Newsletter IP, Media & Technology Januar 2015
IPv6 und der Datenschutz
Die Einführung des IPv6-Standards ist in vollem Gange. Dies sollte in Unternehmen nicht nur die Systemadministratoren interessieren. Wenn die Vision Wirklichkeit wird, dass jedes Gerät im „Internet der Dinge“ eine eindeutig zuordbare IP-Adresse erhält, wird dies auch juristische Konsequenzen haben. Gerade Unternehmen, die gegenwärtig erwägen, ihr Internetangebot IPv6-kompatibel zu gestalten, sollten vor allem die datenschutzrechtlichen Folgen im Blick haben.
Das Ende der alten IP-Adresse?
Der in den frühen 1980ern eingeführte IPv4-Standard ist an seine Grenzen gestoßen. Nachdem die Internet Assigned Numbers Authority (IANA) bereits 2011 symbolisch die letzten IPv4- Adressen an die kontinentalen Vergabestellen übergab, sind die rund 4,3 Milliarden herkömmlichen IP-Adressen vergeben, wenngleich auf lokaler Ebene derzeit noch ausreichend Adressen zur Verfügung stehen. Neue Adressen gibt es nicht, allenfalls werden nun durch Insolvenzen und freiwillige Rückgaben bereits belegte Adressen wieder frei.
Noch ist die IPv4-Adresse bei weitem die gebräuchlichste Form
Dennoch ist die herkömmliche IPv4-Adresse, bestehend aus vier Zahlen von 0 bis 255 (z. B. 157.134.2.57), derzeit noch die gebräuchlichste Form. Juristen haben sich an diese Adressform als Teil ihres Arbeitsalltags in der Strafverfolgung, bei der Durchsetzung zivilrechtlicher Ansprüche im Internet und im Datenschutzrecht gewöhnt. Wenn auch in Deutschland noch nicht alle Internetprovider auf IPv6 umgestellt haben (die Telekom bietet Neukunden seit September 2012 IPv6-Adressen an) und in einer langen Übergangszeit mittels des so genannten „Dual-Stack“- Verfahrens beide Formen der IP-Adressen gültig sein werden, ist es nun an der Zeit, sich über die rechtlichen Konsequenzen der Umstellung Gedanken zu machen.
Der neue Standard: IPv6
Die IPv6-Adresse besteht aus acht Viererblöcken und kann etwa so aussehen: „2001:0db8:85a3:08d3:1319:8a2e:0370:7347“. Die 2 möglichen Adressen reichen aus, um jedem Quadratmeter der Erdoberfläche über 600 Trilliarden Adressen zuzuweisen. Es ist also tatsächlich möglich, jedes technische Gerät über eine weltweit eindeutige Adresse anzusprechen. Dieses El Dorado für Staatsanwälte und Cybercrime-Forensiker stellt sich für Datenschützer freilich als Sodom und Gomorrha dar.
Rechteverfolgung im Internet
Die Einführung von IPv6 hat bislang jedoch noch kaum zu neuen Identifizierungsmöglichkeiten von Rechteverletzern im Internet geführt, und dies ist auch vorerst nicht für die Zukunft zu erwarten. Vor allem liegt dies an der bislang geringen Verbreitung des neuen Standards. Auch wenn einige Provider bereits IPv6- Adressen vergeben, so liegt der gesamte Internet-Traffic, der über IPv6 abgewickelt wird, gegenwärtig noch bei unter einem Prozent. Wenngleich andere Indikatoren ein deutliches Ansteigen der Zahl der IPv6-Nutzer in diesem Jahr anzeigen (unter anderem gibt Google eine Statistik heraus, nach der Deutschland in der „IPv6-Adaption“ im internationalen Vergleich besonders weit ist), werden vermutlich gerade die Webseiten-Betreiber und Filesharing-Netzwerke, welche zu Recht Abmahnungen befürchten, so lange bei IPv4 bleiben wie möglich. Der Betreiber eines Internetdienstes kann nämlich frei wählen, ob er IPv6- kompatibel sein will oder nicht.
Personenbezug durch IP-Adressen
Soweit sich Unternehmen für die Nutzung von IPv6 entscheiden, sollte diese Entscheidung datenschutzrechtlich begleitet werden, denn anhand einer IP-Adresse kann sich entscheiden, ob eine Information personenbezogen ist oder nicht. Nur wenn eine Angabe so konkret einer Person zugeordnet werden kann, dass ein personenbezogenes Datum vorliegt (§ 3 Abs. 1 BDSG) ist der Anwendungsbereich des Datenschutzrechts eröffnet. Vor allem bei einer dynamischen IPv4-Adresse – die bei jeder Einwahl neu an einen Nutzer vergeben wird – ist umstritten, ob diese hinreichend konkret auf eine bestimmbare natürliche Person hinweist. Während die Datenschutzaufsichtsbehörden überwiegend der Ansicht sind, dass jede dynamische IP-Adresse bereits ein personenbezogenes Datum darstellt, entschied das LG Berlin (Urteil vom 31.1.2013 - 57 S 87/08), dass nur unter bestimmten weiteren Voraussetzungen von einem hinreichenden Personenbezug auszugehen ist. Dieses Urteil wird allerdings gerade durch den BGH überprüft, der die delikate rechtliche Bewertung jüngst mit einer Vorlage an den EuGH übergeben hat (Beschluss vom 28.10.2014 - VI ZR 135/13). Die Klärung der längst überfälligen Frage wird möglicherweise nun in vielen Fällen bereits deshalb hinfällig, weil es möglich ist, eine weitaus größere Anzahl an statischen IPv6-Adressen zu vergeben.
