LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

IPv6 und Datenschutz: Per­so­na­li­siertes Surfen mit Gefahren für die Pri­vat­sphäre

Die letzten IP-Adressblöcke sind vergeben, an einer beschleunigten Einführung des Internet-Protokolls IPv6 geht nun wohl kein Weg mehr vorbei. Dieses ermöglicht nicht nur eine unbegrenzte Zahl von Adressen, sondern auch ein schnelleres und komfortableres Bewegen im Netz. Datenschützer treten trotzdem auf die Euphoriebremse – zu Recht, meinen Thomas Weimann und Daniel Nagel.

Im Dezember 1995 erläuterten Stephen Deering und Robert Hinden die Vorzüge eines neuen Internet-Protokolls, der Internet-Protokoll-Version 6 (IPv6). Obwohl bereits in den 1990ern als die Zukunft des Internets gefeiert, wurde die Einbindung nur sehr verhalten umgesetzt. Dies überraschte umso mehr, da die Endlichkeit der unter IPv4 zur Verfügung stehenden Adressen schon früh prognostiziert wurde.

Mit dem tatsächlichen Herannahen der völligen Ausschöpfung des Adressraumes noch im Jahr 2011 - im Februar wurden die letzten beiden Adressblöcke vergeben – hat man nun aus der Not eine Tugend gemacht und die nach Maßstäben des Informationszeitalters sehr alte Entwicklung zum Heilsbringer des nächstens Jahrtausends erklärt.

Dazu wurde für den 8. Juni diesen Jahres der "World IPv6 Day" ausgerufen, an dem sich namhafte Unternehmen wie Google, Facebook und Yahoo beteiligen und für 24 Stunden ihre Inhalte im so genannten Dual-Stack-Betrieb anbieten, der eine Erreichbarkeit von Webseiten sowohl per IPv4 als auch per IPv6 ermöglicht.

Diese Idee haben zwar schon zuvor einzelne Diensteanbietern umgesetzt; so läuft etwa heise.de seit September 2010 im Dual-Stack Betrieb. Nun aber soll zunächst zumindest für einen Tag ein möglichst großer Bereich des Internets IPv6-tauglich gemacht werden. Ziel ist, im Vorgriff auf die bald kommende endgültige Einführung des IPv6 – die Telekom plant dies noch in diesem Jahr - eine schnelle Einführung des neuen Protokolls zu bewerben.

IP-Adressen als personenbezogene Daten

Zum Zeitpunkt der Geburtsstunde des IPv6 lasen sich dessen Vorzüge wie eine Botschaft aus der Zukunft: Nicht nur stehen anstelle von 32 Bit nun 128 Bit an Adressen zur Verfügung. Auch ist das Kopfdatenformat ist zum Zwecke einer schnelleren, flexibleren und damit kostengünstigeren Durchleitung von Informationen vereinfacht und die Authentifizierung des Users erleichtert. Schließlich ermöglicht es IPv6, Datenströme zu kategorisieren und zu kontrollieren.

Aus technischer Sicht lesen sich diese Vorzüge auch heute noch gut, und aus tatsächlicher Sicht führt an IPv6 aufgrund der natürlichen Begrenzung von IPv4 auf 4,3 Milliarden Adressen auch kein Weg vorbei. Datenschutzrechtlich entsteht aber durch die Vervielfachung der Möglichkeiten auch eine Vervielfachung möglicher Bedenken.

Bislang konnte man noch die Ansicht vertreten, dass IP-Adressen nicht generell als personenbezogene Daten eingestuft werden können, sondern lediglich ein relativer Personenbezug gegeben ist. Dies wurde damit begründet, dass aus der Ermittlung einer bloßen IP-Adresse zwar für die jeweiligen Zugangsvermittler, nicht aber für jedermann ohne Weiteres nachvollziehbar ist, welcher Anschluss sich hinter welcher Adresse verbirgt.

Nach Abmahnungen im Filesharing-Bereich ist es aber mittlerweile ein offenes Geheimnis, dass eine IP-Adresse zumindest mittelbar einem Anschluss zugeordnet werden kann. Daher haben viele Datenschutzbeauftragte auf Landes-, Bundes- aber auch europäischer Ebene bereits zu IP-Adressen im Rahmen von IPv4 die Auffassung vertreten, dass diese grundsätzlich als personenbezogene Daten einzustufen sind.

