IPv6 und der Datenschutz
Sobald ein Mensch in seinem techno-sozialem Umfeld überraschend und ungewollt seine persönlichen Daten an andere weitergibt, ist der Datenschutz verletzt. Kernthesen erfolgreichen Datenschutzes liegen also auf zwei Ebenen: Zum Einen leitet sich ein Bildungsauftrag ab, denn nur der mündige Mensch kann eigenverantwortlich über den Umgang mit seinen Daten entscheiden. Andererseits liegt der Regulierungsauftrag vor, die mit persönlichen Daten hantierenden Stellen präventiv zur Datensparsamkeit anzuhalten.
Der Datenschutz ist ein Kind der modernen Kommunikation. Trotz der Gnade der späten Geburt versäumte der Datenschutz die Anpassung an die Revolution des Internets nahezu völlig. Viele Konzepte und Denkschemata des Datenschutzes stammen auf der prä-Internet Zeit. Deswegen lohnt es sich, diese Kommunikationstechniken zur rekapitulieren.
Telefonie ist eine leitungsgebundene Kommunikation: Mit der Anwahl einer Zielrufnummer wird ein Leitungsweg vom Wählenden bis zum Angerufenen gesucht und – zumindest für die Dauer des Gesprächs – reserviert. Nur wenn der Leitungsweg komplett verfügbar ist, klingelt das Telefon. Da ist die Arbeit aber schon getan: Es besteht eine exklusive "Röhre" zwischen den Endgeräten. Damit gibt es keine technische Notwendigkeit, daß der Angerufene die Rufnummer oder gar die Identität des Anrufers kennen muß.
Bei der Briefpost liegt eine paketweise Kommunikation vor, ein Datenhappen reist – allein von der Zieladresse getrieben – durch die Poststationen, bis er den Empfänger erreicht. Die Kommunikation hat sich mit der Übertragung des Briefes i.d.R. erschöpft, es besteht keine technische Notwendigkeit, daß der Empfänger die Postanschrift oder gar die Identität des Absenders kennt. Wird eine Rückantwort erwartet, muß der Absender seinerseits eine Zieladresse angeben, diesmal aber innerhalb der auf dem Transportweg nicht einsehbaren Kommunikation.
Aus der Erfahrung mit diesen beiden Kommunikationsformen hat der Datenschutz sinnvolle und richtige Forderungen abgeleitet: Es muß dem Anrufer nach Vorbild des Briefeschreibers ebenso möglich sein, die Übermittlung seiner Telefonnummer an den Angerufenen zu untersagen, ja dies muß Standard sein. Mit der Einführung von ISDN wurde um die Rufnummerunterdrückung heftig gestritten. Ein weiterer, ebenso wichtiger Kampfplatz war damals die Identifizierung von Telefonnummern, also die Rückwärtssuche im Telefonbuch.
In diese Gemengelage schob sich still und heimlich das Internet. Ganz im Gegensatz zum wohlverstanden BTX-System mit wenigen zentralen "Seitenservern" weniger Anbieter, einer Vielzahl nicht identifizierbarer Konsumenten und einem funktionierenden anonymen Inkasso, stellte das Internet eine Anarchie dar, das glücklicherweise zunächst im universitären Biotop wucherte.
Die grundlegende Architektur des Internets entspricht der Briefpost: Kleine Datenpakete werden allein anhand der Zieladresse schrittweise zugestellt. Unglücklicherweise ist mit der einmaligen Zustellung eines Datenpaketes eine Internetkommunikation nicht beendet. Deswegen enthält jedes Datenpaket technisch zwingend immer auch die Antwortadresse, also die Kennung des Absenders.
Die hart erkämpfte datenschutzrechtliche Forderung nach anonymer oder zumindest pseudonymer Kommunikation – wie sie ins IuKDG eingegangen ist – ist also technische Illusion.
Mythos "dynamische IP"
In der Anfangszeit des Internets war Einwahl per PPP über Modem und Telefonleitung üblich. Die dabei entstehenden zeitbezogenen Kosten zwangen die Teilnehmer, ihre Online-Zeit zu minimieren. Ein damaliger ISP genügte also eine Einwahlplattform, die nur ein Bruchteil der bei ihm registrieren Kunden gleichzeitig versorgen konnte. Da mit dem beginnenden kommerziellen Erfolg des Internets auch die IP-Adressen schon 1995 absehnbar knapp wurden, war es üblich, nur jeder tatsächlich belegten Leitung eine IP Adresse zuzuordnen, während es im universitären Umfeld noch oft eine feste IP pro Student gab.
