Staatlich unterstützte DNS-Dienste (wie DNS4EU)
DNS4EU, eine Initiative der Europäischen Kommission, zielt darauf ab, die digitale Unabhängigkeit der EU zu stärken und eine Alternative zu US-basierten Technologiekonzernen zu bieten. Die Organisation, die für den Betrieb der DNS4EU Public Resolvers verantwortlich ist, ist Whalebone, ein Unternehmen mit Sitz in der Tschechischen Republik.
Verpflichtung zur Datenerhebung: DNS4EU verpflichtet sich, nur die Informationen zu erfassen, die für die ordnungsgemäße Bereitstellung und Funktionsweise des DNS-Auflösungsdienstes sowie zur Erforschung von Online-Bedrohungen erforderlich sind. Es wird ausdrücklich erklärt, dass IP-Adressen oder andere Nutzerkennungen aus DNS-Anfragen weder gespeichert, verkauft noch an Dritte weitergegeben werden (außer wenn gesetzlich erforderlich). Außerdem wird versprochen, gesammelte Daten nicht mit anderen Informationen zu kombinieren, um einzelne Endnutzer identifizieren zu können.
Anonymisierung von IP-Adressen: DNS4EU implementiert einen speziellen Prozess zur Anonymisierung von IP-Adressen. IPv4- und IPv6-Adressen werden mithilfe der kryptografischen Hashfunktion HMAC_SHA256 verarbeitet, wobei der HMAC-Schlüssel täglich neu generiert und nur im Speicher gehalten wird. Das Ergebnis wird anschließend einer Modulo-Operation unterzogen. Um die Privatsphäre zusätzlich zu schützen, werden alle Anfragen, die weniger als 100 Zugriffe pro anonymisierter IP-Adresse aufweisen, gelöscht. Ziel ist ein „anonymisierter Datensatz“, der „nicht mehr vernünftigerweise einer betroffenen Person zugeordnet werden kann“.
Begrenzte Daten in Protokollen: Abgesehen von anonymisierten IP-Adressen sammelt DNS4EU „begrenzte DNS-Abfragedaten“ in seinen Protokollen. Dazu gehören die vom Gerät gesendete DNS-Abfrage, die DNS-Antwort des Resolvers, der Typ der DNS-Abfrage, der Zeitstempel der Anfrage, der Resolver-Identifier, ASN-Identifier, Bedrohungstyp (falls erkannt), Inhaltstyp (bei aktivierter Filterung), Transportprotokoll, Anfrageport und TTL. Diese Protokolle werden hauptsächlich für die „Bedrohungsforschung“ verwendet und bis zu sechs (6) Monate lang in EU-gehosteten Backends gespeichert, bevor sie gelöscht werden. Aggregierte Daten wie die Gesamtanzahl der Abfragen, Abfragen pro Sekunde (QPS) und durchschnittliche Auflösungszeiten können unbegrenzt gespeichert werden.
Ausnahmen bei nicht anonymisierten IP-Adressen: Es gibt eine „sehr begrenzte Anzahl von Fällen“, in denen nicht anonymisierte IP-Adressen verarbeitet werden:
Bei normaler DNS-Auflösung wird die Client-IP-Adresse für wenige Millisekunden im flüchtigen Speicher (RAM) gehalten, nur solange wie nötig, um eine Antwort zu senden, und nie im nicht-flüchtigen Speicher gespeichert.
Wenn ein Nutzer nach einer Warnseite dennoch auf eine potenziell schädliche Website zugreift, kann die IP-Adresse bis zu 24 Stunden gespeichert werden, um einen erneuten Zugriff zu verhindern.
Bei aktiven Angriffen auf den DNS-Resolver (z. B. DDoS) können IP-Adressen bis zu sechs (6) Monate gespeichert werden, um Angreifer zu identifizieren und die Angriffsmuster zu analysieren.
