Unter der Federführung des Bundesdatenschutzbeauftragten Peter Schaar hat die 33. Internationalen Datenschutzkonferenz eine Entschließung zur Kennung beim neuen Internet Protokoll Version 6 (IPv6) gegeben.
Der Inhalt im Überblick
Hintergrund
Da mit dem neuen Standard die feste Vergabe von IP-Adressen für nahezu jedes einzelne Endgerät möglich sein wird, sehen Datenschützer – bei allen technischen Vorteilen – erhebliche Risiken für die Nutzer – gerade in Bezug auf ungewollte Profilbildung.
Das neue Internetprotokoll Version 6 (IPv6) könnte zu einem Autokennzeichen für jeden Internetnutzer werden. Wer sich aber ständig mit demselben Kennzeichen im Netz bewegt, kann sehr leicht und dauerhaft verfolgt und wiedererkannt werden,
so Schaar in einer Pressemitteilung.
Forderungen der Datenschützer
Die internationalen Datenschützer gaben nun in ihrer Entschließung einstimmig folgende Empfehlungen:
- Die Nutzung temporärer und nicht permanenter IPv6-Adressen („dynamische Adressen“) muss für jeden Nutzer durch die Beibehaltung der dynamischen Zuweisung von IPv6-Adressen durch ISPs möglich bleiben.
- Der Einsatz temporärer und nicht permanenter IPv6-Adressen muss mit den IPv6- Autokonfigurationsfunktionen möglich bleiben, indem alle vorhandenen Möglichkeiten der Pseudorandomisierung der Schnittstellenkennung („Privacy Extensions„) genutzt werden. Der Einsatz dynamischer Adressen für Endgeräte sollte als Standardfunktion aktiviert werden.
- Anbieter, Protokolle, Produkte und Dienstleistungen sollten die Nutzung temporärer und nicht permanenter Adressen als Standardeinstellung anbieten.
- Netzwerke und Applikationen sollten alle Sicherheitsfunktionen von IPv6 (IPSec) in vollem Umfang nutzen, um die Sicherheit, Integrität und Vertraulichkeit zu gewährleisten.
- Immer wenn Standortinformationen für die Nutzung der Dienste auf mobilen Geräten und anderen über IPv6 verbundenen Geräten notwendig ist, sollten solche Informationen z.B. durch Verschlüsselung gegen rechtswidriges Abhören und Missbrauch geschützt werden.
Bewertung
Schaar selbst bewertet die Entschließung als
… eine starke Botschaft an die Anbieter von Internetdiensten und an die Hersteller von Hard- und Software.
Angesichts der zunehmenden Registrierung des Nutzungsverhaltens und der Profilbildung müssen bei der Umstellung auf den neuen Standard die Möglichkeiten für einen datenschutzgerechten Einsatz von IPv6 gewährleistet werden. Es ist nicht hinzunehmen, dass etwa die Hersteller von Smartphone-Software überwiegend die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden. Sie nehmen damit billigend in Kauf, dass das Verhalten der Nutzer individuell zugeordnet werden kann.
Andererseits ist die Entschließung natürlich nicht bindend. Daher auch die etwas vage Bitte an die nationalen Gesetzgeber, diese
sollten, soweit erforderlich, es in Erwägung ziehen, entsprechende Verpflichtungen in ihre nationale Rechtsrahmen hinzuzufügen, sofern dies nicht bereits geschehen ist.
Zwar haben viele Internet-Zugangsprovider angekündigt auch weiterhin eine dynamische Adressvergabe anzubieten, so dass man bei jedem Anwählen eine komplett neue Adresse erhält. Da Industrie und viele Anwendungen aber wohl feste Adressen bevorzugen werden, bleibt abzuwarten, wohin sich der Bereich tatsächlich entwickelt.