Die aus der Not heraus geborene Idee, eine IP Adresse nur temporär einem Nutzer zuzuweisen, erwies sich als wirtschaftliche Goldgrube. Da für den Betrieb von Servern, also der eigenständigen Bereitstellung von Diensten, eine dauerhafte Erreichbarkeit des Servers notwendig ist, bot die Beibehaltung dynamischer IP-Adressen den Providern zusätzliche Einnahmequellen durch Hosting realer und virtueller Server, E-Mail und vieles mehr. Obwohl bei der Einführung von DSL ein dedizierter Leitungsweg pro Kunde fest reserviert ist, blieb man bei Zeitabrechnung durch Simulierung einer PPP Verbindung (PPPoX). Auch nach dem Aussterben der Zeitabrechungen im DSL Bereich bleibt PPPoX die vorherschende Anbindungsform, nicht zuletzt wegen des künstlichen Konsumentenverhältnisses.
Es gelang den Marketingabteilungen so erfolgreich, dynamische IPs als Vorteil, Schutz und Anonymität darzustellen, daß eine Abkehr von diesem Modell wenig wahrscheinlich ist. Dabei besteht schon allein aufgrund der grundlegenden Architektur des Internets stets eine nachvollziehbare Verbindung zwischen der global sichtbaren IP Adresse und dem Kunden, der für diesen Internetanschluß aktuell bezahlt. Anonymität oder gar Schutz vor Angriffen sind reine Augenwischerei, wie allein die Unzahl der Auskunftsersuchen an die ISPs zeigt. Das immer wieder diskutierte Three-Strikes-Model verlagert die Identifizierung gar ganz zum ISP und umgeht so jede behördlich anordenbare Speicherfrist.
Auch die Datenschützer haben sich vor den Karren der Lobbyisten spannen lassen. Sie glauben mit dynamischen IP-Adressen das Grundübel des Internet aus ihrer Sicht entschärfen zu können. Schließlich invalidiert ja ein ständiger Wechsel der IP-Nutzer Zuordnung die von verschiedenen Webdiensten ausgeführten Idenitifizerierungen – bis zum nächsten Login, Cookie, soziale Netze-Button, E-Mail-Abruf, Tweet oder Werbebanner.
Alles neu macht IPv6
Es ist so einfach wie falsch, IPv6 als "Internet mit längeren Adressen" anzusehen. IPv6 löst nämlich die stille Beschränkung auf eine IP pro Teilnehmer" vollständig auf. Nicht nur, daß jedes IPv6 Gerät mehrere IP Adressen aus dem gleichen Netz bedienen können muß, es muß auch mit mehreren Netzen am gleichen Anschluß klarkommen. Dies hat weitreichende Konsequenzen.
Zunächst einmal verwirft IPv6 die Pflicht immer und überall die gleiche IP benutzen zu müssen. Das Standardmodell der Adressierung sieht vor, daß eine feste Adresse pro Gerät bereitgestellt werden sollte, um Serverdienste auf dem Gerät betreiben zu können. Desweiteren sollte jedes Gerät für ausgehende Verbindungen temporäre IP Adressen zufällig erzeugen (Privacy Extension), am besten pro angesprochende Gegenstelle je eine neue.
Die Freiheit, über mehr als 60bit der Adresse frei wählen zu dürfen, gestattet sogar ganz neue Authentisierungsmechanismen: Cryptographic Generated Addresses (CGA) versendet unter einer zufälligen Absende-IP und erwartet die Antwortpakete unter einer anderen, dynamisch kryptographisch generierten Adresse. Nur wenn beide Parteien die kryptographischen Geheimnisse richtig verwenden und die Kommunikation ungestört ablaufen kann, funktioniert eine CGA-Kommunikation.
Da IPv6 Geräte aber auch mit mehreren Netzen (Prefixe) hantieren können, inbesondere auch pro Netz die "Lebenszeit" signalisiert wird, kann man ein unterbrechungsfreies Umnummerieren ganzer Netze (Renumbering) jederzeit ausführen. ISPs, die dynamische Prefixe ausliefern wollen, sollten also minimal zwei Prefixe zuteilen: In der Mitte der Laufzeit eines Prefixes, sollte schon das nächste Prefix bereitstehen. Durch die Privacy Extension und die längere Laufzeit des neuen Prefixes werden die Endgeräte automatisch für neue Verbindungen das neue Prefix (mit zufälligen Adressen) benutzen, während die aktuell bestehenden Verbindungen auf dem alten Prefix weiter aktiv bleiben können. Eine Zwangstrennung ist so trotz permanenten IP Wechsel nicht mehr nötig.
Und was ist mit den Serverdiensten? Dafür sollten die ISPs ein festes Prefix zusätzlich zu den dynamischen Prefixen bereit stellen. Und wer den Automatismen von Autoconfig nicht traut, der konfigueriert seine Serverdienste von Hand, nimmt die vorbildlich bei der Erstinstalltion zufällige generierte Geräte-IP von Windows oder eben die von der MAC Adresse abgeleitete EUI-64 Adresse. Damit lassen sich wunderbar Server betreiben, bei manueller Konfiguration sogar viele Server auf einem System.
Die Fähigkeiten von IPv6 sind damit noch lange nicht erschöpft. Erwähnenswert ist an dieser Stelle die Möglichkeit, seine IPv6 Adresse oder gar sein ganzes Netz mobil mitzunehmen. Auf diese Weise behält man auch dann seine IP Adressen – ist darunter erreichbar und kann damit kommunizieren – wenn man bei einem anderen Provider Anschluß hat. Aus Sicht des Datenschutzes löst Mobile IPv6 das Problem der Geolokation: Der Nutzer kann wählen, unter welchen ISP, an welchem Ort er gerade erscheinen will. Gleichzeitig und durcheinander.
Datenschutz durch feste IP
Die Datenspuren, die ein Mensch bei der Internetnutzung hinterläßt sind vielfältig. IP-Adressen sind dabei das kleinste Übel. Feste IP Adressen gestatten aber einen ganz anderen Ansatz zur Datensparsamkeit.
Soziale Netzwerke sind gefürchtet als zentralisierte Datenkraken, in die jeder freiwillig Unmengen an privaten Daten, Bildern und Beziehungen hinterlegt. Löschen kann man dort seine Daten selten richtig. Die Sichtbarkeit privater Informationen ist vom Gutdünken der Firmenleitungen abhängig. Was aber ist eigentlich dieses Web 2.0, dieses Mitmachnetz, das alle und alles verbindet?
Web 2.0 Techniken füllen eine Webseite mit Inhalten aus anderen Quellen, insbesondere von anderen Servern. Was spricht also dagegen, die privaten Daten daheim, auf einem Rechner mit fester IP, beispielsweise dem DSL-Router mit angeflanschter USB-Platte, abzulegen und anzubieten?
"Meine soziale Webseite" besteht dann nur noch aus einem Rahmen, in den der Anwender selbst Verweise auf die Bilder und Blogs seine Bekannten einschiebt. Der Betreiber eines sozialen Netzwerkes stellt nur noch die Linklisten und URL-Verweise der Mitglieder bereit. Man kann beliebige Listen beliebiger Anbieter kombinieren.
Als Anbieter meiner eigenen Daten auf meinem eigenen Server kann ich problemlos den Zugriff beschränken (durch feste IPs meiner Bekannten, mit Passwort und CGA oder mit Passwort und Login) oder die Daten, die ich dort nicht mehr haben will, entgültig löschen.
Ein solches Vorgehen entspricht genau der Ende-zu-Ende Kommunikation des urspünglichen Internets, ohne dynamische IPs, ohne Hosting- und E-Mail-Provider und ohne die Overlays sozialer Netze.
Diese Vision setzt zwei Dinge voraus: Statische IPv6 Adressen nutzbar auf jedermanns Technik und den mündigen Menschen. Beides kann der Datenschutz leisten: Er hat den Bildungsauftrag, eigenverantwortlichen Umgang mit persönlichen Daten sicherzustellen und den Regulierungsauftrag, die betreffenden Hersteller und ISPs zur Entwicklung datensparsamer Konzepte anzuhalten. Er bekommt dafür die Chance, aktiv das techno-soziale Gefüge des Internets wieder zu demokratisieren.