IP|Experten: IPv6: Ende des Datenschutzes? Eine Analyse

von Matthias Lachenmann

Die Einführung des IPv6 Protokolls eröffnet neue technische Möglichkeiten, die zu einer weltweiten Totalüberwachung jedes Einzelnen führen könnten. So die Horrorvision, die von manchen Datenschützern gezeichnet wird. Andererseits werden die technischen Möglichkeiten und die Komfortvorteile nicht nur für Werbetreibende, auch für den einzelnen, nicht nur für den netzaffinen Bürger gelobt und auf technische Möglichkeiten der Anonymisierung verwiesen. Wie ist das neue IPv6-Protokoll, das insgesamt 340 Sextillionen IPs ermöglicht, datenschutzrechtlich einzustufen? Welche Unterschiede ergeben sich zum bisherigen Ipv4-Protokoll (welches nur knapp über 4 Milliarden IPs ermöglicht)?

Dies möchte der folgende Beitrag knapp untersuchen. Nach einer kurzen Einführung zu IPv6, der Technik und den sich ergebenden Möglichkeiten (1)), wird unter 2) untersucht, inwieweit eine IP-Adresse ein personenbezogenes Datum ist und sodann zum Abschluss unter 3) die Rechtslage bei IPv6 inklusive der dortigen Möglichkeiten zur Anonymisierung geprüft.

1) Hintergrund zu IPv6

Wie bereits angedeutet sind IPs wurde die Einführung von IPv6 nötig, da der bisherige Rahmen der zu verteilenden IP-Adresse erschöpft ist.[1] Seit Einführung 1981 entwickelte sich die Verbreitung internetfähiger Geräte mit einer nicht geahnten Geschwindigkeit. Daher erschöpfte sich inzwischen der verfügbare Rahmen des IPv4-Standards (welcher nur aus 32 Binar Stellen (Bits) besteht). Da IPs (Internet Protocol) jedoch notwendig für den Transport der Daten über das Internet sind,[2] wurde bereits seit 1998 durch die maßgebliche Internet Engineering Task Force (IETF) der neue Standard entwickelt, um ein ausreichendes IP-Spektrum zur gewährleisten.

Die technischen Möglichkeiten sind immens. So ermöglicht dies in größerem Umfang interaktives, internetbasierten Fernsehen (IPTV), Fahrzeugkommunikation zur Steuerung von Verkehrsflüssen, Zusammenführung von Kommunikationsdiensten mittels „Always-On“-Funktion wie auch eine sicherere Kommunikation aufgrund Ende-zu-Ende-Verbindungen. Insgesamt sorgen die technischen Möglichkeiten zu besseren Umsetzungsmöglichkeiten von technischen Entwicklungen und so zu einer Stärkung des deutschen Wirtschaftsstandortes.[3]

Die datenschutzrechtliche Problematik ergibt sich daraus recht offensichtlich: Ausführliche Bewegungs- und Nutzerprofile können erstellt werden (insbesondere durch die Verbreitung von Smartphones) – und das weit über die Grenzen von einzelnen Webseiten oder dem reinen Surfen im Netz hinaus. Insbesondere der Online-Werbung eröffnet dies ganz neue Möglichkeiten.[4] Ein weiterer aus datenschutzrechtlicher Sicht negativer Punkt ist, dass mit dem IPv6 Protokoll eine deutliche Vereinfachung des Routings, also der Verteilung der Datenpakete, erfolgt. Die Daten können nun bei geringen Wegen zielgerichteter verteilt werden. Dies hat zur Folge, dass durch ähnliche Adress-Präfixe Rückschlüsse „auf ähnliche Routen und damit geografische Herkunft von Datenpaketen“ möglich sind.[5]

Vor dem Hintergrund dieser Gefahren für die Privatsphäre ist zu prüfen, wie sich die deutsche Rechtslage zum Datenschutz von IP-Adressen darstellt. Das Bundesdatenschutzgesetz (BDSG) möchte gerade die Freiheit auf informationelle Selbstbestimmung schützen. Unternehmen sollen Daten über den Einzelnen nur in Grenzen sammeln dürfen. So besteht auch ein Bedürfnis, sich anonym im Internet bewegen zu können. Bei einer Personenbezogenheit von IP-Adressen haben die Unternehmen erhöhte rechtliche Anforderungen zu beachten.

