<div dir="ltr"><div>Ah, but the email address is usually correct and can be used for that purpose as it was once verified and it continues to receive our reminders. So contactability is not an issue. We also have account data that we can use to contact registrants, so we don#t even actually need registration data for that purpose. <br></div><div>Further, we will act on any indication that the data is incorrect. The provision of stolen data is unpreventable. No matter how high the barriers thrown up against it, the criminals will find a way around. <br></div><div><br></div><div>Finally, we treat the data subjects of the stolen data as the actual domain owners under the legal principle of agency without authority, provided they retroactively approve the transaction. That way they can agree to the deletion if necessary or transfer it to their own management. So for all intents and purposes, even the false data is accurate.<br></div><br><div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span lang="EN-US">-- <br>Volker A. Greimann<br>General Counsel and Policy Manager<br><b>KEY-SYSTEMS GMBH</b><br><br>T: +49 6894 9396901<br>M: +49 6894 9396851<br>F: +49 6894 9396851<br>W: </span><a href="http://www.key-systems.net/" style="color:rgb(17,85,204)" target="_blank"><span lang="EN-US">www.key-systems.net</span></a><span lang="EN-US"><br><br>Key-Systems GmbH is a company registered at the local court of Saarbruecken, Germany with the registration no. HR B 18835<br>CEO: Oliver Fries and Robert Birkner<br><br>Part of the CentralNic Group PLC (LON: CNIC) a company registered in England and Wales with company number 8576358.<br><br></span><span style="font-family:Roboto,sans-serif;font-size:14px;white-space:pre-wrap;background-color:rgb(248,249,250)">This email and any files transmitted are confidential and intended only for the person(s) directly addressed. If you are not the intended recipient, any use, copying, transmission, distribution, or other forms of dissemination is strictly prohibited. If you have received this email in error, please notify the sender immediately and permanently delete this email with any files that may be attached.</span></div></div></div></div></div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 24, 2021 at 10:20 PM Alan Greenberg <<a href="mailto:alan.greenberg@mcgill.ca">alan.greenberg@mcgill.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div>
Volker, I can't speak to other data protection laws, but GDPR requires
accuracy "for the purposes for which they are processed" (GDPR
Article 5(d). If contact data is collected to enable contact with the
registrant, and it is "accurate data of the wrong data
subject", then it cannot be used to contact the registrant and it is
therefore not accurate.<br><br>
Alan<br><br>
At 2021-03-24 05:07 PM, Volker Greimann via Gnso-epdp-team wrote:<br>
<blockquote type="cite">Hi Brian,<br><br>
That approach is actually very compliant  with data protection law.
Overprotection is not an issue. If you simply protect all data equally in
a way that would be compliant, you do not need to differentiate.
<br><br>
Accuracy is shown by demonstrating that the data is unchanged from the
time it was created and how it was created, by showing that the data
subject has contractually agreed to only provide accurate data (and
correct if outdated), and has been provided with an annual opportunity to
review the data. That is the level accuracy that is relevant under the
accuracy principle of the GDPR, after all.<br><br>
On top of that (Bonus round for extra points here) the data collection
process ensured that only properly formatted data was collected and the
registrant has been required to verify his email address. <br><br>
So reasonable steps to ensure the accuracy have been taken, the data
subject can request a correction at any time and we will take action on
any indication of inaccuracy of the data.<br><br>
But the real problem isn't actually inaccurate data, in our experience.
It is accurate data of the wrong data subject. <br><br>
-- <br>
Volker A. Greimann<br>
General Counsel and Policy Manager<br>
<b>KEY-SYSTEMS GMBH</b><br><br>
T: +49 6894 9396901<br>
M: +49 6894 9396851<br>
F: +49 6894 9396851<br>
W: <a href="http://www.key-systems.net/" target="_blank">www.key-systems.net</a><br><br>
Key-Systems GmbH is a company registered at the local court of
Saarbruecken, Germany with the registration no. HR B 18835<br>
CEO: Oliver Fries and Robert Birkner<br><br>
Part of the CentralNic Group PLC (LON: CNIC) a company registered in
England and Wales with company number 8576358.<br><br>
This email and any files transmitted are confidential and intended only
for the person(s) directly addressed. If you are not the intended
recipient, any use, copying, transmission, distribution, or other forms
of dissemination is strictly prohibited. If you have received this email
in error, please notify the sender immediately and permanently delete
this email with any files that may be attached.<br><br>
<br>
On Wed, Mar 24, 2021 at 9:48 PM King, Brian
<<a href="mailto:Brian.King@markmonitor.com" target="_blank">
Brian.King@markmonitor.com</a>> wrote:<br>

