Es wird Ernst mit der Umstellung auf das neue Internet-Protokoll IPv6. Datenschützer sind besorgt.
Das Thema IPv6 ist nicht neu. Die Entwicklung des Protokolls begann bereits 1995. Allerdings wird es nun Ernst mit der Umstellung vom „alten“ Protokoll IPv4 auf IPv6. Am 8. Juni 2011 findet der World IPv6 Tag statt, an dem viele große Webseitenbetreiber das Verhalten ihrer Webseiten im Dual-Stack-Betrieb testen werden.
Zwar werden von technischer Seite her keine großen Probleme prognostiziert (eine Nichterreichbarkeit der Webseiten wird nur für ca. 0,15 Promille der Internetnutzer erwartet, vor allem mit alter oder exotischer Hard- und Software). Jedoch ergeben sich aufgrund der Struktur der neuen IPv6-Adressen einige datenschutzrechtliche Fragen, über die sich Datenschützer besorgt zeigen.
Bislang: Keine feste Zuordnung
Bei den bislang genutzten IPv4 Adressen findet keine feste Zuordnung einer IP Adresse zu einem bestimmten Computer oder einer konkreten Person statt (dynamische Adressvergabe), da es aufgrund der Knappheit der „nur“ ca. 4,3 Mrd. Adressen unmöglich ist, jedem Internetnutzer mehrere IP Adressen (für Computer, Laptop, Netbook, Smartphone, etc.) zuzuteilen. Eine feste IP (static IP) wird im Normalfall nur in bestimmten Tarifen oder gegen Gebühr vergeben, bei allen anderen Nutzern ändern sich die IP Adresse in gewissen Abständen (von mehrmals am Tag bis zu wenige Male im Jahr).
Für diese dynamisch vergebenen IPv4 Adressen ist aufgrund der fehlenden Zuordnung zu einer natürlichen Person umstritten, ob sie personenbezogene Daten darstellen, welche die Anwendbarkeit der Vorschriften des Bundesdatenschutzgesetzes bzw. des Telemediengesetzes eröffnen würden.
Für Accessprovider, Webhoster und Webseitenbetreiber, die auch bisher schon IPv4 Adressen als personenbezogene Daten behandelt und entsprechend der strengen deutschen Datenschutzgesetze gespeichert und genutzt haben, wird sich mit der Einführung von IPv6 nichts ändern.
Probleme bereits im Dual-Stack-Betrieb
Alle anderen Webseitenbetreiber, die IPv6 Adressen erheben (z.B. durch Speicherung im Serverlog) und nutzen (z.B. per Google Analytics) möchten, müssen sich hingegen bald Gedanken über die Beachtung datenschutzrechtlicher Vorschriften machen, wenn ihr Webhosting-Anbieter in den Dual-Stack oder reinen IPv6 Betrieb übergeht.
Aufgrund des Aufbaus der IPv6 Adressen mit ihren 128 Bit (statt 32 Bit bei IPv4) steht nun jedem einzelnen Internetzugangsanbieter (z.B. T-Online, Vodafone, Alice, Netcologne, etc.) mindestens dieselbe Anzahl von IP-Adressen zur Vergabe an die eigenen Kunden bereit, die sich bislang die ganze Welt teilen musste (ca. 4,3 Mrd. Adressen). Damit besteht für Zugangsanbieter keine technische Notwendigkeit mehr, IP Adressen dynamisch zu vergeben. Vielmehr ist es möglich, jedem Kunden eine weltweit eindeutige IP Adresse zu erteilen, die sich während der gesamten Vertragslaufzeit nicht ändert, ähnlich einer Telefonnummer.
Da jedoch die Übermittlung der IP Adresse anders als bei der Telefonnummer nicht einfach auf Knopfdruck unterdrückt werden kann, sendet jeder Nutzer bei jeder Kommunikation diese eindeutige Identifikationsnummer an den Kommunikationspartner, selbst dann, wenn der Nutzer eigentlich gar nicht identifiziert werden möchte…
Eindeutige Wiedererkennbarkeit
Die IP Adressen der Nutzer, die von deren Zugangsanbieter nicht dynamisch vergeben werden, sind aufgrund dieser eindeutigen Wiedererkennbarkeit personenbezogene Daten im Sinne des Datenschutzrechts. Hierbei ist es auch unerheblich, ob der jeweilige Webseitenbetreiber eine IP Adresse aufgrund eigener Datenerhebung mit dem Echtnamen des Nutzers verknüpfen kann, da nach dem Erwägungsgrund 26 der Europäischen Datenschutzrichtlinie auch jedes vernünftigerweise einsetzbare Mittel zur Verknüpfung mit einem Echtnamen in den Anwendungsbereich der Richtlinie einzubeziehen ist, unbeschadet seiner möglichen Illegalität nach deutschem oder europäischen Datenschutzrecht.
