P3P (Platform for Privacy Preferences) ist eine durch das W3-Konsortium (W3C) standardisierte Plattform zum Austausch von Datenschutzinformationen im World Wide Web. Mit Hilfe von P3P sollen die Benutzer einen schnellen Überblick über die Datenschutzpraxis einer Webseite bekommen können. Außerdem ermöglicht P3P den automatisierten Abgleich der Datenschutzerklärung des Anbieters mit den diesbezüglichen Präferenzen des Nutzers. Damit wird es dem Besucher einer Webseite möglich, schnell, unkompliziert und automatisch auf die jeweilige Datenschutzpraxis zu reagieren.
P3P liegt gegenwärtig in der Version 1.0 vom 16. April 2002 vor. Gegenwärtig arbeitet das W3C an der Version 1.1. Wichtige Neuerungen der Version 1.1 könnten die genauere Bestimmung des Verwendungszweck der gesammelten Daten sein, für den in der aktuellen Version nur sehr grobe Einstellungen möglich sind.
Funktionsweise von P3P
Zuerst verfaßt der Betreiber einer Webseite eine ausführliche Datenschutzerklärung in Textform. Ist dies erledigt, müssen die dort dargelegten Praktiken in den P3P-Standard übersetzt werden. Damit erhält man eine P3P-Erklärung (P3P policy), die als eine Reihe von Antworten auf Multiple-Choice-Fragen aufgebaut ist. Diese maschinenlesbare Version ermöglicht die automatische Auslese durch den P3P User Agent (z.B. Internet Explorer 6, AT&T Privacy Bird). Das hat aber den Nachteil, daß in ihr nicht alle Informationen der ursprünglichen Datenschutzerklärung enthalten sein können.
Die P3P policy ist eine XML-Datei mit spezieller P3P-Syntax. Damit der P3P User Agent (z.B. der Webbrowser) diese Datei findet, braucht man eine entsprechende Referenz-Datei. Diese liegt an einem dem P3P User Agent bekannten Platz. Hier ein Beispiel einer P3P policy:
<POLICIES xmlns="http://www.w3.org/2002/01/P3Pv1" xml:lang="de">
<POLICY name="policy" discuri="/w3c/privacy/">
<ENTITY><DATA-GROUP>
<DATA ref="#business.name">
Name der Organisation
</DATA>
<DATA ref="#business.contact-info.online.email">
mail@organisation.org
</DATA>
<DATA ref="#business.contact-info.online.uri">
http://www.organisation.org
</DATA>
</DATA-GROUP></ENTITY>
<ACCESS><nonident/></ACCESS>
<STATEMENT>
<CONSEQUENCE>Wir legen Serverlogs an.</CONSEQUENCE>
<PURPOSE><admin/><current/><develop/></PURPOSE>
<RECIPIENT><ours/></RECIPIENT>
<RETENTION><indefinitely/></RETENTION>
<DATA-GROUP>
<DATA ref="#dynamic.clickstream"/>
<DATA ref="#dynamic.http"/>
</DATA-GROUP>
</STATEMENT>
</POLICY>
</POLICIES>
Der Nutzer seinerseits legt seine Vorstellungen vom Schutz der eigenen Daten in einem P3P User Agent einmal fest. Vor Abruf einer Webseite ruft der User Agent die P3P policy auf dem Webserver ab und vergleicht die dort gemachten Angaben mit den Datenschutzeinstellungen des Benutzers. Der weitere Ablauf der Kommunikation hängt vom verwendeten P3P User Agent und von den Benutzereinstellungen ab. Zum Beispiel warnt der Privacy Bird den Nutzer optisch und akustisch, wenn die Datenschutzpraxis nicht den eigenen Präferenzen entspricht. Auch eine teilweise oder vollständige Blockade der Webseite wäre denkbar.
Hervorzuheben ist der durch P3P vereinfachte Umgang mit Cookies und Inhalten Dritter, ein Hauptanliegen der Entwickler von P3P. Zum Beispiel kann der Webbrowser Mozilla P3P benutzen, um das Setzen von Cookies zu gestatten oder zu verbieten. Gerade Cookies sind trotz ihrer vielen nützlichen Fähigkeiten leider in Verruf geraten, unbemerkt in die Privatsphäre der Nutzer einzudringen.
Zusätzlich liefert P3P dem Nutzer eine Zusammenfassung der Datenschutzpraxis (in seiner Sprache). Diese Zusammenfassung erstellt der User Agent automatisch aus der P3P policy. Sie enthält außerdem einen Link zur ausführlichen Datenschutzerklärung, so daß eine manuelle Suche auf der Webseite entfallen kann.
