Menü

Datenschutz mit P3P: Angebot und Nachfrage

vorlesen Drucken Kommentare lesen 42 Beiträge

Mit einer Reihe von Fachvorträgen eröffnete das schleswig-holsteinische Unabhängige Landeszentrum für Datenschutz in Kiel eine Website, die Unternehmen wie Privatanwender über die Vorteile der Platform for Privacy Preferences aufklären soll. Unter dem Slogan P3P -- ich hab’s gecheckt -- und den Rest macht mein PC sollen die Surfer animiert werden, die maschinenlesbare Datenschutzerklärung von Websites abzurufen. Dies wiederum soll Unternehmen dazu bewegen, ihre Datenschutzerklärungen in P3P-Codes umzusetzen.

"Das P3P-Projekt ist nur der erste Einstieg für uns", erklärte Helmut Bäumler, Landesbeauftragter für Datenschutz, das Henne-Ei-Problem der Fachleute. "Wir warten darauf, dass P3P besser wird, was allerdings voraussetzt, dass es überhaupt genutzt wird."

Die Website soll Surfern ohne Detailkenntnisse in die Lage versetzen, mit Plug-ins oder den von den Browsern angebotenen Einstellungsmöglichkeiten die Weitergabe von Daten besser zu kontrollieren. Als Beispiel wurde von den Initiatoren der Internet Explorer 6 genannt, dessen Voreinstellung mit dem Wert "Mittel" nicht hinreichend den deutschen Datenschutzvorschriften entspricht. Außerdem soll die Website über den P3P-Ansatz insgesamt aufklären, der von vielen Surfern mit einem Security-Tool verwechselt wird.

Neben der Verbreitung von P3P wollen sich die Datenschützer auch um die Erweiterung des Standards bemühen, der besonders beim mobilen Internet noch Wünsche offenlässt. So stellte die Datenschützerin Marit Hansen das gemeinsam mit der Firma Ericsson und der schwedischen Universität Karlstad gestartete Projekt PIMI vor, das für "Privacy in Mobile Internet" steht. Hier geht es zunächst darum, welche Datenschutzinformationen Surfer auf den kleinen Displays moderner Handys sehen können. Außerdem soll das Projekt die Möglichkeiten untersuchen, wie eine Erweiterung von P3P die Weitergabe von Lokationsangaben unterbinden kann. "Wenn der Datenschutz nicht in mobilen Geräten abgebildet werden kann, sind Internet-Nutzer mit mobilen Terminals der Willkür von Location Based Services ausgeliefert", betonte Marit Hansen.

Rigo Wenning vom W3C-Konsortium gab einen Überblick über die gewundene Geschichte des P3P-Projekts, das immerhin seit fünf Jahren die Fachleute in den verschiedensten Gremien beschäftigt. "P3P hat toll angefangen, doch ist der Anforderungskatalog in all den Jahren immer dünner geworden. Jetzt ist er sehr dünn, aber immerhin realisiert." Nach Wenning unterstützen 80 Prozent der Top-500-Websites im Internet bereits den P3P-Standard.

Zukünftig sei es die Aufgabe des W3C, P3P wieder zu erweitern. Besonders kritisch sind nach Wenning hinter den Websites arbeitende Web-Services, die die Weiterleitung von Anfragen eines Benutzers ohne jegliche Kontrolle durch den Benutzer ermöglichen. Auch das Single-Sign-On, wie es Microsoft mit seinem Passport-Dienst oder die Liberty Alliance anbieten, sei problematisch. "Wer diese Dienste im Detail betrachtet, wird schnell sehen, dass hier überhaupt noch keine Gedanken zum Datenschutz dabei sind", resümierte Wenning.

In Zusammenarbeit mit dem W3C will das Datenschutzzentrum Schleswig Holstein in Kiel im Juni eine Entwickler-Konferenz zu diesen Themen veranstalten. Auf die Nachfrage von heise online, ob Bestrebungen wie TCPA/Palladium nicht die Bemühungen um den selbstbestimmten Datenschutz torpedieren würden, erklärte Wenning: "Wir arbeiten mit Metadaten und das auf einer sehr hohen Ebene. TCPA ist, wenn es überhaupt realisiert werden kann, viel tiefer angesiedelt. P3P-Deklarationen können die Daten filtern, die quasi von unten angeliefert werden. Es ist praktisch wie mit Saddam und dem Irak. Die müssen erklären, welche Waffen sie besitzen, und die UN muss entscheiden, was passieren soll." (Detlef Borchers) / (jk)