2) Sind IP-Adressen personenbezogene Daten?

Die Kurzantwort ist ein klares: „Jein“ bzw. „Es kommt darauf an“.

a) Grundlagen

Da für IPv4 und IPv6 die identischen Grundsätze gelten, kann vom bestehenden IPv4-Standard ausgegangen werden. Rechtlich ist dabei von § 3 Absatz 1 BDSG auszugehen. Danach sind personenbezogene Daten alle „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlicher Person“. IP-Adressen sind dabei – zumindest bei privaten Anschlüssen – zweifellos Einzelangaben, die persönliche oder sachliche Verhältnisse beschreiben. Entscheidend ist die Frage, ob dadurch eine einzelne Person „bestimmt“, also konkret ermittelt, werden kann. Darüber herrscht in der juristischen Literatur große Uneinigkeit.

Es gibt zwei Lager: Nach der „absoluten Theorie“ ist eine IP-Adresse objektiv gesehen personenbezogen, da jedenfalls der Provider eine Verknüpfung vornehmen kann und aufgrund vieler technischer Möglichkeiten auf irgendeine Weise zumindest theoretisch ein Personenbezug hergestellt werden kann. Dies wird vor allem von Personen vertreten, die den Datenschutz als sehr wichtig einstufen, insbes. die Datenschutzbehörden. Nach der „relativen Theorie“ hingegen ist es irrelevant, dass ein Datum theoretisch irgendwie zu einem personenbezogenen Datum werden kann – maßgeblich sei nur die Frage, wann für wen die Möglichkeit bestehe, einen Bezug herzustellen – nur dann liege ein Personenbezug vor.

b) Die absolute Theorie

Danach läge ein Personenbezug vor, wenn die Person, der die IP-Adresse zugewiesen ist, von zumindest einer Person bestimmt werden kann.[6] Da der Provider jedenfalls die IP-Adresse einem Kunden zuordnen kann (aufgrund der vertraglichen Grundlage), wären IP-Adressen somit stets personenbezogene Daten. Über die vielfältigen im Internet verfügbaren Informationen sei ein Personenbezug so einfach herstellbar, dass auch keine Ausnahme wegen eines unverhältnismäßig hohen Aufwandes an Zeit, Kosten und Arbeitskraft für die Ermittlung vorliege.

Für diese Ansicht, die z.B. das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) vertritt,[7] wird auch der Erwägungsgrund Nr. 26 der EG-Datenschutzrichtlinie 95/46/EG vorgebracht, nach welcher die Möglichkeit einer Bestimmung „von dem Diensteanbieter oder von jeder anderen Person“ zur Identifizierung herangezogen werden könnte. Zwischen statischen und dynamischen Adressen muss hier nicht unterschieden werden.

Diese Theorie ist jedoch abzulehnen, da sie viel zu pauschal ist und die grundsätzliche durch den Provider vorgenommene Anonymisierung bzw. Pseudonymisierung völlig außer Acht lässt.

c) Relative Theorie

Daher ist die relative Theorie vorzuziehen. Diese sieht eine IP-Adresse nur für bestimmte Personen bzw. Anbieter von Internet-Diensten (§ 11 TMG) als ein personenbezogenes Datum an; nämlich für solche, die aufgrund zusätzlicher Informationen einen Bezug zu bestimmten Personen herstellen können.[8] Bei statischen IP-Adressen (die stets demselben Internetzugang zugeteilt sind)[9] ist dies dann einfach, wenn der Nutzer sich irgendwie personalisiert einloggt – wobei statische IP-Adressen fast nur Unternehmen bzw. Zugängen mit mehreren Zugangsberechtigten zugeteilt werden, so dass ein genauer Nutzer nur schwer zuordenbar ist.