<dl><br>

<dd>Hey Volker, <br><br>

</dd><dd> <br><br>

</dd><dd>I suppose my point (and I think I’m also paraphrasing an
intervention made by Melina previously) is that approach is not likely to
be compliant with data protection law. <br><br>

</dd><dd> <br><br>

</dd><dd>I accept that the concept of accuracy as a policy matter is not
within our remit, but let’s use accuracy as a data protection principle
– how could a controller reasonably demonstrate too a DPA that the
controller’s data is accurate, for example, if the controller has not
even assessed whether the data is personal data? <br><br>

</dd><dd> <br><br>

</dd><dd> <br><br>

</dd><dd>Brian J. King​<br>

</dd><dd>He/Him/His<br>
<br>

</dd><dd>Head of Policy and Advocacy, Intellectual Property Group<br><br>
<br>

</dd><dd>T +1 443 761 3726​<br><br>

</dd><dd>Time zone: US Eastern Time<br><br>

</dd><dd> <br><br>

</dd><dd><a href="http://www.clarivate.com" target="_blank">clarivate.com</a> | Accelerating
innovation<br><br>

</dd><dd>Follow us on
<a href="https://www.linkedin.com/company/clarivate" target="_blank">LinkedIn</a>,
<a href="https://twitter.com/clarivate?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor" target="_blank">
Twitter</a>, <a href="https://www.facebook.com/clarivate/" target="_blank">Facebook</a>
and
<a href="https://www.instagram.com/clarivateofficial/?hl=en" target="_blank">Instagram</a>
<br><br>

</dd><dd> <br><br>

</dd><dd>From: Volker Greimann
<<a href="mailto:vgreimann@key-systems.net" target="_blank">
vgreimann@key-systems.net</a>> <br>

</dd><dd>Sent: Wednesday, March 24, 2021 3:58 PM<br>

</dd><dd>To: King, Brian
<<a href="mailto:Brian.King@markmonitor.com" target="_blank">
Brian.King@markmonitor.com</a>><br>

</dd><dd>Cc: Mueller, Milton L
<<a href="mailto:milton@gatech.edu" target="_blank">milton@gatech.edu</a>>;
<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a><br>

</dd><dd>Subject: Re: [Gnso-epdp-team] On the proposed guidance<br><br>

</dd><dd> <br><br>

</dd><dd>Hi Brian,<br><br>

</dd><dd> <br><br>

</dd><dd>the easiest way to comply with data protection law is to simply treat
all registration data as if it were personal data. No chance of ever
running afoul data protection law if you do that correctly and it is
pretty easy to demonstrate as well. <br><br>

</dd><dd> <br><br>

</dd><dd>-- <br>

</dd><dd>Volker A. Greimann<br>

</dd><dd>General Counsel and Policy Manager<br>

</dd><dd>KEY-SYSTEMS GMBH<br><br>

</dd><dd>T: +49 6894 9396901<br>

</dd><dd>M: +49 6894 9396851<br>

</dd><dd>F: +49 6894 9396851<br>

</dd><dd>W:
<a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__www.key-2Dsystems.net_&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=yN8BHspGj3eYe2CXQepAVOhufF1uWv8Ut-PpDdaFw-k&e=" target="_blank">
www.key-systems.net</a><br><br>