Sollten sich also größere Zugangsanbieter gegen die dynamische und für eine feste Vergabe von IPv6 Adressen entscheiden, dürfte es nicht sehr lange dauern, bis Betreiber großer Webseiten, die selbst die Verwendung von Echtnamen für die Nutzung ihrer Dienste fordern bzw. empfehlen (z.B. Facebook, Google, Twitter, etc.), die statischen IPv6 Adressen mit diesen Echtnamen verknüpfen und die so entstehende Datenbank (quasi eine Whois Datenbank für IP-Adressen statt Domainnamen) auch kommerziell verwerten.
Spätestens mit der kommerziellen Verfügbarkeit solcher Whois-IP-Datenbanken wird auch die unter Juristen verbreitete Meinung des relativen Personenbezugs, nach der Daten nur für denjenigen personenbezogen sind, der diese auch mit Echtnamen verknüpfen kann, nicht länger haltbar sein, da dann jedem einzelnen Webseitenbetreiber diese Verknüpfung möglich sein wird.
Privacy Extensions nicht ab Werk
Jedoch ist mit der Problematik der vom Zugangsanbieter vergebenen festen IP Adresse nur ein Teil der Thematik erfasst. Denn vom Zugangsanbieter werden nur die ersten 64 der 128 Bit der IPv6 Adresse zugewiesen, das sog. Präfix. Die übrigen 64 Bit bilden den sog. Interface Identifier, die weltweit eindeutige Hardwarekennung der einzelnen Netzwerkkarte. Diese letzten 64 Bit werden vom Betriebssystem zugewiesen und bestehen im einfachsten Fall aus der vom Hersteller der Netzwerkkarte vergebenen unveränderlichen MAC Adresse. Der Interface Identifier macht also eine Wiedererkennung des jeweiligen PCs/Smartphones auch nach einem Wechsel des Zugangsanbieters möglich, solange nur dasselbe Gerät genutzt wird.
Zwar wird dieses Problem der weltweit eindeutigen Zuordnung der IP Adresse zu einem spezifischen Gerät in der Praxis dadurch entschärft, dass alle Microsoft Client Betriebssysteme (Windows XP, Vista, 7) die sog. Privacy Extensions für IPv6 ab Werk aktivieren und so die letzten 64 Bit der IPv6 Adresse in regelmäßigen Abständen aus Zufallszahlen jeweils neu generieren und nicht die MAC Adresse der Netzwerkkarte verwenden.
Allerdings sind gerade bei Smartphones, die üblicherweise immer von derselben Person genutzt werden, diese Privacy Extensions nicht ab Werk aktiviert und lassen sich in einigen Fällen nur sehr umständlich einschalten, z.B. bei iPhones mit iOS 4.1 und 4.2 oder bei Android Geräten. Auch Mac OS X und die meisten Linux Distributionen sind betroffen, da auch hier die Privacy Extensions zwar vorhanden, aber nicht ab Werk aktiviert sind.
Daher lässt sich auch anhand bestimmter Interface Identifier (ohne Privacy Extensions) ein Gerät wiedererkennen, sobald mit diesem auf eine Webseite zugegriffen wird. IPv6 Adressen ohne Privacy Extensions sind deswegen genau wie statisch vergebene Präfixe für jeden Webseitenbetreiber personenbezogene Daten, da eine Verknüpfung mit Echtnamen aus eigenen oder fremden Datenbeständen nicht mehr vernünftigerweise ausgeschlossen werden kann.
Grundsatz: Alles Verboten
Webseitenbetreiber, die bisher nach IPv4 gespeichert und ausgewertet haben, sollten sich darüber klar sein, dass jedenfalls IPv6 Adressen in vielen Fällen personenbezogene Daten sind, die dem Datenschutzrecht unterliegen. Und für deren Erhebung, Speicherung, Auswertung und sonstiger Verarbeitung und Nutzung gilt in Deutschland: grundsätzlich ist alles verboten, was nicht im Gesetz ausdrücklich erlaubt wird.
GABOR Rechtsanwälte sind auf Datenschutzrecht spezialisiert. Wir beraten Sie gerne.