Für Diensteanbieter im Internet (also jede Homepage, insbesondere auch soziale Netzwerke) ist dies stark einzelfallabhängig. Wer schlicht die Logfiles oder die Bewegungen bei Google Analytics prüft, sieht nur die IP-Adresse, ohne dies einer speziellen Person zuordnen zu können. Die zusätzlichen Informationen kann der Webseitenbetreiber jedoch grundsätzlich nicht bekommen.[10] Dies vertritt auch der I. Senat des BGH: Er entschied in der Entscheidung „Sommer unsers Lebens“,[11] dass die IP-Adresse nicht mit einem eBay-Nutzerkonto vergleichbar sei, da die IP keinem konkreten Nutzer zugeordnet sei und daher keine zuverlässige Auskunft über den tatsächlichen Nutzer geben könne. Weiters spricht dafür auch § 13 Abs. 6 TMG, welcher Diensteanbieter verpflichtet, eine pseudonyme oder anonyme Nutzung seines Dienstes anzubieten. Wenn man IP-Adresse jedoch mit der objektiven Theorie als regelmäßig personenbezogen ansehen würde, wäre eine solche Pseudonymisierung gar nicht möglich, da so die Verbindung in das Internet erfolgt.[12]

Eine IP-Adresse ist deshalb für sich genommen kein personenbezogenes Datum – außer wenn der Bezug ohne unverhältnismäßig großen Aufwand mit üblicherweise vorhandenen Hilfsmitteln hergestellt werden kann.[13]

d) Beispiel: Facebook und Google

Eine Personenbezogenheit kann jedoch sehr einfach hergestellt werden, wenn ein Diensteanbieter weitere Informationen erhält. Dies gilt insbesondere für soziale Netzwerke wie Facebook, für die die IP-Adresse meist ein personenbezogenes Datum ist. Bei diesen meldet sich ein Nutzer mit Klarnamen an. Dadurch teilt er weitere personenbezogene Daten mit, die sich für den Anbieter verknüpfen lassen – dieser kann die Daten zusammenführen und hat dann ein personenbezogenes Profil mit den vom Nutzer mitgeteilten Informationen sowieso seinen jeweiligen IP-Adressen. Dies gilt nicht nur, wenn ein bei Facebook eingeloggter Nutzer auf einer beliebigen Webseite auf Facebooks „Gefällt mir“-Button klickt. Aufgrund der weiten Verbreitung dieses Buttons – wie auch von Google Analytics – können diese Unternehmen Nutzungsprofile von allen IP-Adressen erstellen. Je nachdem, welche zusätzlichen Informationen diese Unternehmen dann besitzen, wird die IP-Adresse für sie personenbezogen. Dies gilt insbesondere für Cookies oder auch die persönliche Identifikationsnummer von Smartphones.

Hier wird nun deutlich, weshalb die Datenschutzbehörden sich so an die objektive Theorie klammern: Wenn den Anbietern keine zusätzlichen Informationen vorliegen, haben sie nur eine große Sammlung pseudonymisierter Daten, die sie nicht direkt auf Personen beziehen können. Die Aufsichtsbehörden fürchten jedoch auch diese pseudonymiserten Datensammlungen (theoretisch können in der Zukunft dann Verknüpfungen hergestellt werden – z.B. über IPv6) und möchten daher auch diese verhindern. Bei Anbietern von personalisierten Diensten, bei denen eine Anmeldung des Nutzers erfolgt, der weitere Daten wie seinen Namen mitteilt, liegt eine Bestimmbarkeit der über die IP gesammelten Informationen vor. Negative Auswirkungen hat die objektive Theorie auf jede Homepage, die den „Like-Button“ eingebunden hat. Denn ohne dass er etwas damit anfangen könnte wird der Homepage-Betreiber dann nach § 3 Abs. 4 Nr. 3 b) BDSG zu einer datenschutzrechtlich verantwortlichen Person. Facebook hingegen kann die IP leicht zuordnen und hat somit einen viel weitergehenden Personenbezug.[14]

Als Ergebnis kann man somit festhalten:

  • Eine IP-Adresse ist nur dann personenbezogen, wenn eine Person bzw. ein Unternehmen weitere Information hat, mit denen sie die IP verknüpfen kann.
  • Bei IP-Adressen kann von einer „potentiellen Personenbezogenheit“ gesprochen werden.
  • Für einen Accessprovider ist die IP-Adresse immer personenbezogen.
  • Für alle anderen Unternehmen ist eine IP-Adresse nur personenbezogen, wenn weitere Informationen dazukommen (z.B. Eingabe von persönlichen Daten in einem Formular; Anmeldung zu einem Nutzer-Zugang).