</dd><dd>Key-Systems GmbH is a company registered at the local court of
Saarbruecken, Germany with the registration no. HR B 18835<br>

</dd><dd>CEO: Oliver Fries and Robert Birkner<br><br>

</dd><dd>Part of the CentralNic Group PLC (LON: CNIC) a company registered in
England and Wales with company number 8576358.<br><br>

</dd><dd>This email and any files transmitted are confidential and intended
only for the person(s) directly addressed. If you are not the intended
recipient, any use, copying, transmission, distribution, or other forms
of dissemination is strictly prohibited. If you have received this email
in error, please notify the sender immediately and permanently delete
this email with any files that may be attached.<br><br>

</dd><dd> <br><br>

</dd><dd> <br><br>

</dd><dd>On Wed, Mar 24, 2021 at 5:47 PM King, Brian via Gnso-epdp-team
<<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>
> wrote:<br>

<dl><br>

<dd>Hi Milton, <br><br>

</dd><dd> <br><br>

</dd><dd>Thank you for the constructive intervention. Your point is well
taken, and I can certainly see that from the RNH perspective. <br><br>

</dd><dd> <br><br>

</dd><dd>One feature of data protection law related to your point is that it
requires data controllers and processors to be able to demonstrate
compliance with the law. A controller or processor could doubtfully
demonstrate compliance with data protection law if they had not
determined whether they were actually processing personal data. In fact,
data protection professionals will tell you that you absolutely must
determine what personal data you’re processing as the first step toward
compliance with data protection law. It seems the policy question is:
what, if anything, should contracted parties be required to do based on
the status of the data? Is that right? <br><br>

</dd><dd> <br><br>

</dd><dd>As always, we’re happy to work with you and look forward to finding
consensus.<br><br>

</dd><dd> <br><br>

</dd><dd> <br><br>

</dd><dd>Brian J. King​<br>

</dd><dd>He/Him/His<br>
<br>

</dd><dd>Head of Policy and Advocacy, Intellectual Property Group<br><br>
<br>

</dd><dd>T +1 443 761 3726​<br><br>

</dd><dd>Time zone: US Eastern Time<br><br>

</dd><dd> <br><br>

</dd><dd><a href="http://www.clarivate.com" target="_blank">clarivate.com</a> | Accelerating
innovation<br><br>

</dd><dd>Follow us on
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.linkedin.com_company_clarivate&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=bTH9-uZa1ulAV7ltM77Kkw6zYbSjQTDRiIhZ5aILoQA&e=" target="_blank">
LinkedIn</a>,
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__twitter.com_clarivate-3Fref-5Fsrc-3Dtwsrc-255Egoogle-257Ctwcamp-255Eserp-257Ctwgr-255Eauthor&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=saAKJDKaijH6v2xkw6R0-WBownX8UIKXMN5zKsYPT58&e=" target="_blank">
Twitter</a>,
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.facebook.com_clarivate_&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=guRk82NQpoUPMKHhfkk8hBOD7LbP-ZT0VnzGOCoIzBI&e=" target="_blank">
Facebook</a> and
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.instagram.com_clarivateofficial_-3Fhl-3Den&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=ZZCjD7Z4CkwSecYOp5AXLrFBuQ3VgvD5E7kSFZsW9L4&e=" target="_blank">
Instagram</a><br><br>

</dd><dd> <br><br>

</dd><dd>From: Gnso-epdp-team
<<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">
gnso-epdp-team-bounces@icann.org</a>> On Behalf Of Mueller, Milton
L via Gnso-epdp-team<br>

</dd><dd>Sent: Wednesday, March 24, 2021 11:13 AM<br>

</dd><dd>To:
<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a><br>

</dd><dd>Subject: [Gnso-epdp-team] On the proposed guidance<br><br>

</dd><dd> <br><br>

</dd><dd>I was reading through two documents setting out in detail the
proposed guidance on legal/natural. <br><br>

</dd><dd>There seems to be more than one Google doc on this and I am not sure
which one is the latest or most official, though I suspect it is the one
with various people’s comments crawling all over it.<br><br>

