Von den Internetnutzern weitgehend unbemerkt, hat eine Umstellung des IP-Adressen-Standards von aktuell IPv4 auf den neuen Standard IPv6 begonnen. Der neue Standard lässt rund 340 Sextillionen Kombinationen zu, so dass künftig jedes Endgerät eine eigene feste IP erhalten kann. Dies verschärft aber auch die Debatte um den Personenbezug von IP-Adressen.
Welche Auswirkungen hat IPv6 auf den Datenschutz?
Grund für die Umstellung des IP-Adressen-Standards ist die allgemeine IP-Adressen-Knappheit. Mit dem aktuellen Standard IPv4 lassen sich "nur" etwa 4 Milliarden Zahlenkombinationen generieren. Dies ist jedoch längst unzureichend, um allen Internetanschlüssen eine eigene Adresse zuzuweisen. Die Access-Provider sind daher gezwungen, die verfügbaren Kapazitäten dynamisch immer neu zu vergeben. Diese Praxis ist aber keine dauerhafte Lösung.
Mit dem neuen Standard IPv6 wäre die Vergabe von dynamischen IP-Adressen nicht mehr erforderlich. IPv6 lässt etwa 340 Sextillionen Zahlenkombinationen zu, so dass jedes Endgerät eine eigene feste IP-Adresse erhalten könnte. Ein ausreichend großer Adressraum wird so auch für die Zukunft gewährleistet.
Nach der Umstellung könnte also auf dynamische IP-Adressen vollständig verzichtet werden, was aus technischer Sicht positiv erscheint. Jedoch verschärft dieser Umstand auch die datenschutzrechtliche Debatte um die Personenbeziehbarkeit von IP-Adressen.
Schon seit geraumer Zeit herrscht unter Juristen Uneinigkeit darüber, ob IP-Adressen grundsätzlich personenbezogene Daten im Sinne der Datenschutzgesetze sind. Personenbezogene Daten sind Einzelangaben über eine bestimmte oder bestimmbare natürliche Person (vgl. § 3 Abs. 1 BDSG). Beim juristischen Meinungsstreit um die Personenbeziehbarkeit von IP-Adressen dreht sich daher alles um die Auslegung des Bestimmbarkeitsbegriffs dieser Vorschrift.
Vor allem Datenschützer gehen dabei von einem objektiven Personenbezug der IP-Adresse aus, d.h. die rein theoretische Möglichkeit der Herstellung eines Personenbezugs (z.B. durch die Mitwirkung des Access-Providers) reicht für die Bestimmbarkeit aus. Demnach sei die IP-Adresse immer ein personenbezogenes Datum.
Nach der noch immer sehr populären Auffassung des relativen Personenbezugs sei hingegen entscheidend, ob die jeweilige verarbeitende Stelle mit den ihr zu Verfügung stehenden Mitteln und einem verhältnismäßigen Aufwand in der Lage ist, einen Personenbezug herzustellen. Nach dieser Auffassung sei insbesondere eine dynamische IP-Adresse daher allenfalls für den Access-Provider personenbeziehbar, nicht jedoch für einen Website-Betreiber.
Würden IP-Adressen jedoch zukünftig nicht mehr dynamisch vergeben, bräche ein gewichtiges Argument der Verfechter des relativen Personenbezugs wohl weg.
Der neue IPv6-Standard bringt darüber hinaus weitere technische Besonderheiten mit sich, die zum Datenschutzproblem werden können. IPv6-Adressen setzen sich aus zwei Hälften zusammen: Dem Präfix und dem sogenannten "Interface Identifier". Während das Präfix in der Regel vom Access-Provider vergeben wird, kann der Interface Identifier theoretisch vom Nutzer selbst festgelegt werden.
Laut der Zeitschrift c't bestimmen viele aktuelle IPv6-fähige Endgeräte den Interface Identifier automatisch selbst, verwenden hierfür jedoch ausgerechnet ihre einzigartige Hardware-Kennung. Dadurch lässt sich ein solches Endgerät immer wieder eindeutig identifizieren, auch wenn es sich mit einem wechselnden Präfix ins Internet einwählt.
Handelt es sich um ein mobiles Endgerät, wie z.B. ein Smartphone, ließe sich dadurch nicht nur dauerhaft verfolgen, wann das Gerät welche Internetseiten abgerufen hat, sondern auch wo sich der Nutzer des Geräts überall aufgehalten hat.
Die Entwickler des IPv6-Standards haben jedoch Möglichkeiten vorgesehen, sich vor einer solchen dauerhaften Identifizierung zu schützen. Durch die sogenannte "Privacy Extensions"-Funktion ist es theoretisch jedem Endgerät möglich, den Interface Identifier zufällig zu erzeugen und regelmäßig zu erneuern.
Wird von "Privacy Extensions" Gebrauch gemacht und vergibt der Provider regelmäßig ein neues Präfix, würde dadurch nach Ansicht einiger Fachleute eine vergleichbares Datenschutz-Niveau wie mit einer dynamischen IP-Adresse erreicht. Spätestens an diesem Punkt gelangt man jedoch zurück zu der Debatte um den objektiven oder relativen Personenbezug.
Auch nach einer Umstellung auf IPv6 werden sich IP-Adressen bis zu einer höchstrichterlichen Entscheidung oder einer grundlegenden Änderung des Datenschutzrechts rechtlich wohl nicht eindeutig einordnen lassen.
Für die Befürworter des objektiven Personenbezugs wird auch in Zukunft kein Zweifel bestehen, dass IP-Adressen personenbezogene Daten darstellen, zumal sich die Spuren einer IP-Adresse mit IPv6-Standard zukünftig noch leichter verfolgen lassen, wenn von den vorgesehenen Datenschutzmechanismen kein Gebrauch gemacht wird.
Stellt man als Verfechter des relativen Personenbezugs bei der rechtlichen Bewertung der IP-Adresse jedoch nur auf die Kenntnisse und Fähigkeiten der jeweiligen verarbeitenden Stelle ab, ließe sich diese Auffassung auch nach der Umstellung weiterhin vertreten. Denn für einen Website-Betreiber verbirgt sich auch hinter einer IPv6-Adresse zunächst einmal ein Unbekannter, solange diese nicht mit personenbeziehbaren Daten des Betroffenen zusammengeführt wird.
Abmahnradar November 2024
Abmahnradar Juni & Juli 2024
Bundesrat will DSGVO-Abmahnungen komplett verbieten