Die Entstehung von P3P
Die Idee, den Internetnutzern Werkzeuge in die Hand zu geben, mit denen sie dem Umgang mit ihren persönlichen besser kontrollieren können, ist circa zehn Jahre alt und beginnt in den USA. Bereits 1995 begannen Deirdre Mulligan, Janlori Goldman und Daniel Weitzner in Zusammenarbeit mit Paul Resnick am Zentrum für Demokratie und Technologie (CDT) in den USA an einer entsprechenden Plattform namens PICS (Platform for Internet Content Selection) zu arbeiten.
Bei PICS ging es zwar ursprünglich um die Auszeichnung von kindgerechten Internetinhalten an Hand eines Wertungssystems, doch demonstrierte Resnick der US-amerikanischen Handelskommission im Juni 1996, wie PICS auch dazu genutzt werden kann, die Webseiten nach ihrem Umgang mit personenbezogenen Daten zu bewerten. Das Motto lautete „PICS for Privacy“.
Trotz zahlreicher Befürworter dieses Projektes gab es Zweifel seitens der Wirtschaft, namentlich der Direktmarketing Allianz (DMA). Insgesamt brachte diese Diskussion eine neue Lösungsvariante für die Opt-In (der Datenweitergabe explizit zustimmen) versus Opt-Out (der Datenweitergabe explizit widersprechen) Problematik – die Nutzerentscheidung mittels einer speziellen Software (User Agent).
Zur weiteren Recherche und Entwicklung eines dafür brauchbaren Standards rief das CDT im November 1996 die Internet Privacy Working Group (IPWG) ins Leben. Mitglieder waren unter anderen Firmen wie America Online, AT&T, Citicorp, Disney und Microsoft, aber auch Verbraucherschützer, wie die Electronic Frontier Foundation und die Nationale Verbraucherliga der USA und natürlich das W3C.
Konkretes Ziel der IPWG war die Ausarbeitung eines Grundgerüstes für den Datenschutz im Internet mit Hilfe von standardisierten Datenschutzerklärungen, den zugehörigen technischen Spezifikationen und die Entwicklung entsprechender Werkzeuge, mit denen die Nutzer mehr Kontrolle über den Umgang mit ihren Daten erhalten. Explizit heißt es aber weiter: “ … while supporting seamlessness, the free flow of information, and the development of global commerce.“ Diese zum Teil gegensätzlichen Interessen in einen technischen Standard zu verpacken, ist der Zweck P3P.
Ursprünglich wurde die Plattform auf P3 getauft, aber aus lizenzrechtlichen Gründen wenig später in P3P umbenannt. Im Mai 1997 fiel der Startschuß für P3P und schon im Juni stellten Tim Berners-Lee und Deirdre Mulligan den ersten Prototyp vor. Wenngleich hier das Prinzip von P3P bereits im groben Zügen umgesetzt worden war, erschien den Entwicklern die Benutzerschnittstelle als zu kompliziert.
Mit dem Prototyp begann der Streit darüber, ob P3P die Möglichkeit bieten soll, direkt Daten zu übertragen. Von der Seite der Unternehmen wurde darauf gedrängt, daß etwa Webformulare automatisch an Hand der P3P-Einstellungen ausgefüllt werden, so daß die Menge und die Art des Datentransfers möglichst vollständig und automatisiert über P3P geregelt würde. Dies lehnten aber andere IPWG-Mitglieder strikt ab, da damit eine Technik zur Förderung des Datenschutzes durch die Hintertür zum versteckten Datensammler werden würde.
Dieser Streit spiegelt die Struktur der IPWG-Mitglieder wieder. Auf der einen Seite die Interessen der beteiligten Unternehmen, auf der anderen Seite die Datenschützer. Oft sahen sich die Abgesandten der Firmen in einer unglücklichen Doppelrolle, da die meisten von ihnen selbst Befürworter des Datenschutzes waren. So sprachen sie einzelne Entscheidungen der IPWG nicht immer mit ihrem Arbeitgeber ab und entschieden sich häufig zu Gunsten des Datenschutz und gegen die Interessen ihrer Firmen, was sich auch in den oben zitierten P3P Richtlinien ausdrückt.
Nach zwei Jahren Arbeit wurde im Juli 1999 die Endphase der Entwicklung eingeleitet: Der P3P Standard in der Version 1.0 sollte fertiggestellt werden. Um einen Konsens zwischen allen Beteiligten zu erreichen, wurde das Konzept von P3P in den folgenden Monaten weiter vereinfacht. Bei IPWG-Treffen im Oktober wurde dann die wohl wichtigsten Konsequenz aus den zahlreichen Vereinfachungen gezogen: Die automatische Aushandlung von Datenschutzpraktiken zwischen Anbieter und Internetnutzer wurde gekippt. Dies sollte die serverseitigen Anforderungen und damit die Kosten der Webseitenbetreiber für P3P deutlich senken. Damit wurde P3P darauf reduziert, was es heute ist: Ein Werkzeug, mit dem die Anwender einen einfachen und schnellen Überblick über die Datenschutzpraktiken einer Webseite erhalten, P3P 1.0.