Privacy Extensions nicht bei allen Betriebssystemen vorgesehen

Nachdem durch IPv6 ein derart großer Adressraum gegeben ist, dass nicht nur jedem Menschen, sondern auch zusätzlich jedem Haustier eine eigene Adresse zugewiesen werden könnte, und immer noch ein riesiger "ungenutzter" Adressbestand zur Verfügung stünde, ist eine klare Identifikation aller im Internet beteiligten Akteure nicht nur einfach möglich, sondern auch offen vorgesehen. So verpflichtet beispielsweise RIPE NCC, die für den europäischen und zentralasiatischen Raum zuständige Vergabestelle für IP-Adressen, Access Provider in einer Zusatzerklärung darauf, dafür zu sorgen, dass feste Zuweisungen von Adressen RIPE mitgeteilt und alle Providerwechsel angezeigt werden.

Doch auch ohne die dadurch entstehende Datenbank bei Vergabestellen birgt die Verwendung von IPv6 Adressen einiges an Offenbarungspotential zu Lasten der Nutzer. Die EU-Kommission hatte bereits im Jahr 2002 darauf hingewiesen, dass durch die Einführung von IPv6 die Balance zwischen einem funktionierenden und praktischen Netzwerk und dem Recht auf Privatsphäre auf eine harte Probe gestellt wird. Eigens zu diesem Problem eingerichtete Working groups vergleichen die feste Zuweisung häufig mit einem digitalen Fingerabdruck, der nur schwer zu verwischen ist.

Mit dem möglichen Erhalt einer festen Adresse verbleibt daher lediglich die Möglichkeit, das Hinterlassen von Fingerabdrücken durch die Verwendung von so genannten Privacy Extensions zu vermeiden. Diese verschlüsseln einen Teilbereich der IP-Adresse. Dadurch kann verhindert werden, dass man künftig nicht mehr lediglich nach einem Einloggvorgang wie etwa auf amazon ein angepasstes Angebot erhält, sondern beim Besuch jedweder Website mit Namen begrüßt wird und eine dem Benutzerprofil entsprechende Gestaltung der Homepage vorfindet.

Auch wenn diese Option zunächst nach der Lösung aller Probleme klingt, ist sie nicht ganz so einfach umzusetzen: Einige Betriebssysteme wie etwa das auf dem iPad verwendete iOS sehen die Einstellung von "Privacy Extensions" nämlich überhaupt nicht vor.

Nächster Showdown mit Softwareunternehmen vorprogrammiert

Auch ohne Verwendung digitaler Handschuhe besteht zunächst eine gewisse Übergangsfrist, da eine Zuordnung von Namen zu IP-Adressen anfänglich noch nicht automatisch möglich ist. Man muss jedoch befürchten, dass spätestens nach der ersten wahrheitsgetreuen Eingabe von Name und Adresse auf einer Homepage diese Dank des boomenden Adresshandels bald einer Vielzahl von Internet Service Providern als "Veredelung" der jeweiligen IP-Adresse zur Verfügung steht.

Schließlich hat auch die bei Verwendung von IPv6 bestehende Möglichkeit der Kategorisierung und Kontrolle von Datenströmen nicht nur Vorteile. Sie bietet nämlich nicht nur eine Erhöhung der Stabilität und der Beschleunigung von Informationsaustausch, sondern bringt auch eine Priorisierung mit sich, wodurch wiederum die von vielen Seiten geforderte Netzneutralität in Frage gestellt wird.

Im Ergebnis wird die Einführung von IPv6 auch von Datenschützern nicht zu verhindern sein, ihre möglichen Auswirkungen sollten aber im Auge behalten werden. So viele Vorteile personalisiertes Surfen auch bieten mag, so schnell sind diese aus datenschutzrechtlicher Sicht relativiert. Soweit keine Verschlüsselung der IP-Adresse eingestellt werden kann, ist es ähnlich wie bei Elias Canetti: Die Lebenserwartung können Service Provider anhand der IPv6-Adresse zwar noch nicht bestimmen, aber sonst so ziemlich alles.

Nachdem einige Datenschutzbeauftragte - allen voran Johannes Caspar – in der Vergangenheit bewiesen haben, auch den Kampf mit Goliath nicht zu scheuen, kann man daher mit einer gewissen Spannung dem nächsten Showdown mit all den Softwareunternehmen entgegensehen, die eine Aktivierung von "Privacy Extensions" nicht zum automatischen Bestandteil eines jeden Betriebssystems machen.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.

Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.

Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.

 

Mehr auf LTO.de:

Netzneutralität: Regeln für die virtuellen Briefträger

EU-Datenschutz: Digitaler Radiergummi für soziale Netzwerke

Datenschutz: Gläserner Kunde an der Kasse

Zitiervorschlag

Thomas Weimann und Daniel Nagel, IPv6 und Datenschutz: Personalisiertes Surfen mit Gefahren für die Privatsphäre . In: Legal Tribune Online, 31.03.2011 , https://www.lto.de/persistent/a_id/2904/ (abgerufen am: 22.11.2019 )

Infos zum Zitiervorschlag