Papier: 01.02.02 Absicherung gegenüber potenziellen negativen Effekten – Teil 5 (Exkurs IPv6)
Originalversion
| 1 | I.2.1.1.2.2.5 Privacy Extensions |
| 2 | |
| 3 | Ein weiterer aus Datenschutzsicht zu betrachtender Aspekt |
| 4 | geht mit der Generierung des Interface Identifier einher. |
| 5 | Dieser dritte Teil einer IPv6-Adresse dient der eindeutigen |
| 6 | Identifizierung eines Endgeräts innerhalb eines Netzwerks. |
| 7 | Die Bildung des Interface Identifier kann entweder auf Basis |
| 8 | der weltweit einmaligen Media-Access-Control(MAC)-Adresse |
| 9 | des Endgerätes[FN: Siehe Fußnote 29.] oder auf Basis |
| 10 | regelmäßig neu erzeugter Zufallszahlen mittels Privacy |
| 11 | Extensions erfolgen.[FN: Siehe Fußnote 30.] |
| 12 | |
| 13 | „Die ‚Privacy Extension‘ verhindern wirksam eine eindeutige |
| 14 | Identifikation eines bestimmten Endgerätes anhand seiner |
| 15 | IPv6-Adresse.“[FN: Vgl. Schriftliche Stellungnahme von Gert |
| 16 | Döring im Rahmen des öffentlichen Expertengespräches zum |
| 17 | Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe Zugang, |
| 18 | Struktur und Sicherheit im Netz der Enquete-Kommission |
| 19 | Internet und digitale Gesellschaft des Deutschen Bundestages |
| 20 | vom 21. Mai 2012. S. 1. Online abrufbar unter: |
| 21 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 22 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 23 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 24 | _Doering.pdf] Bei deaktivierten Privacy Extensions ist |
| 25 | jedoch durch Mobile IPv6[FN: Siehe Kapitel I.2.2.2.1, |
| 26 | Abschnitt Technische Neuerung von IPv6 gegenüber IPv4.] ein |
| 27 | Tracking des Nutzers über Netzwerkgrenzen hinweg möglich. |
| 28 | Tracking kann jedoch auch über den Einsatz so genannter |
| 29 | Cookies erfolgen. Durch die europäische Richtlinie |
| 30 | (2009/136/EG), so genannte Cookie-Richtlinie[FN: Die |
| 31 | Cookie-Richtlinie besagt, dass Cookies nur noch mit |
| 32 | ausdrücklicher Genehmigung des Nutzers (Opt-In-Verfahren) |
| 33 | zum Einsatz kommen dürfen.], könnte das Cookie-Tracking |
| 34 | jedoch unwichtiger werden, wodurch das Interesse an |
| 35 | IPv6-Tracking steigen könnte.[FN: Vgl. Der Bundesbeauftragte |
| 36 | für den Datenschutz und die Informationsfreiheit, Schaar, |
| 37 | Peter (Hrsg.): Internetprotokoll Version 6 (IPv6) – Wo |
| 38 | bleibt der Datenschutz? – Tagungsband, 22. November 2011, |
| 39 | Berlin, S. 33. Online abrufbar unter: |
| 40 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschu |
| 41 | eren/TagungsbandSymposiumIPv6.pdf?__blob=publicationFile] |
| 42 | |
| 43 | Um die Privatsphäre des Nutzers zu schützen, wird daher im |
| 44 | Sinn des Privacy by Design eine Implementierung der Privacy |
| 45 | Extensions in Betriebssystemen und auf mobilen Endgeräten |
| 46 | gefordert.[FN: Vgl. beispielsweise die schriftliche |
| 47 | Stellungnahme von Ulrich Kühn im Rahmen des öffentlichen |
| 48 | Expertengespräches „IPv6 – Sicherheitsaspekte“ der |
| 49 | Projektgruppe Zugang, Struktur und Sicherheit im Netz der |
| 50 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 51 | Deutschen Bundestages vom 21. Mai 2012. S. 4. Online |
| 52 | abrufbar unter: |
| 53 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 54 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 55 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 56 | _Kuehn.pdf] Zudem sollten diese standardmäßig aktiviert |
| 57 | werden (Privacy by Default).[FN: Vgl. 33. Internationale |
| 58 | Konferenz der Beauftragten für den Datenschutz und für die |
| 59 | Privatsphäre: Entschließung – Die Verwendung eindeutiger |
| 60 | Kennungen bei der Nutzung von Internet Protokoll Version 6 |
| 61 | (IPv6), 1. November 2011, S. 2. Online abrufbar unter: |
| 62 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliess |
| 63 | ungssammlung/IntDSK/2011InternetIPv6.pdf?__blob=publicationF |
| 64 | ile] Es sind bereits Betriebssysteme sowie Mobilgeräte |
| 65 | verfügbar, auf denen die Privacy Extensions genutzt werden |
| 66 | können. |
| 67 | In dem von der Projektgruppe durchgeführen Expertengespräch |
| 68 | „IPv6 – Sicherheitsaspekte“ haben sich mehrere Anhörpersonen |
| 69 | dafür ausgesprochen, dass für den Endanwender eine einfache |
| 70 | Möglichkeit, beispielsweise ein leicht zugänglicher und |
| 71 | intuitiv bedienbarer Button, vorhanden sein solle, um |
| 72 | zwischen ein- und ausgeschalteten Privacy Extensions |
| 73 | wechseln zu können.[FN: Vgl. Protokoll des öffentlichen |
| 74 | Expertengesprächs zum Thema „IPv6 – Sicherheitsaspekte“ der |
| 75 | Projektgruppe Zugang, Struktur und Sicherheit im Netz der |
| 76 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 77 | Deutschen Bundestages vom 21. Mai 2012. S. 12, 16. Online |
| 78 | abrufbar unter: |
| 79 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 80 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 81 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf |
| 82 | ] |
| 83 | |
| 84 | |
| 85 | I.2.1.1.2.2.6 Sensibilisierung der Nutzerinnen und Nutzer |
| 86 | Mit der Einführung von IPv6 ergeben sich technische |
| 87 | Neuerungen. Diese bieten Vorteile, bringen aber – wie |
| 88 | dargestellt – auch einige sicherheits- und |
| 89 | datenschutzrelevante Herausforderungen mit sich. |
| 90 | |
| 91 | Vor diesem Hintergrund wird der Sensibilisierung und |
| 92 | Aufklärung der Nutzerinnen und Nutzer eine besondere Rolle |
| 93 | zuteil.[FN: Vgl. Schriftliche Stellungnahme von Björn A. |
| 94 | Zeeb im Rahmen des öffentlichen Expertengespräches „IPv6 – |
| 95 | Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und |
| 96 | Sicherheit im Netz der Enquete-Kommission Internet und |
| 97 | digitale Gesellschaft des Deutschen Bundestages vom 21. Mai |
| 98 | 2012. S. 2. Online abrufbar unter: |
| 99 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 100 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 101 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 102 | _Zeeb.pdf sowie Protokoll des öffentlichen Expertengesprächs |
| 103 | zum Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe |
| 104 | Zugang, Struktur und Sicherheit im Netz der |
| 105 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 106 | Deutschen Bundestages vom 21. Mai 2012. S. 12, 26. Online |
| 107 | abrufbar unter: |
| 108 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 109 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 110 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf |
| 111 | ] |
| 112 | Der Bundesbeauftragten für den Datenschutz und die |
| 113 | Informationsfreiheit (BfDI), Peter Schaar, spricht sich |
| 114 | dafür aus, dass zunächst der Selbstregulierung vor einer zu |
| 115 | frühzeitigen Reglementierung der Vorzug zu geben ist. Für |
| 116 | ihn stehen datenschutzfreundliche Grundeinstellung sowie die |
| 117 | Aufklärung der Nutzerinnen und Nutzer im Mittelpunkt. So |
| 118 | erklärt er: „Lassen Sie mich noch einen Schlenker machen zum |
| 119 | Thema „rechtlicher Rahmen“. Wir als Datenschützer sind ja |
| 120 | bekannt dafür, dass wir immer wieder nach neuen Gesetzen |