Viele der entfernten Merkmale von P3P stehen aber weiter auf einer Warteliste. Ein Implementierung in zukünftige Versionen von P3P ist möglich. Gerade die Aushandlung von Datenschutzpraktiken, bei welcher der User Agent entsprechend seiner Einstellungen eine von mehreren alternativen Datenschutzpraktiken des Anbieters auswählt, wird immer wieder diskutiert.
Nachteile von P3P
P3P kann mehr Transparenz im Umgang mit personenbezogenen Daten schaffen und damit den Selbstdatenschutz im Internet erleichtern. P3P kann aber nicht die Datenschutzpraktiken der Webseiten beeinflussen, jedenfalls nicht direkt. Man kann sich im besten Falle eine indirekte Verbesserung beim Umgang mit personenbezogenen Daten vorstellen: Die durch P3P erzielte Transparenz ermöglicht den Nutzern etwa eine Boykottierung von Anbietern, die folglich ihre Datenschutzpraxis ändern müßten. Diese Wirkung ist aber nicht zu überschätzen und eher als gering einzustufen.
Der fehlende direkte Einfluß von P3P auf den Umgang mit persönlichen Informationen ist der Hauptvorwurf seiner Gegner. Dieser Vorwurf scheint auf den ersten Blick ungerechtfertigt, weil P3P gar nicht diesen Anspruch erhebt. Aber genau da liegt die Gefahr: P3P kann zu ungerechtfertigtem Benutzervertrauen in Webseiten verführen. Die Existenz von P3P policies ganz unabhängig von ihrem Inhalt kann eine gefährlich Atmosphäre von Vertrauen schaffen, während weiter Daten gesammelt werden.
Ein weiterer Kritikpunkt ist die der Maschinenlesbarkeit geschuldete Simplifizierung von Datenschutzproblemen. Oft ist die Simplifizierung vorrangig dem Anbieter dienlich. Zum Beispiel ist in den P3P policies die Rede von Datenkollektion allein für den augenblicklichen Vorgang (current activity). Doch was heißt das genau? Ist damit etwa nur er aktuelle Aufruf der Seite gemeint? Diese Formulierung kann die Firma ohne Probleme zu ihren Gunsten ausweiten.
Ein drittes Problem ist die einseitige Informationserhebung in den P3P policies. Es werden wenig Anforderungen an die Authentifizierung oder ausführliche Darstellung des Anbieters gestellt. Vieles in dieser Hinsicht trägt lediglich optionalen Charakter. Außerdem werden viele Leute nicht zwischen Datenschutz, dem Schutz der personenbezogenen Daten, und der Datenschutzpraxis, dem faktischen Umgang mit diesem Schutz, unterscheiden können. Und selbst wenn sie es können, besteht die Gefahr der Vermischung, was wiederum auf das Problem der durch P3P simulierten Atmosphäre des Vertrauens hinausläuft.
Die genannten Kritikpunkte an P3P sind richtig und nicht außer Acht zu lassen. Dennoch kann P3P zur Verbesserung des Datenschutzes beitragen. P3P erleichtert es den Benutzern, sich über die Datenschutzpraxis einer Webseite zu informieren. Die geschaffene Transparenz darf durch die Anbieter aber nicht dazu mißbraucht werden, ein Vertrauensverhältnis bloß vorzutäuschen. Den Benutzern sei daher noch einmal in Erinnerung gerufen, daß P3P lediglich eine Technologie ist, die in der einen oder anderen Weise eingesetzt werden kann.
Alternativen zu P3P
Gegenwärtig existieren keine adäquaten Alternativen für den vereinfachten Zugang zu Datenschutzpraktiken im Internet. Lediglich für unternehmensinterne Zwecke ist die Enterprise Privacy Authorization Language (EPAL) zu nennen. EPAL dient der Darstellung und Durchsetzung unternehmens- oder behördeninterner, personenbezogener Datenverarbeitung. Adressat von EPAL ist also das Datenschutzmanagement innerhalb eines Unternehmens oder einer Behörde. P3P ermöglicht dagegen die Darstellung von Datenverarbeitungen nach außen gegenüber dem Nutzer von Webseiten. EPAL und P3P sollen sich aber als Backend-Frontend-Lösung ergänzen. Um etwa die automatisierte Erstellung von P3P policies aus EPAL heraus zu ermöglichen, werden P3P-Grundstrukturen in EPAL mit eingearbeitet.