</dd><dd> <br><br>

</dd><dd>I was pretty supportive of the Guidance overall. I had one problem
with it, though. <br><br>

</dd><dd>I liked the description of HOW the differentiation needed to take
place. But in describing WHEN differentiation takes place and WHO would
do it, it sets out 3 â€œhigh level scenarios†. <br><br>

</dd><dd>The first two are ok. The third scenario (listed as #5 in the
document) is that the Registrar does it for the RNH, based on
“inferences.† <br><br>

</dd><dd> <br><br>

</dd><dd>That option just doesn’t fly for those of us representing RNH’s
in this process. We cannot have a registrant’s disclosure status or
person type determined FOR them by someone else. If we can strike that
part of the guidance, I think we can be on our way to a much broader
consensus. <br><br>

</dd><dd> <br><br>

</dd><dd>Dr. Milton L Mueller<br><br>

</dd><dd>Georgia Institute of Technology<br><br>

</dd><dd>School of Public Policy<br><br>

</dd><dd>
<img alt="IGP_logo_gold block" width="203" height="81">
<br><br>

</dd><dd> <br><br>

</dd><dd>Confidentiality note: This e-mail may contain confidential
information from Clarivate. If you are not the intended recipient, be
aware that any disclosure, copying, distribution or use of the contents
of this e-mail is strictly prohibited. If you have received this e-mail
in error, please delete this e-mail and notify the sender immediately.
<br><br>

</dd><dd>_______________________________________________<br>

</dd><dd>Gnso-epdp-team mailing list<br>

</dd><dd><a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a>
<br>

</dd><dd>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">
https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>

</dd><dd>_______________________________________________<br>

</dd><dd>By submitting your personal data, you consent to the processing of
your personal data for purposes of subscribing to this mailing list
accordance with the ICANN Privacy Policy
(<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.icann.org_privacy_policy&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=KI3v50SXH9pcgbjslcb50spSZuwJHRD7_CnwSf_bcXc&e=" target="_blank">
https://www.icann.org/privacy/policy</a>) and the website Terms of
Service
(<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.icann.org_privacy_tos&d=DwMFaQ&c=OGmtg_3SI10Cogwk-ShFiw&r=qQNCXqU_XE2XIdXbawYmk-YDflYH6pd8ffXlzxU37OA&m=qD32H8OIbs1z3Y2bdkOzGc3mUHIMW_Xp_6ZhFqwuQa8&s=Pe4S6hYEUMqw6Eq9DWqbMeaOGnw2zVXTDobhF5xUuY0&e=" target="_blank">
https://www.icann.org/privacy/tos</a>). You can visit the Mailman link
above to change your membership status or configuration, including
unsubscribing, setting digest-style delivery or disabling delivery
altogether (e.g., for a vacation), and so on.<br><br>

</dd></dl></dd></dl>
<dd>Confidentiality note: This e-mail may contain confidential
information from Clarivate. If you are not the intended recipient, be
aware that any disclosure, copying, distribution or use of the contents
of this e-mail is strictly prohibited. If you have received this e-mail
in error, please delete this e-mail and notify the sender immediately.
<br><br>

</dd>Content-Type: image/png; name="image001.png"<br>
Content-Disposition: inline; filename="image001.png"<br>
Content-ID: <178660366ac4cff311><br>
X-Attachment-Id: 178660366ac4cff311<br><br>
<br>
_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">
https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your
personal data for purposes of subscribing to this mailing list accordance
with the ICANN Privacy Policy
(<a href="https://www.icann.org/privacy/policy" target="_blank">
https://www.icann.org/privacy/policy</a>) and the website Terms of
Service
(<a href="https://www.icann.org/privacy/tos" target="_blank">
https://www.icann.org/privacy/tos</a>). You can visit the Mailman link
above to change your membership status or configuration, including
unsubscribing, setting digest-style delivery or disabling delivery
altogether (e.g., for a vacation), and so on.</blockquote></div>

</blockquote></div>