Homer J. Simpson

KRIEG BEDEUTET FRIEDEN
FREIHEIT IST SKLAVEREI
UNWISSENHEIT IST STÄRKE

Technische Möglichkeiten der Datenerhebung

- Cookies
- Logfile
- Header
- Web Fragebogen

P3P - Platform for Privacy Preference
oder
Pretty Poor Privacy?

P3P-Platform for Privacy Preference
Funktion von P3P
So könnte eine P3P – Seite ausschauen
Übersetzung in das XML Format
P3P fähige Browser
Chancen von dem P3P Standart
Links
Quellen
Umfrage

Einleitung

George Orwell beschreibt in seinem Buch „1984“ den totalitären Überwachungsstaat, indem gläserne Menschen überwacht und ihre Daten ausspioniert werden. Der gläserne Mensch bleibt aber nicht mehr länger nur eine Fiktion, auch Sie übermitteln während Sie das lesen Daten. Das Internet ist keine Einbahnstraße und das ist dem Normalsurfer, der nur sieht, dass sich eine Website öffnet, oft nicht bewusst. Unter der sichtbaren Oberfläche werden laufend Personenbezogene Daten verschickt. Solche Personenbezogenen Daten sind zum Beispiel Verbindungsdaten oder Inhaltsdaten. Diese Daten können gesammelt und für Werbezwecke genutzt werden.
Die diversen Firmen wollen somit dem User gezielt Werbung mittels Pop-Ups, oder E-Mail Werbung nach den jeweiligen Surfgewohnheiten und Interessen zukommen lassen. Dabei stehen nun verschiedene technische Möglichkeiten für die Datenerhebung zur Verfügung.

Zurück zum Anfang

Technische Möglichkeiten der Datenerhebung

- Cookies

- Logfile

- Header

- Web Fragebogen

(vgl. http://www.waellisch.de/home/pras.pdf)

Zurück zum Anfang

Cookies

Cookies sind kleine Dateien, die auf dem PC des Nutzers in eine Cookie Datenbank, Cookie Cache, die vom Webbrowser zur Verfügung gestellt wird, gespeichert werden. Bei einem erneuten Besuch einer Website können sie somit identifiziert werden. Dies ermöglicht personifizierte Dienste und sie müssen nicht mehr ihren Namen oder Passwort eintippen. Auch Namen, Interessensgebiete oder Datum und Häufigkeit der Besuche können gespeichert und übertragen werden. „Doch nicht nur gewollt angesurfte Seiten können Cookies auf die Festplatte setzen. Enthält die Webseite eine Grafik, die von einem anderen Server stammt, darf auch der Cookies lesen und schreiben. Diese Webbugs können sich sogar in unsichtbaren Grafiken befinden, meist transparenten Gif-Bildern mit einer Größe von 1 x 1 Pixel. Durch die Registrierung der Seite, von der der Surfer kam, lassen sich Klickgewohnheiten feststellen und für Werbe-Einblendungen nutzen.“

(http://www.tecchannel.de/internet/989/)

Zurück zum Anfang

Logfile

Die Logdatei beinhaltet ein automatisch erstelltes Protokoll von Aktionen oder Daten von einem PC Benutzer. Die Auswertung folgender Parameter ist möglich:

- IP-Adresse
- Zeitpunkt der Abfrage
- Ursprungs-URL
- Verwendeter Browser
- Pfad durch den Server

Zurück zum Anfang

Header

Jede Homepage hat einen Header in dem Metainformationen zur Datei, sprich Homepage, stehen. Aber auch Datenpakete die übers TCP/IP Netzwerk versendet werden haben einen Header, indem Daten über den Absender, Empfänger, Typ und Lebensdauer des Datenpakets stehen. Ausgelesen werden meist:
- From-Feld
- Referer-Feld
- User-Agent-Feld

Zurück zum Anfang

Web Fragebogen

Auf Homepages können Web-Fragebögen eingebettet sein, allerdings ist das Ergebnis meist nicht repräsentativ für die breite Masse und es besteht das Problem von falschen Eingaben und mehrfach Teilnahmen.

Zurück zum Anfang

P3P-Platform for Privacy Preference

Damit die oben genannten technischen Möglichkeiten nicht zur Ausspionierung von Benutzern verwendet werden wurde 1998 die Platform for Privacy Preference gegründet. Bei dem Projekt P3P handelt es sich um eine Plattform, standartisiert durch das WWW Consortium W3C. P3P soll dem Internetuser ermöglichen selbst fest zu legen was mit seinen Daten im Netz passiert. Mittels eines P3P Agenten, der mittlerweile bei einigen Internetbrowsern integriert ist, kann man festlegen an wen, und welche Daten freigegeben werden.

Zurück zum Anfang

Funktion von P3P

Mit Hilfe eines kostenlosen P3P Agenten soll der Informationsanbieter dem User offen legen, welche Daten er sammelt, warum er sie sammelt und was er mit den Daten macht. Weiters soll der Informationsanbieter darüber informieren, ob er die Daten an Dritte weitergibt. Nachdem der User nun bescheid weiß, kann er sich entscheiden ob er dem Anbieter vertraut oder nicht. Dieser Vorgang soll weitgehend automatisiert ablaufen um die Benutzerfreundlichkeit zu wahren und dafür hat das W3C einen Standart entwickelt, der den Umgang einer Website mit privaten Informationen regelt. Die diversen Punkte werden mittels dem P3P-Standart in maschinenlesbares Format umgewandelt. Dieser Standart basiert auf dem Ressource Description Framework (RDF). Dadurch ist er eine XML programmierte Anwendung.

