Im Internet hat jedes Gerät eine zugewiesene IP-Adresse (IP = Internetprotokoll). Nur so ist die Teilnahme am weltweiten Datenstrom möglich. Heute möchten wir einmal hinterfragen, wie eine IP-Adresse funktioniert und welche Fragen zum Datenschutz sich hierzu stellen.

Wer braucht IP-Adressen?

Wir alle haben eine, aber nur wenigen ist sie bewusst. Das liegt vor allem daran, dass IP-Adressen technische Adressen sind, mit denen unsere Computer, Tablett-PCs und Smartphones im Internet kommunizieren. Anders als bei Telefonnummern oder unserer IBAN, müssen wir uns dank Suchmaschinen und Webseiten-URLs keine IP-Adressen merken. Unsere Endgeräte kommunizieren ausschließlich mittels IP-Adressen. Eine im Browser eingegebene URL wird durch Ihren Computer schnellstmöglich per Abfrage bei den DNS-Servern in eine IP-Adresse übersetzt.

Sie können ihrem Computer diese Übersetzungsarbeit ersparen, wenn Sie statt der URL die IP-Adresse im Browser verwenden. Probieren Sie das doch mal aus und geben Sie in die Adresszeile des Browsers folgendes ein:                 https://8.8.8.8

Sie werden auf eine Webseite von Google gelangen, mit einer etwas anderen Art von Suchmaschine.

Was sind diese IP-Adressen und was bedeutet hierbei IPv4 und IPv6?

Wenn Sie den zuständigen Familien-Admin nach IP-Adressen fragen, beschreibt Ihnen diese/r wahrscheinlich eine aus vier Blöcken zusammengesetzte Zahlenkolonne, beispielsweise 192.168.0.1 oder 127.0.0.1. Hierbei handelt es sich um IP-Adressen der Version 4, kurz IPv4. Die durch Punkte getrennten Blöcke können einen dezimalen Wert zwischen 0 bis 255 enthalten, sodass in einem Netzwerk (z.B. dem Internet) etwas mehr als 4 Milliarden IPv4-Adressen vergeben werden – das reicht für locker die Hälfte der Menschheit. Mehr als genug, oder?

Nun, der Adresshunger des unerwartet stark wachsenden Internets und die verschwenderische Vergabe von Adressraum drohte schon zu Beginn unseres Jahrtausends eine regelrechte Adressknappheit. Tatsächlich wurde die letzte IPv4 Adresse in Europa im November 2019 verteilt. Und wie wir alle wissen, brach kurz darauf weltweit das Internet zusammen und beförderte die Menschheit zurück in die Steinzeit … Sie erinnern sich nicht?

Selbstverständlich nicht, denn IPv4 wurde unlängst und recht unbemerkt durch den Nachfolger der IP-Adressen Version 6 – kurz IPv6 –abgelöst. IPv6-Adressen bestehen aus 8 hexadezimalen Blöcken, die durch Doppelpunkte getrennt werden. Das kann dann so aussehen: 2001:db8:0:8d3:0:8a2e:70:7344 oder auch so 0:0:0:0:0:0:0:1. Durch die höhere Komplexität steht nun ein Adressraum von 340.282.366.900.000.000.000.000.000.000.000.000.000 IPv6-Adressen zur Verfügung, Experten zufolge genug, um jedem Sandkorn der Erde eine eigene IPv6-Adresse zuweisen zu können.

Die Umstellung auf IPv6 erfolgt schrittweise und nicht durch einen harten Cut. Nach Angaben von Google erfolgen aktuell (Stand Juli 2021) etwa 50% der Suchanfragen von IPv6 Adressen. Es wird noch viele Jahre dauern, bis IPv4 seinen Dienst quittieren kann.

Kommt mit IPv6 mehr Privacy für uns?

Die Erfinder hinter IPv6 verfolgten zunächst das Ziel, jedem Internetnutzer dauerhaft eine statische IPv6-Adresse zur Verfügung zu stellen, die sich im Idealfall nie mehr ändert. Der Hintergedanke war hierbei, mehrere technisch unschöne Kompromissentwicklungen von IPv4 aus der Welt zu schaffen, die aufgrund der Knappheit von IPv4-Adressen entstanden sind – z.B. die Isolation heimischer Geräte in einem gesonderten Netzwerk durch die Technik NAT (Network Address Translation) oder die nächtliche Zwangstrennung Ihres Internetanschlusses durch den Provider, da Sie im Schnitt alle 24 Stunden eine neue IPv4 Adresse zugewiesen bekommen (dynamische IP-Adresse).

Doch im Eifer des Gefechts wurde übersehen, dass durch eine dauerhaft unveränderte IPv6-Adresse eine gefährliche Nachverfolgbarkeit der Internetnutzer durch Tracking und Profilbildung ermöglicht wird. Das wäre ein Szenario, das nicht nur jedem Internetnutzer missfallen würde, sondern auch mit den Grundgedanken des Datenschutzes nicht vereinbar wäre. Darüber hinaus wird die IPv6-Adresse aus verschiedenen Kennnummern zusammengesetzt, darunter die Hardware-ID des Endgerätes und Informationen zu den zuständigen Internetanbieter.