3) Auf welchen technischen Grundlagen beruht IPv6 und welche Möglichkeiten zur Anonymisierung gibt es

a) Rechtliche Bewertung

Das Gesagte gilt grundsätzlich ebenso für IPv6: auch hier müssen neben der IP weitergehende Informationen vorliegen. Dies ist nun jedoch deutlich einfacher, so dass faktisch eine deutlich höhere Wahrscheinlichkeit der Identifizierung besteht. (Soweit man die absolute Ansicht vertritt ist dies erst Recht zwingend.)[15] Dies wird technisch und rechtlich allerdings komplexer, da die IPs nun aus zwei Teilen bestehen:

Der erste Teil, das sog. Präfix (die ersten 64bit), werden wie bislang vom Accessprovider vergeben. Der zweite Teil, der sog. Interface Identifier, wird hingegen seitens der Nutzer generiert. Dazu gibt es diverse Individualisierungsmechanismen, z.B. kann die MAC-Adresse des Netzwerkadapters des (W-)LANs verwandt werden.[16] Damit ist eine dauerhafte Festlegung eines einzelnen Gerätes (z.B. des Smartphones oder auch eines Kühlschranks) möglich.

Dies zeigt, dass eine Personenbestimmbarkeit deutlich einfacher erfolgen kann und insbesondere durch die statische Verteilung gespeicherte IPs auch in der Zukunft, wenn weiter gesammelte Daten zusammengeführt wurden u.U. zu großen Nutzerprofilen führen kann. Teilweise wird daher vertreten, dass trotz Anonymisierungsmöglichkeiten IPv6-Adressen immer als personenbezogene Daten anzusehen seien.[17]

Zur Sicherung des Datenschutzniveaus sind daher zusätzliche Anonymisierungsmöglichkeiten zu treffen. Diese sind sogar zwingend, um die Privatsphäre des Einzelnen nicht völlig auszuhöhlen.

b) Technische Bewertung

Um dies einzuschränken und eine Anonymisierung zu gewährleisten wurden technische Verfahren eingeführt. Zu nennen ist insbesondere die sog. „Privacy Extension“. Wenn diese aktiviert wird, wird der zweite Teil der IPv6 ständig erneuert und zufällig erstellt.[18] Insofern erfolgt eine Annäherung an die dynamischen IP4-Adressen, für deren Personenbezogenheit das Zeitmoment zwingend ist. Der Nachteil ist bislang, dass trotz dieser Standardisierung das Verfahren nicht von allen Endgeräten unterstützt wird (und z.B. bei allen Betriebssystemen außer Windows – auch bei Smartphones! – standardmäßig deaktiviert ist). Bei iPhone und iPad sind privacy extensions ab iOS 4.3 standardmäßig aktiviert, bei Android hingegen lässt sich die Erweiterung technisch noch nicht aktivieren.[19] Zudem ist problematisch, dass eine Wiedererkennung auch ohne Cookies oder Interface Identifier möglich ist, wenn ein Diensteanbieter weitere, einen konkreten PC bestimmbare Merkmale abspeichert, z.B. Version und Einstellungen von Betriebssystem und Browser.[20] Bei iPhones ist unter Umständen eine Verknüpfung mit der UDID möglich, welche als spezielle Gerätekennzeichnung jedem Gerät dauerhaft zugeteilt ist, was zu einer einfachen Verknüpfbarkeit führt.

c ) Ergebnis zu IPv6

Die Angst der Datenschützer einer völligen Überwachbarkeit des Einzelnen durch IPv6 ist nicht von der Hand zu weisen. Nötig sind insbesondere technische Schutzmaßnahmen seitens der Accessprovider, um ein hohes Maß an Anonymisierung zu gewährleisten. Bei IPv6 obliegt es jedoch umso mehr dem Kunden, auf die (Un-) Möglichkeit des Datenschutzes zu achten. Andererseits kann sich für Unternehmen, die auf die neuen Herausforderungen entsprechend reagieren und ihren Datenschutzstandard dem IPv6 anpassen, ein deutlicher Wettbewerbsvorteil ergeben.