Personenbezug trotz dynamischer IPv6-Adressen?
Doch auch im Rahmen von dynamischen Adressen dürfte IPv6 die Karten neu mischen. Es muss hier genauer als vorher zwischen dem Präfix der Adresse, die etwa einem Haushalt oder einer Firma zugeordnet wird, und dem Teil der Adresse, der einem Gerät zugeordnet werden kann, dem sog. „Interface-Identifier“, unterschieden werden. Selbst wenn das Präfix dynamisch ist, kann dennoch möglicherweise anhand des „Interface-Identifier“ eine eindeutige Zuordnung zu einem Gerät erfolgen, da für diesen Teil der IPv6-Adresse standardmäßig die sog. MAC-Adresse verwendet wird. Die MAC-Adresse identifiziert jedes mit dem Internet kommunizierende Gerät, wie Smartphones, moderne Fernseher, PCs, funkgesteuerte Rollläden oder Spielekonsolen, eindeutig. Es kann also sein, dass zwar niemand weiß, in welchem WLAN sich ein Laptop aufgehalten hat (da jedes WLAN über ein eigenes Präfix verfügt), aber dennoch aufgrund des Interface-Identifier etwa eine aufgerufene Website die IPv6- Adresse einem bestimmten Laptop exakt zuordnen kann.
Privacy Extensions: Nicht bei allen Betriebssystemen voreingestellt
Dagegen liefen freilich die Datenschutzaktivisten weltweit Sturm, mit der Folge, dass für die meisten gängigen Betriebssysteme sogenannte „Privacy Extensions“ aktiviert werden können. Dadurch wird statt der MAC-Adresse ein zufällig generierter Interface Identifier verwendet. Doch vor allem die älteren Betriebssysteme verfügen nicht über diese Möglichkeit, und teilweise ist bei aktuellen Betriebssystemen die Funktion standardmäßig ausgeschaltet. Dies bedeutet: Wenn eine Webseite mit IPv6- Zugang angeboten wird, muss davon ausgegangen werden, dass viele ankommende IP-Adressen personenbezogene Daten sind, da es – anders als zuvor – je nach Einzelfall möglich ist, dass bei mehrfacher Anmeldung derselben MAC-Adresse auf ein Gerät und damit auf eine Person geschlossen werden kann. Dies ist jedenfalls die Ansicht der Aufsichtsbehörden. Da es allerdings für MAC-Adressen kein offizielles Register gibt, welches jedes einzelne Gerät erfasst, muss in jedem Einzelfall genau geprüft werden, ob es für die verantwortliche Stelle mit vertretbarem Aufwand möglich ist, die MAC-Adresse einer Person zuzuordnen. Der Hinweis der Aufsichtsbehörden, „zur Vermeidung datenschutzrechtlicher Probleme“ (Orientierungshilfe Datenschutz bei IPv6, S. 12) stets von einem Personenbezug auszugehen, dürfte in vielen Fällen zu streng sein. Wie weit dies weitere Einwilligungserklärungen notwendig macht, kann nur im Einzelfall entschieden werden. Klar ist hingegen, dass die „Hinweise zum Datenschutz“ auf der Webseite überarbeitet werden müssen, insbesondere wenn Trackingtools wie Google Analytics mit ih- rer IPv6-Funktionalität genutzt werden. Inwieweit die bei IPv4 übliche „Kürzung“ der IP-Adresse auf IPv6 übertragen werden soll, ist derzeit noch nicht hinreichend geklärt.
Datenschutzaufsichtsbehörden beobachten IPv6
Jedenfalls aber ist klar, dass die deutschen Datenschutzbehörden das Thema IPv6 bereits frühzeitig auf die Agenda gestellt haben. Davon zeugt etwa die gemeinschaftlich verfasste „Orientierungshilfe Datenschutz bei IPv6“. Gerade die Tatsache, dass es bislang noch eher wenige IPv6-kompatible kommerzielle Webseiten gibt, könnte jedes Unternehmen, welches sich in diesen Bereich vorwagt, in den Fokus der Datenschutzaufsicht rücken lassen.
Fazit
Die Einführung von IPv6-Adressen wirft ein völlig neues Licht auf die Frage, ob anhand einer IP-Adresse ein Personenbezug hergestellt werden kann. Unternehmen, die ihren Internetauftritt IPv6-kompatibel gestalten, sollten diese Frage für sich beantworten, um nicht unnötig in das Fadenkreuz der Datenschutzbehörden zu geraten.