(vgl. http://www.tecchannel.de/internet/989/0.html)

Der Internetserver schickt dem Browser eine standardisierte Erklärung in XML Format und informiert welche Informationen gefordert sind und was mit den Informationen geschieht. Der Browser vergleicht nun das Zeugnis mit den Datenschutzvorgaben und stimmen diese überein dann beginnt der automatische Transfer der Informationen.
Stimmen die Vorgaben aber nicht überein, dann kann der Benutzer selber entscheiden ob er den Transfer zu lässt oder nicht.

Zurück zum Anfang

So könnte eine P3P – Seite ausschauen

Eine typische P3P-Seite könnte vom Inhalt her folgendermaßen aussehen:

"Entsprechend des Standards P3P 1.0 der W3C können Sie unsere Datenschutzrichtlinien unter der URL www.sbg.ac.at/datenschutz.html nachlesen. Die Paris-Lodron-Universität Salzburg in der Kapitelgasse. 4-6, 5020 Salzburg, Austria, E-Mail: uni-service@sbg.ac.at, Tel.: +43 / (0) 662 / 8044 – 0 gibt hiermit folgende Erklärung über ihre Webseiten ab:
Wir sammeln und werten Daten über die Besucher unserer Website aus. Dabei berücksichtigen wir Kontakt-Informationen und andere. Die unabhängige Organisation a.trust überprüft dabei, ob wir uns an die Datenschutzrichtlinien halten. Falls wir dagegen verstoßen, werden wir entstandene Schäden korrigieren.
Wir sammeln einige Informationen, um bestmöglichen technischen Support zu geben und unsere Website zu verbessern. Wir verwenden diese Informationen ausschließlich selbst und geben sie nicht an Drittanbieter weiter.
Wir speichern diese Daten so lange sie für diesen Zweck nötig sind. Dazu gehören Ihr Name, eventuell Ihre Telefonnummer, Ihre E-Mail-Adresse sowie ID und Passwort."

Diese Erklärung soll Antworten auf folgende Fragen enthalten:

- Welche Daten des Besuchers werden gesammelt?
- Wie werden diese Daten verwertet?
- Wer erhält Zugang zu diesen Daten?
- Wie lange werden die Daten gespeichert?

(vgl. http://www.tecchannel.de/internet/989/5.html)

Zurück zum Anfang

Übersetzung in das XML Format

Die Datenschutzrichtlinien müssen nun in das maschinenlesbare XML Format umgewandelt werden. Dazu nützen Sie am besten einen „P3P-Policy Generator“.
Folgende Fachausdrücke werden sie im Generator vorfinden:

- Entity: Wer sind Sie, und wie kann Sie der Besucher kontaktieren?

- Disclosure: Wo befindet sich die Datenschutzrichtlinie im Klartext auf Ihrer Site?

- Assurances / Disputes-Group: Welcher Drittanbieter oder welches Gesetz versichert, dass Sie sich an Ihre eigenen Richtlinien halten?

- Data Collection and Purpose: Welche Daten sammeln Sie zu welchem Zweck?

(vgl. http://www.tecchannel.de/internet/989/6.html)

Zurück zum Anfang

P3P fähige Browser

Seit dem 16.April 2002 ist der P3P 1.0 Standart eingeführt, am 10.Februar 2004 gab die W3C die nun aktuellste P3P 1.1 Version heraus.

(vgl. http://www.w3.org/P3P/)

Viele Browserhersteller warteten vorerst ab, aber nun sind folgende Browser P3P fähig.

- Microsoft Internetexplorer ab Version 6.0
- Netscape Navigator ab Version 7.0
- Mozilla ab Version 1.4
- AT&T Privacy Bird
- JRC Proxy

(vgl. http://www.w3.org/P3P/implementations)

Zurück zum Anfang

Chancen von dem P3P Standart

Das P3P Projekt ist sehr lobenswert dennoch kommt berechtigte Kritik von Verbraucherschützern. Die Automation, die dem User zu Gute kommen soll, birgt Risken, weil eben viele Prozesse automatisch ablaufen und der unerfahrene User meist die Standarteinstellung der Softwareindustrie verwendet. „Er sei offensichtlich nicht entwickelt worden, um die Privatsphäre zu schützen, sondern das Sammeln von Daten durch Websites zu erhöhen. Demnach erleichtere er dem Nutzer die Herausgabe seiner Angaben, statt sie zu behindern.“ (Karen Koyle, 1999)
Der Austausch der Information erfolgt sehr einseitig. Der Verbraucher muss meist detaillierte Angaben wie Name, Adresse, Arbeitsplatz, Telefonnummer oder Geburtstag eintragen. Auf Seiten der Betreiber gibt es keine entsprechenden Verpflichtungen.

(vgl. http://www.tecchannel.de/internet/989/1.html)

Das W3C ist keine juridische Instanz, somit kann das W3C nur Empfehlungen geben und keine einheitlichen Gesetze erlassen. Um den Rechtsstreit bei zu legen, wird versucht anerkannte Prüfinstanzen wie TRUSTe oder BBBOnline dazwischen zu schalten. Diese Institutionen sollen die Datenschutzrichtlinien und deren Einhaltung überprüfen.
Die P3P Erfinder mussten sich der Marktmacht der Großunternehmen, wie Microsoft, beugen. Microsoft zeigte und zeigt großes Interesse den Standart weiter zu führen. Allerdings ist ein Open Source Konzept die Voraussetzung, dass sich der Standart weiterentwickelt und es ist zweifelhaft ob nicht in Amerika das Open Source Konzept durch eine zu schnelle Patentvergabe gefährdet ist. Aber P3P hat in Microsoft und Netscape mächtige Fürsprecher. Der P3P Standart findet weitere Anwendung in Microsoft Passport und im Konzept von elektronischen Geldbörsen. Die weitere Ausbreitung des P3P Standards ist wahrscheinlich.

Zurück zum Anfang