Bei Fehlersuche (z. B. Softwareabstürzen) können IP-Adressen, die sich zum Zeitpunkt des Absturzes im RAM befinden (sog. Core Dumps), bis zu drei (3) Monate gespeichert werden.
Diese Ausnahmen basieren auf dem „berechtigten Interesse an der Gewährleistung des Betriebs, der Sicherheit und der Stabilität der DNS-Kommunikation“.
Datenweitergabe: DNS4EU erklärt ausdrücklich, dass keine Informationen weitergegeben werden, die zur Identifizierung einer Person führen könnten. Begrenzte Daten (wie in anonymisierten Protokollen) werden mit ausgewählten Projektpartnern geteilt, die damit maschinelles Lernen trainieren. Aggregierte Daten und/oder Teilmengen anonymisierter Daten dürfen mit Partnern im Bereich Bedrohungsanalyse unter strikter Vertraulichkeit geteilt werden, um die Sicherheit der Nutzer zu verbessern. Öffentlich zugänglich sind nur allgemeine Informationen und Berichte mit statistisch aggregierten Daten; keine Originaldatensätze. Es wird auch explizit angegeben, dass keine Korrelation oder Kombination der Daten mit anderen Quellen erfolgt.
Rechtskonformität: DNS4EU erklärt, dass es den EU-Gesetzen, einschließlich der DSGVO, und den nationalen Gesetzgebungen entspricht und Datenschutz durch Technikgestaltung („Privacy by Design“) umsetzt. Whalebone, der Betreiber, unterliegt der unabhängigen Aufsicht des tschechischen Amts für Datenschutz (UOOU).
Kritik: Trotz der Anonymisierungsmaßnahmen bemängeln Datenschützer wie Patrick Breyer, dass DNS4EU „keine No-Log-Politik im strengen Sinne“ verfolgt, da es dennoch begrenzte DNS-Daten und IP-Adressen sammelt, auch wenn diese meist anonymisiert sind. Breyer sagte: „Die Protokollierung aller Anfragen – selbst wenn sie größtenteils anonymisiert sind – birgt Risiken.“ Es gibt auch Bedenken hinsichtlich möglicher zukünftiger Inhaltsfilterung über bösartige Domains hinaus, obwohl DNS4EU betont, dass es „nicht zensiert … außer zur Blockierung bösartiger Domains … oder wenn der Nutzer dies auswählt“, und ein Test zeigte, dass weder die CUII-Liste noch YouPorn gefiltert wurden, außer wenn Kinderschutz aktiviert war. Manche Nutzer äußern Bedenken, dass es sich um eine Art „offensichtliche Falle“ handeln könnte.
Non-Profit / NGO DNS
Diese Anbieter gelten allgemein als besonders datenschutzfreundlich und unabhängig von Regierungen oder großen Konzernen, was bei Nutzern, die Überwachung oder Datenmissbrauch fürchten, Vertrauen schafft.
Mullvad DNS: Verfolgt eine Politik von „absolut keinen Logs“. Wird von Mullvad VPN betrieben, bekannt für seine strengen Datenschutzrichtlinien. Sitz in Schweden mit starken Datenschutzgesetzen.
DNS.Watch: Verfolgt eine „No-Logging-Politik“. Ist vollständig unabhängig und speichert oder filtert keine Nutzerdaten. Sitz in Deutschland, bekannt für seine strengen Datenschutzbestimmungen.
Quad9: Gibt an: „Keine Protokollierung von IP-Adressen (nur aggregierte Statistiken)“. Es werden keine personenbezogenen Daten (PII) wie IP-Adressen außerhalb des Projekts weitergegeben. Quad9 hat seinen rechtlichen Sitz von den USA in die Schweiz verlegt, um „maximalen Datenschutz im Internet“ zu gewährleisten, was bedeutet, dass es dem Schweizer Datenschutzgesetz (nahezu identisch mit der DSGVO) unterliegt, mit strafrechtlichen Sanktionen bei Verstößen. Es werden einige Daten zur Bedrohungserkennung erhoben, die dann weiterverarbeitet und für Sicherheitsforschung geteilt werden können.
dns0.eu: Dieser Dienst wird für seine starke Datenschutzpolitik und sein No-Logging-Versprechen hervorgehoben. Wird von einer französischen Non-Profit-Organisation betrieben, die von den Gründern von NextDNS ins Leben gerufen wurde. Die No-Logging-Politik gilt als besonders verlässlich, da die Server in der EU stehen.
