Dienstag, 17. Juli 2012

Anonymisierung von IPv6-Adressen

Aus aktuellem, beruflichen Anlass muss ich mich derzeit ein wenig mit der Thematik Datenschutz, IPv6 und Anonymisierung von IP-Adressen beschäftigen.

Hauptgrund derzeit ist die Verwendung der Webanalyse-Software Piwik. Und das Hauptproblem hierbei ist einfach, dass es kaum Informationen bzw. verbindliche Aussagen zu dieser Thematik gibt. Und was macht man dann in einem solchen Fall? Man schreibt einfach mal den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit an und bekommt nach sehr kurzer Zeit (Anfrage Freitagnachmittag, Antwort Montagvormittag) eine Antwort. Nur leider hilft diese  nicht wirklich weiter. Heisst es doch im Begleitschreiben:

[...]

In der Tat gibt es zum Thema noch nicht sehr viele Handlungsempfehlungen, da es derzeit noch an den konkreten Umsetzungen der Provider und damit der tatsächlichen Bedeutung der einzelnen Oktette fehlt.

Allerdings hat sich die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder Ende September 2011 in München mit diesem Thema (unter anderem) beschäftigt und eine erste Empfehlung in ihrer Entschließung zu Papier gebracht. Ich füge Ihnen das entsprechende Dokument an.

Zudem wird es in absehbarer Zeit eine Orientierungshilfe des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder geben, in dem auch die Reichweitenanalyse thematisiert wird. Ein konkretes Datum für dieses Dokument kann ich Ihnen zum jetzigen Zeitpunkt allerdings noch nicht nennen.

[...]
Das im Anschreiben angesprochene Dokument gibt es auch entsprechend im PDF-Format auch online herunterzuladen. Einzig aussagekräftig ist hier eigentlich auch nur der Punkt:
 [...]

Content Provider dürfen zur Reichweitenmessung nur die ersten 4 Bytes der
IPv6-Adresse heranziehen und müssen den Rest der Adresse löschen, denn
eine Analyse von Nutzungsdaten ist nach Ansicht der Datenschutzaufsichtsbehörden nur auf der Grundlage anonymisierter IP-Adressen zulässig. Die ersten 4 Bytes sind für eine Geolokalisierung ausreichend.

[...]
Mal schauen, wie sich das entwickeln wird. Bei der Aussage dürften aber sicherlich einige auf die Barrikaden gehen. Für uns wird das wohl heißen, das wir uns erst einmal danach richten werden. Zur Not kann man hinterher evtl. doch mehr Daten auswerten und steht nicht vor dem Problem aufgrund rechtlicher Entscheidungen alles an Auswertungen wegschmeissen zu müssen, weil zuviel Daten verwendet wurden. Das ist ja wohl auch das, was vielen Nutzern von Google Analytics blüht ...

Keine Kommentare: