprünglichen Registranten. Für einen Händler ist Ihr Portfolio Ihr Bankkonto, und ein gekaperter Premium-Name kann an einen unschuldigen Dritten verkauft werden, bevor Sie bemerken, dass er weg ist.

Hijacker brechen selten Kryptografie. Sie gehen über Menschen und E-Mails. Die gängigen Wege sind laut Wikipedia unbefugter Zugriff auf das System des Domain-Registrars oder das Ausnutzen einer Schwachstelle darin, durch Social Engineering oder einfach der Zugriff auf das E-Mail-Konto des Domain-Inhabers, das mit der Registrierung des Domain-Namens verknüpft ist. Kompromittiert ein Dieb die hinterlegte E-Mail-Adresse, kann er die Passwörter des Registrars zurücksetzen und eine Übertragung genehmigen. Wie Domain-Hijacking wirklich passiert zeichnet die gesamte Angriffskette nach.

Die Abwehrmaßnahmen sind kostengünstig und sollten bei jedem Registrar, den Sie nutzen, zur Routine werden:

Sperren Sie Ihre Namen. Der Status clientTransferProhibited weist die Registry an, Anfragen zur Übertragung der Domain abzulehnen und dient dazu, unbefugte Übertragungen aufgrund von Hijacking und/oder Betrug zu verhindern. Lassen Sie ihn für jeden Namen aktiviert, den Sie nicht aktiv übertragen.
Schützen Sie den Auth-Code. Eine legitime Übertragung zwischen Registraren benötigt den Authentifizierungscode (Auth-Code) von Ihrem aktuellen Registrar – das Geheimnis, das bei der Übertragung zwischen Registraren erforderlich ist. Behandeln Sie ihn wie ein Passwort; fügen Sie ihn niemals in das „Übertragungsformular“ eines Fremden ein.
Härten Sie die hinterlegte E-Mail-Adresse. Aktivieren Sie die Zwei-Faktor-Authentifizierung für das E-Mail-Konto, das mit Ihrem Registrar verknüpft ist, denn dieses Postfach ist der Generalschlüssel zu Ihrem gesamten Domain-Eigentumsdatensatz.

Wie tokenisiertes Eigentum das Risiko verändert

Die meisten der oben genannten Gefahren haben eine gemeinsame Wurzel: Das Eigentum an einer traditionellen Domain ist ein Datenbankeintrag bei einem Registrar, der nur über das Konto und die E-Mail-Wiederherstellung dieses Registrars nachweisbar ist und nur durch einen mehrstufigen Prozess übertragbar ist, bei dem jede Übergabe eine Gelegenheit für Betrug oder Hijacking darstellt. Das ist die Angriffsfläche, auf der Angreifer und Betrüger arbeiten.

Die Tokenisierung einer echten ICANN-Domain verkleinert diese Angriffsfläche. Wenn die Kontrolle on-chain abgebildet wird, ist das Eigentum überprüfbar statt auf Vertrauen basierend, und eine Übertragung wird atomar abgewickelt, anstatt sich über ein Zeitfenster zu erstrecken, in dem jemand eingreifen kann – mit DNS-Kontinuität, sodass der Name während der Übergabe sauber weiter auflöst. Dies hebt das Markenrecht nicht auf (ein markenverletzender Name ist auf jeder Schiene eine schlechte Idee), aber es greift direkt die Vertrauenslücke beim Treuhandservice und das Problem des Hijackings per E-Mail an. Das ist die Lücke, die Namefi schließen will, und wir gehen in Wie tokenisierte Marktplätze den Treuhandservice ersetzen tiefer darauf ein.

Die Kurzfassung

Kaufen Sie generische, beschreibende und erfundene Namen; niemals Namen, die sich an eine Marke anlehnen. Seien Sie sich bewusst, dass eine UDRP einen Namen schnell wegnehmen kann und der ACPA zusätzlich Geld kosten kann. Führen Sie saubere Aufzeichnungen, damit Sie einen legitimen Namen verteidigen können, auch gegen Reverse Hijacking. Schließen Sie jeden Verkauf über einen von Ihnen selbst gewählten Treuhandservice ab und sichern Sie Ihr Portfolio, damit niemand damit verschwindet. Wenn Sie das tun, ist das Gesetz ein Zaun, der Ihr Geschäft schützt, anstatt eine Falle, die nur darauf wartet, zuzuschnappen.

Freundlicher Haftungsausschluss (Bitte lesen!)

Wir sind keine Anwälte, Buchhalter, Finanzberater oder Ärzte, und nichts in diesem Artikel ist eine rechtliche, finanzielle, steuerliche, buchhalterische, medizinische oder irgendeine andere Art von professioneller Beratung. Wir schreiben diese Beiträge, um uns selbst weiterzubilden und als Service für unsere Kunden. Die hierin enthaltenen Informationen können veraltet, ortsspezifisch oder einfach falsch sein. Auch wir machen Fehler.

Für jede wichtige Entscheidung konsultieren Sie bitte einen echten Fachmann (ernsthaft!). Oder wenn das nicht Ihr Stil ist, fragen Sie einen Freund, fragen Sie Twitter, fragen Sie Reddit, fragen Sie eine KI oder fragen Sie einen Hellseher. Kurz gesagt: DOYR – Do Your Own Research (Recherchieren Sie selbst). Lassen Sie uns lernen und Spaß haben.

Quellen und weiterführende Lektüre

Wikipedia – Cybersquatting (Definition; bösgläubige Absicht, von einer Marke zu profitieren)
Wikipedia – Uniform Domain-Name Dispute-Resolution Policy (die drei Elemente; Rechtsmittel der Löschung oder Übertragung; WIPO)
WIPO – Rekordzahl an Cybersquatting-Fällen im Jahr 2024 (6.168 UDRP-Fälle, 133 Länder)
Wikipedia – Anticybersquatting Consumer Protection Act (erlassen 1999; Faktoren für Bösgläubigkeit)
Cornell Law / U.S. Code – 15 U.S.C. § 1117(d) (gesetzlicher Schadensersatz von 1.000–100.000 $ pro Domain-Namen)
Wikipedia – Reverse domain name hijacking (bösgläubige Beschwerde; Missbrauch des UDRP-Verfahrens)
Wikipedia – Escrow (neutrale dritte Partei hält und zahlt unter vereinbarten Bedingungen aus)
Wikipedia – Domain hijacking (Definition; Social-Engineering- und E-Mail-Konto-Routen)
Wikipedia – Extensible Provisioning Protocol (clientTransferProhibited; Auth-Code als Übertragungsgeheimnis)