Glücklicherweise wurden dies noch früh genug bei der weltweiten Einführung von IPv6-Adressen erkannt. Um also den einzelnen Internetnutzer davor zu bewahren, über längere Zeit mit der gleichen IPv6-Adresse im Internet getrackt zu werden, wurden sog. Privacy Extensions entwickelt, die für eine regelmäßige Rotation (in der Regel 1x pro Tag) in den IPv6-Adressen sorgen. Hierbei wird die zweite Hälfte der IPv6-Adresse, der sogenannte Interface Identifier, ausgetauscht.

Sind IP-Adressen überhaupt personenbezogenen Daten?

Dass IP-Adressen personenbezogene Daten sein können, das wurde bereits mehrfach höchstrichterlich entschieden. In der ausschlaggebenden Breyer-Entscheidung stellte der Europäische Gerichtshof (EuGH) fest, dass mit Hilfe einer IP-Adresse der Anschlussinhaber des Internetanschlusses ermittelt werden kann – denn der Internet Service Provider (ISP) weiß ja, welche IP-Adresse er in welchem Zeitraum seinem Kunden zugewiesen hat. Bei IPv4-Adressen kennt der ISP hierbei den Anschlussinhaber. Mit IPv6 kann der ISP jetzt sogar einzelne Endgeräte im Netzwerk seines Kunden differenzieren. Diese Informationen muss ein ISP im Rahmen von Strafverfahren aber auch zur Verfolgung von Urheberrechtsverletzungen auf Anordnung offenlegen (Stichwort: Abmahnungen bei illegalem Filesharing), so dass gegen den konkreten Inhaber ein etwaiges Verfahren eingeleitet und dieser auch angehört oder gar abgemahnt werden kann.

Da IP-Adressen folglich personenbezogene Daten sein können, muss der Verantwortliche bei der Verarbeitung von IP-Adressen den gesamten Pflichtenkatalog der Datenschutz-Grundverordnung (DSGVO) und aller relevanten Datenschutzvorschriften berücksichtigen. Dabei stößt der Verantwortliche schnell auf praktische Hürden, die uns Datenschützer tagtäglich in der Beratung beschäftigen. Hier ein paar Beispiele:

Beispiel 1: IP-Adressen beim Webseitenabruf

Jeder Webserver erhält die IP-Adressen von den Webseitenbesuchern. Dies lässt sich gar nicht verhindern, denn ohne IP-Adressen kann der Webserver einen Webseitenabruf gar nicht bedienen. Um diese Datenverarbeitung möglichst zulässig zu gestalten, bedient man sich hier automatischen Anonymisierungsroutinen in den Logfiles. Doch wie begründet man die kurzfristige Verarbeitung der IP-Adresse vor der Anonymisierung?

Beispiel 2: IP-Adressen in den Log-Files eines Netzwerks

In größeren Netzwerken müssen IP-Adressen in Log-Files protokolliert werden. Diese Informationen sind zur Fehlerbehebung oder für die Verteidigung gegen Angriffe und Betrugsversuche nützlich/notwendig. DHCP-Server müssen die IP-Adresszuweisung auch protokollieren, um vergebene IP-Adressen entsprechend zu kennzeichnen. Unter welchen datenschutzrechtlichen Rahmenbedingungen dürfen diese Log-Files angefertigt werden?

Beispiel 3: IP-Adressen beim SaaS-/Cloud-Provider

Auch ein Provider von SaaS-Anwendungen und Cloud-Diensten benötigt IP-Adressen der Benutzer. Teils werden diese zur Lizenzkontrolle protokolliert sowie auch zur Fehleranalyse und Produktverbesserung. Besonders umstritten ist hierbei die Frage, ob ein SaaS-Provider die IP-Adressen auch eigenverantwortlich verarbeiten darf. Dies ist mit seiner Rolle als weisungsabhängiger Auftragsverarbeiter (Art. 28 DSGVO) möglicherweise unvereinbar.

Fazit und Ausblick

Die IP-Adresse als Kernelement der digitalen Kommunikation bietet im Datenschutz immer wieder neue Herausforderungen. Dabei wird die Umstellung der globalen Kommunikation auf IPv6-Adressen in Zukunft sicherlich noch ganz neue Fragestellungen aufwerfen.

Schon jetzt ist der Online-Werbemarkt auf der Suche nach alternativen Trackingansätzen, um die zunehmend blockierten Tracking-Cookies abzulösen. Da wäre eine zumindest teilweise statische IPv6-Adresse der Internetnutzer ein gefundenes Fressen.

| | | , , , , , , , , ,