LibreDNS: Gibt ausdrücklich an: „Keine Logs“. Wird von LibreOps betrieben, einer datenschutzorientierten Community mit Sitz in der EU.
Kommerzielle DNS-Anbieter
Kommerzielle DNS-Anbieter unterscheiden sich hinsichtlich ihrer Datenverarbeitung und versuchen oft, zwischen Leistung, Funktionalität und Datenschutz abzuwägen.
Google DNS (8.8.8.8): Oft kritisiert, da das Geschäftsmodell auf Datensammlung basiert. Einige Nutzer berichten, dass die Nutzung von Google DNS oder DNS-Diensten generischer Anbieter oft mit Datenanalyse und Zensur einhergeht.
Cloudflare (1.1.1.1): Gibt an, „keine IP-Protokollierung“ vorzunehmen und die Logs innerhalb von 24 Stunden zu löschen. Wurde von KPMG auditiert, um Transparenz zu gewährleisten. Als US-Unternehmen unterliegt es jedoch Gesetzen wie dem Patriot Act und dem CLOUD Act. Wird als einer der datenschutzfreundlicheren US-basierten Anbieter angesehen.
NextDNS: Bietet optionales Logging, das vollständig deaktiviert werden kann. Ist auf Datenschutz ausgelegt und erklärt, keine Daten zu verkaufen. Nutzer können wählen, Logs in der EU oder der Schweiz zu speichern. Obwohl die Gründer Franzosen sind (und auch dns0.eu gründeten), gilt NextDNS als US-basiertes Unternehmen.
Fazit:
Non-Profit/NGO-DNS-Anbieter bieten in der Regel die strengsten No-Logging-Richtlinien, gestützt durch starke Datenschutzgesetze in Ländern wie Schweden, Deutschland und der Schweiz. Staatlich unterstützte DNS-Dienste wie DNS4EU streben hohe Datenschutzstandards und DSGVO-Konformität mit detaillierter Anonymisierung an, beinhalten jedoch begrenztes anonymisiertes Logging und einige Ausnahmen für nicht anonymisierte Daten. Kommerzielle Anbieter wie Cloudflare und NextDNS bieten ebenfalls starke Datenschutzversprechen mit begrenztem oder optionalem Logging, sind jedoch den Gesetzen ihrer Herkunftsländer unterworfen, was für manche Nutzer bedenklich ist.
Die richtige DNS-Lösung finden
Die Wahl des passenden DNS-Anbieters kann komplex sein – besonders angesichts unterschiedlicher Logging-Richtlinien und Rechtsräume. Wie gezeigt, bieten Non-Profit/NGO-Anbieter meist die strengsten No-Logging-Richtlinien, gestützt durch robuste Datenschutzgesetze. Staatliche Projekte wie DNS4EU setzen auf hohe Privatsphäre und DSGVO-Konformität mit technischer Anonymisierung, erfassen jedoch teils anonyme Daten. Kommerzielle Anbieter wie Cloudflare und NextDNS bieten ebenfalls datenschutzfreundliche Lösungen, sind jedoch von nationalem Recht abhängig – was für manche Nutzer relevant sein kann.
Die Navigation durch diese Feinheiten, um eine DNS-Lösung zu finden, die Ihren individuellen Datenschutz- und Sicherheitsbedürfnissen entspricht, kann herausfordernd sein. Wir helfen Ihnen dabei.
Besuchen Sie unsere Service-Seite, um zu erfahren, wie wir Sie neutral und kompetent bei der Wahl der idealen DNS-Lösung unterstützen können.