| 121 | rufen. Hier würde ich mal sagen, tun wir das so nicht. Wir |
| 122 | setzen darauf, dass wir über entsprechende Mechanismen, |
| 123 | vielleicht auch die Selbstregulierung, |
| 124 | datenschutzfreundliche Standards umsetzen werden. Wenn das |
| 125 | nicht klappt, dann muss man natürlich überlegen, auch im |
| 126 | Einzelfall, ob es ausreichend ist, auf |
| 127 | Selbstregulierungsmechanismen zu setzen. Entscheidend ist |
| 128 | für mich, dass für den Betroffenen, der als Nutzer, als |
| 129 | Kunde Internetdienste in Anspruch nimmt, zunächst einmal |
| 130 | eine datenschutzfreundliche Einstellung präsentiert wird, |
| 131 | die ein Tracking und Tracing eben nicht standardmäßig |
| 132 | ermöglicht und zweitens, dass das ganze System für ihn |
| 133 | transparent ist. D.h., wenn er sich für ein bestimmtes |
| 134 | Modell entscheidet, dass er auch weiß, welche Konsequenzen |
| 135 | das hat. Wenn er im vollen Bewusstsein, dass es da |
| 136 | vielleicht auch Datenschutzrisiken gibt, sich entscheidet, |
| 137 | diese Risiken in Kauf zu nehmen, weil es Vorteile gibt, auf |
| 138 | die er nicht verzichten möchte, dann denke ich, werden wir |
| 139 | ihn nicht bevormunden wollen. Aber Transparenz und Privacy |
| 140 | by Design / Default, das ist, glaube ich der Schlachtruf |
| 141 | dieser Revolution.“[FN: Vgl. Der Bundesbeauftragte für den |
| 142 | Datenschutz und die Informationsfreiheit, Schaar, Peter |
| 143 | (Hrsg.): Internetprotokoll Version 6 (IPv6) – Wo bleibt der |
| 144 | Datenschutz? – Tagungsband, 22. November 2011, Berlin, S. |
| 145 | 12. Online abrufbar unter: |
| 146 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschu |
| 147 | eren/TagungsbandSymposiumIPv6.pdf?__blob=publicationFile] |
Der Text verglichen mit der Originalversion
| 1 | I.2.1.1.2.2.5 Privacy Extensions |
| 2 | |
| 3 | Ein weiterer aus Datenschutzsicht zu betrachtender Aspekt |
| 4 | geht mit der Generierung des Interface Identifier einher. |
| 5 | Dieser dritte Teil einer IPv6-Adresse dient der eindeutigen |
| 6 | Identifizierung eines Endgeräts innerhalb eines Netzwerks. |
| 7 | Die Bildung des Interface Identifier kann entweder auf Basis |
| 8 | der weltweit einmaligen Media-Access-Control(MAC)-Adresse |
| 9 | des Endgerätes[FN: Siehe Fußnote 29.] oder auf Basis |
| 10 | regelmäßig neu erzeugter Zufallszahlen mittels Privacy |
| 11 | Extensions erfolgen.[FN: Siehe Fußnote 30.] |
| 12 | |
| 13 | „Die ‚Privacy Extension‘ verhindern wirksam eine eindeutige |
| 14 | Identifikation eines bestimmten Endgerätes anhand seiner |
| 15 | IPv6-Adresse.“[FN: Vgl. Schriftliche Stellungnahme von Gert |
| 16 | Döring im Rahmen des öffentlichen Expertengespräches zum |
| 17 | Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe Zugang, |
| 18 | Struktur und Sicherheit im Netz der Enquete-Kommission |
| 19 | Internet und digitale Gesellschaft des Deutschen Bundestages |
| 20 | vom 21. Mai 2012. S. 1. Online abrufbar unter: |
| 21 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 22 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 23 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 24 | _Doering.pdf] Bei deaktivierten Privacy Extensions ist |
| 25 | jedoch durch Mobile IPv6[FN: Siehe Kapitel I.2.2.2.1, |
| 26 | Abschnitt Technische Neuerung von IPv6 gegenüber IPv4.] ein |
| 27 | Tracking des Nutzers über Netzwerkgrenzen hinweg möglich. |
| 28 | Tracking kann jedoch auch über den Einsatz so genannter |
| 29 | Cookies erfolgen. Durch die europäische Richtlinie |
| 30 | (2009/136/EG), so genannte Cookie-Richtlinie[FN: Die |
| 31 | Cookie-Richtlinie besagt, dass Cookies nur noch mit |
| 32 | ausdrücklicher Genehmigung des Nutzers (Opt-In-Verfahren) |
| 33 | zum Einsatz kommen dürfen.], könnte das Cookie-Tracking |
| 34 | jedoch unwichtiger werden, wodurch das Interesse an |
| 35 | IPv6-Tracking steigen könnte.[FN: Vgl. Der Bundesbeauftragte |
| 36 | für den Datenschutz und die Informationsfreiheit, Schaar, |
| 37 | Peter (Hrsg.): Internetprotokoll Version 6 (IPv6) – Wo |
| 38 | bleibt der Datenschutz? – Tagungsband, 22. November 2011, |
| 39 | Berlin, S. 33. Online abrufbar unter: |
| 40 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschu |
| 41 | eren/TagungsbandSymposiumIPv6.pdf?__blob=publicationFile] |
| 42 | |
| 43 | Um die Privatsphäre des Nutzers zu schützen, wird daher im |
| 44 | Sinn des Privacy by Design eine Implementierung der Privacy |
| 45 | Extensions in Betriebssystemen und auf mobilen Endgeräten |
| 46 | gefordert.[FN: Vgl. beispielsweise die schriftliche |
| 47 | Stellungnahme von Ulrich Kühn im Rahmen des öffentlichen |
| 48 | Expertengespräches „IPv6 – Sicherheitsaspekte“ der |
| 49 | Projektgruppe Zugang, Struktur und Sicherheit im Netz der |
| 50 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 51 | Deutschen Bundestages vom 21. Mai 2012. S. 4. Online |
| 52 | abrufbar unter: |
| 53 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 54 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 55 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 56 | _Kuehn.pdf] Zudem sollten diese standardmäßig aktiviert |
| 57 | werden (Privacy by Default).[FN: Vgl. 33. Internationale |
| 58 | Konferenz der Beauftragten für den Datenschutz und für die |
| 59 | Privatsphäre: Entschließung – Die Verwendung eindeutiger |
| 60 | Kennungen bei der Nutzung von Internet Protokoll Version 6 |
| 61 | (IPv6), 1. November 2011, S. 2. Online abrufbar unter: |
| 62 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliess |
| 63 | ungssammlung/IntDSK/2011InternetIPv6.pdf?__blob=publicationF |
| 64 | ile] Es sind bereits Betriebssysteme sowie Mobilgeräte |
| 65 | verfügbar, auf denen die Privacy Extensions genutzt werden |
| 66 | können. |
| 67 | In dem von der Projektgruppe durchgeführen Expertengespräch |
| 68 | „IPv6 – Sicherheitsaspekte“ haben sich mehrere Anhörpersonen |
| 69 | dafür ausgesprochen, dass für den Endanwender eine einfache |
| 70 | Möglichkeit, beispielsweise ein leicht zugänglicher und |
| 71 | intuitiv bedienbarer Button, vorhanden sein solle, um |
| 72 | zwischen ein- und ausgeschalteten Privacy Extensions |
| 73 | wechseln zu können.[FN: Vgl. Protokoll des öffentlichen |
| 74 | Expertengesprächs zum Thema „IPv6 – Sicherheitsaspekte“ der |
| 75 | Projektgruppe Zugang, Struktur und Sicherheit im Netz der |
| 76 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 77 | Deutschen Bundestages vom 21. Mai 2012. S. 12, 16. Online |
| 78 | abrufbar unter: |
| 79 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 80 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 81 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf |
| 82 | ] |
| 83 | |
| 84 | |
| 85 | I.2.1.1.2.2.6 Sensibilisierung der Nutzerinnen und Nutzer |
| 86 | Mit der Einführung von IPv6 ergeben sich technische |
| 87 | Neuerungen. Diese bieten Vorteile, bringen aber – wie |
| 88 | dargestellt – auch einige sicherheits- und |
| 89 | datenschutzrelevante Herausforderungen mit sich. |
| 90 | |
| 91 | Vor diesem Hintergrund wird der Sensibilisierung und |
| 92 | Aufklärung der Nutzerinnen und Nutzer eine besondere Rolle |
| 93 | zuteil.[FN: Vgl. Schriftliche Stellungnahme von Björn A. |
| 94 | Zeeb im Rahmen des öffentlichen Expertengespräches „IPv6 – |
| 95 | Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und |
| 96 | Sicherheit im Netz der Enquete-Kommission Internet und |
| 97 | digitale Gesellschaft des Deutschen Bundestages vom 21. Mai |
| 98 | 2012. S. 2. Online abrufbar unter: |
| 99 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 100 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 101 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Stellungnahme |
| 102 | _Zeeb.pdf sowie Protokoll des öffentlichen Expertengesprächs |
| 103 | zum Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe |
| 104 | Zugang, Struktur und Sicherheit im Netz der |
| 105 | Enquete-Kommission Internet und digitale Gesellschaft des |
| 106 | Deutschen Bundestages vom 21. Mai 2012. S. 12, 26. Online |
| 107 | abrufbar unter: |
| 108 | http://www.bundestag.de/internetenquete/dokumentation/Zugang |
| 109 | _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen |
| 110 | tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf |
| 111 | ] |
| 112 | Der Bundesbeauftragten für den Datenschutz und die |
| 113 | Informationsfreiheit (BfDI), Peter Schaar, spricht sich |
| 114 | dafür aus, dass zunächst der Selbstregulierung vor einer zu |
| 115 | frühzeitigen Reglementierung der Vorzug zu geben ist. Für |
| 116 | ihn stehen datenschutzfreundliche Grundeinstellung sowie die |
| 117 | Aufklärung der Nutzerinnen und Nutzer im Mittelpunkt. So |
| 118 | erklärt er: „Lassen Sie mich noch einen Schlenker machen zum |
| 119 | Thema „rechtlicher Rahmen“. Wir als Datenschützer sind ja |
| 120 | bekannt dafür, dass wir immer wieder nach neuen Gesetzen |
| 121 | rufen. Hier würde ich mal sagen, tun wir das so nicht. Wir |
| 122 | setzen darauf, dass wir über entsprechende Mechanismen, |
| 123 | vielleicht auch die Selbstregulierung, |
| 124 | datenschutzfreundliche Standards umsetzen werden. Wenn das |
| 125 | nicht klappt, dann muss man natürlich überlegen, auch im |
| 126 | Einzelfall, ob es ausreichend ist, auf |
| 127 | Selbstregulierungsmechanismen zu setzen. Entscheidend ist |
| 128 | für mich, dass für den Betroffenen, der als Nutzer, als |
| 129 | Kunde Internetdienste in Anspruch nimmt, zunächst einmal |
| 130 | eine datenschutzfreundliche Einstellung präsentiert wird, |
| 131 | die ein Tracking und Tracing eben nicht standardmäßig |
| 132 | ermöglicht und zweitens, dass das ganze System für ihn |
| 133 | transparent ist. D.h., wenn er sich für ein bestimmtes |
| 134 | Modell entscheidet, dass er auch weiß, welche Konsequenzen |
| 135 | das hat. Wenn er im vollen Bewusstsein, dass es da |
| 136 | vielleicht auch Datenschutzrisiken gibt, sich entscheidet, |
| 137 | diese Risiken in Kauf zu nehmen, weil es Vorteile gibt, auf |
| 138 | die er nicht verzichten möchte, dann denke ich, werden wir |
| 139 | ihn nicht bevormunden wollen. Aber Transparenz und Privacy |
| 140 | by Design / Default, das ist, glaube ich der Schlachtruf |
| 141 | dieser Revolution.“[FN: Vgl. Der Bundesbeauftragte für den |
| 142 | Datenschutz und die Informationsfreiheit, Schaar, Peter |
| 143 | (Hrsg.): Internetprotokoll Version 6 (IPv6) – Wo bleibt der |
| 144 | Datenschutz? – Tagungsband, 22. November 2011, Berlin, S. |
| 145 | 12. Online abrufbar unter: |
| 146 | http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschu |
| 147 | eren/TagungsbandSymposiumIPv6.pdf?__blob=publicationFile] |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag