Heute, am 6. Juni 2012 ist IPv6 Launch-Tag. Ein weiterer Schritt zu den neuen, viel längeren IP-Adressen, die es theoretisch ermöglichen, jedem Computer und jedem Handy eine festen Internet-Adresse zuzuweisen. Was heisst das für den Datenschutz? Ich stelle heute diese Frage an den Bundesrat.
Meine Frage, die in aller Kürze kommenden Montag beantwortet werden sollte, lautet wie folgt:
Datenschützer vieler Länder haben sich im Vorfeld der schrittweisen IPv6-Einführung kritisch geäussert. Eine fixe Adresse pro Gerät verhindert die Anonymität im Netz. Deutsche Datenschützer fordern, dass (auch mobile) Zugangsprovider Kunden nach Wunsch statische und dynamische Adressen ohne Aufpreis zuweisen. Auf Kundenwunsch sollten statische Adressen gewechselt werden können und das vom Provider vergebene Adress-Prefix periodisch gewechselt werden. Wie steht der Bund zu diesen Forderungen?
Worum geht es? Datenschützer vieler Länder haben sich im Vorfeld der schrittweisen IPv6-Einführung aus Datenschutzperspektive kritisch geäussert. Zur Erinnerung: Geräte und Dienste kommunizieren untereinander im Internet eigentlich nicht mit lesbaren Namen, sondern mittels numerischer Adressen (IP-Adressen). Das sind quasi Internet-Telefonnummern. Das heutige Adressschema (IPv4) ermöglicht es nicht, jedem Nutzer und jedem Gerät eine eigene fixe IP zuzuteilen. Dazu gibt es schlicht zu wenige IP-Adressen. Entsprechend sind wir auf Provider angewiesen, welche uns dynamisch beim Einwählen ins Netz (sei dies nun via Computer oder via Handy) eine neue IP aus einem Pool zuteilen. Wenn unsere Verbindung nicht mehr steht, kann die gleiche Adresse dem nächsten Nutzer zugeteilt werden. Router/Firewalls verbergen zudem die verschiedenen internen IP Adressen eines internen Netzwerks in der Firma oder auch zuhause hinter einer einzigen IP Adresse vor der Aussenwelt.
Das Datenschutzproblem
Die schiere Menge von IP Adressen im neuen IPv6 Standard (2^128= 340 Sextillionen) ermöglicht. Mehr als genug, um jedem Sandkorn auf der Erde eine eigene Adresse zuzuweisen. Dynamische IPs werden dadurch überflüssig. Mit einer fixen IP für jedes Gerät, die dieses auch mit jeder Internet-Abfrage mitliefert, wird aber auch die feste Identifikation aller Nutzer möglich. Währenddem heute jeder Nutzer sich gegenüber den meisten Webangeboten durch das Abschalten von Cookies anonymisieren kann, wäre künftig mit einer fixen IPv6 Adresse auch ohne zusätzliche Daten die genaue Zuordnung des Geräts möglich. Bei der zunehmenden Menge an mobilen Geräten (Handys und Tablets) hat ein Gerät meist nur einen einzelnen Nutzer. Einerseits können Geräte- und Software-Hersteller die Privacy Extensions unterstützen. Dies ist leider gerade im Mobilfunkbereich (noch) nicht standartmässig möglich, Android-Geräte wie iPhone müssen gerootet werden, um die Einstellunge zu ändern. Andererseits können und sollten Internet-Service Provider (gerade im mobilen Bereich) durch eine weiterhin dynamische Adresszuteilung diese Schwäche kompensieren.
Es gibt auch andere Visionen
Allerdings sei nicht verschwiegen, dass es auch eine andere Sicht auf die Problematik gibt. Eine Kritik „von innen“ an der Argumentation der Datenschützer. Lutz Donnerhacke weist in einem Kommentar darauf hin, dass im Internet eine absolut anonyme oder pseudonyme Kommunikation aus technischer Sicht eine Illusion ist. Seine alternative Vision: Server-Provider werden überflüssig. Kompetente selbstbestimmte Nutzer-Anbieter kommunizierten gerade dank statischer Adressen künftig miteinander direkt und ohne Hosting- und Emailprovider. Anstelle des Kampfs um den Datenschutz auf der Ebene der Serverbetreiber tritt dann die Herausforderung, die eigenen Mini-Server konform zu den eigenen Datenschutzerwartungen zu betreiben. „Social Networks“ würden dann wieder zu richtigen sozialen Netzwerken: Statt über Facebook würde ich meine Inhalte nach meinen eigenen Regeln veröffentlichen, auf persönlichen Servern, welche genau jenen anderen Internetnutzern zur Verfügung stehen, die ich will.
Um beiden Positionen gerecht zu werden, müsste im Zuge der Umstellung auf IPv6 von den Zugangs-Providern (im Festnetz wie im Mobilbereich) verlangt werden, dass sie Kundinnen und Kunden nach Wunsch statische und dynamische Adressen ohne Aufpreis zuweisen. Auf Kundenwunsch sollten statische Adressen gewechselt werden können. Zudem soll auf Wunsch auch das vom Provider vergebene Adress-Prefix periodisch gewechselt werden. Diese und weiteren Forderungen wurden für Deutschland in der Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011 in München festgehalten. Die Konferenz forderte u.a. auch, dass Zugangsanbieter und Betreiber von Internetangeboten sollten nicht protokollierende Proxy-Server einsetzen und die Voraussetzungen schaffen, dass ein Internetzugang oder die Nutzung von im Internet bereitgestellten Inhalten in anonymer Form möglich ist (Anonymisierungsdienste).
Links:
Entschliessung: Deutsche Datenschützer fordert Sorgfalt bei neuem IPv6
Internetprotokoll IPv6: Datenschutz ist kein Verhinderer, sondern Wegweiser!
Kritischer Kommentar von Lutz Donnerhacke: IPv6 und der Datenschutz