 

Matthias Lachenmann ist Rechtsanwalt. Er ist tätig in den Bereichen IT-Recht, Datenschutzrecht, gewerblicher Rechtsschutz und Gründungsberatung. Für das Start-up Pretty Digits Legal, das iPhone-Apps für Anwaltskanzleien entwickelt ist er ebenfalls tätig. Er twittert unter @LAWchenmann.



[1] Ermert, Zeit Online, Bye Bye IPv4, S. 1., http://www.zeit.de/digital/internet/2011-02/ipv4-ipv6-adressbloecke/; Der letzte Abruf aller URLs erfolgte am 29.6.2012; Zur Verteilung dynamischer IPs aufgrund der zahlenmäßigen Beschränkung: Voigt, MMR 2009, 377, 378.

[2] Krüger/Maucher, MMR 2011, 433; zur technischen Seite siehe RFC 791 (Internet Protocol) und RFC 2050 (Internet Registry IP Allocation Guidelines); http://www.ietf.org/rfc.html/.

[3] Ausführlich siehe Aktionsplan des deutschen IPv6-Counsel, http://www.ipv6council.de/aktionsplan/.

[4] Ausführlich dazu: Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 28./29. September 2011, Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen!, Dokumentenband 2011, S. 23.

[5] Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2011, S. 184; http://www.datenschutz-berlin.de/attachments/861/JB_11_Inhalt_Web.pdf?1332424044/. Die Auswirkungen wurden auch durch die deutschen Datenschutzbehörden behandelt, vgl. ausführlich die Entschließung vom 1. November 2011 über die Verwendung eindeutiger Kennungen bei der Nutzung der Internet Protokoll Version 6 (IPv6), Dokumentenband 2011, S. 115.

[6] So z.B. LG Berlin, Urteil vom 6.9.2007 – 23 S 3/07, ITRB 2007, 246 = K&R 2007, 601, zuvor AG Berlin-Mitte, Urteil vom 27.3.2007 – 5 C 314/06, ITRB 2008, 34 = K&R 2007, 600; als bloße Feststellung ohne Begründung auch der EuGH, Urteil vom 24.11.2011 – C-70/10; Art. 29 Datenschutzgruppe der EU-Kommission Stellungnahme 4/2007, S. 14:

http://www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf/ – Gegenansicht von Google: Google Response to the Article 29 Working Party Opinion On Data Protection Issues Related to Search Engines, http://www.scribd.com/doc/5625427/googleogbarticle29-response, S. 6.

[7] http://www.DatenSchutzZentrum.de/IP-Adressen/.

[8] Z.B. Meyerdierks, CR 2009, 8; Eckhardt, K&R 2007, 602; AG München MMR 2008, 860.

[9] Ausführlich z.B. Schmitz, in Spindler/Schmitz/Geis, TDDSG, 2004, § 1 Rn. 26 f.

[10] vgl. Eckhard, CR 2011, 339.

[11] BGH, Urteil vom 12.05.2010 – I ZR 121/08, MMR 2010, 565.

[12] Ausführlich dazu Meister, in Taeger (Hrsg.) Tagungsband Herbstakademie 2011, S. 561, 570.

[13] Meister, aaO S. 568; auch Buchner in Taeger/Gabel, BDSG, 2010, § 3 Rn. 13.

[14] Vgl. dazu auch KG Berlin MMR 2011, 464, die allerdings fälschlich davon ausgehen, dass alle gesammelten IP-Adressen einer Person zugeordnet werden könnten.

[15] Z.B. Wegener/Heidrich, CR 2011, 479.

[16] Ausführlich zur technischen Seite: http://Tools.IETV.org/pdf/rfc4291.pdf/.

[17] Freund/Schnabel, MMR 2011, 495, 497 = http://www.datenschutz-hamburg.de/uploads/media/IPv6_Aufsatz_in_MMR-08-2011.pdf; Hoeren, ZRP 2010, 252

[18] Freund/Schnabel aaO S. 496; Wegener/Heidrich aaO S. 482.

[19] Heermann, ZD-Aktuell 2012, 02992.

[20] Freund/Schnabel aaO S. 497.

 
Post2PDF

6 Kommentare zu “IP|Experten: IPv6: Ende des Datenschutzes? Eine Analyse”

  1. Hannah
    24. August 2012 15:18
    1

    Wenn Sie in der technischen Bewertung zu IPv6 anführen, dass die Privatsphäre selbst bei aktivierten Privacy Extensions gefährdet sein kann – nämlich wenn Diensteanbieter zusätzliche Informationen über das Endgerät (Browserversion, UUID, Betriebssystemversion, etc.) mit Information aus dem Präfix verknüpfen (die letztlich den Access-Anbieter und ggf. geographische Information beinhaltet), dann müsste die selbe Gefahr auch bei IPv4 gesehen werden.

    Denn schon hier sehe ich, z.B. wenn ich auf die Startseite von Google zugreife, dass mein geographischer Standort oft recht genau lokalisiert wird, selbst mit abgeschalteten Cookies etc. Bei Diensten wie Youtube sehe ich wiederum, wie die eigentlichen Videoströme von spezifischen Servern kommen, die meinem Internet-Zugangsanbieter (z.B. Telekom, Alice, …) zugeordnet sind.

    D.h. auch unter IPv4 kann ein Telemedien-Anbieter bereits eben mit solchen Verknüpfungen zwischen Diensteanbieter, geographischer Lokalisierung, Information über das Endgerät, Individualisierung über Cookies zumindest sehr nahe an die De-Anonymisierung kommen.

  2. Matthias Lachenmann
    3. September 2012 20:51
    2

    Ja, das ist richtig – Je mehr Informationen ein Diensteanbieter hat, um so näher kommt er der De-Anonymisierung und kann auch bei wechselnder IP-Adresse seine Rückschlüsse ziehen; Cookies sind da gar nicht mehr nötig.

    Das ist vermutlich auch der Hauptgrund, weshalb die Aufsichtsbehörden IP-Adressen generell als personenbezogen einstufen (sozusagen präventiv).

  3. Das IPv6 –Protokoll: Endpunkt des Datenschutz? - Kanzlei Lachenmann
    28. Dezember 2012 11:03
    3

    […] Eine ausführliche Analyse (mit vielen Quellen) finden sie als Gastbeitrag meiner Kanzlei in dem Blog http://www.IP-Notiz.de […]

  4. Berichtsentwurf zur Datenschutz-EU-VO enttäuscht - Kanzlei Lachenmann
    9. Januar 2013 19:18
    4

    […] entscheidet sich für die absolute Definiton, obwohl die relative Definition viel sinnvoller ist. (Ausführlich habe ich die Diskussion zum Datenschutz bei IP-Adressen im Blog IP-Notiz beschrieben; eine Kurzfassung gibt es […]

  5. Jede Homepage benötigt eine Erklärung zum Datenschutz, da immer personenbezogene Daten verarbeitet werden! - Kanzlei Lachenmann
    2. Oktober 2013 12:49
    5

    […] Externer Link: Eine juristische Bewertung zum Personenbezug von IP-Adressen gibt RA Lachenmann in einem Gastbeitrag…. […]

  6. Datenschutz-Anforderungen für App-Anbieter – Orientierungshilfe der Aufsichtsbehörden - Kanzlei Lachenmann
    24. Juni 2014 12:41
    6

    […] überraschend vertreten die Aufsichtsbehörden weiterhin die (falsche) „objektive Ansicht“ beim Personenbezug. Damit fallen neben IP-Adresse auch Daten wie IMEI, UDID, IMSI, MAC-Adresse und […]

Kommentar abgeben: