P3P: der browser liest
das kleingedruckte
Niels Boeing, Hamburg, Oktober 2002

Datenschutz im Internet finden alle wichtig. Aber keiner hat Lust, sich ernsthaft drum zu kümmern. Dieses Dilemma löst der P3P-Standard: Er ermöglicht auch juristischen Laien, Sites beim Surfen in Sekundenschnelle auf die eigenen Privacy-Vorstellungen hin abzuklopfen. Bleibt nur noch zu hoffen, dass die neue Technik sich bald durchsetzt
Automatisierter Datenschutz
Vision entschärft
P3P im Einsatz
Zäher Start
Infos und Links

Welch absurdes Szenario: Du checkst in einem Hotel ein und kaum, dass du dein Zimmer betrittst, schwärmen drei, vier Pagen aus, durchwühlen deine Koffer, tragen alles in Listen ein. In der Nacht wacht ein Bediensteter an deinem Bett und führt akribisch Buch über jeden Schmatzer, den du im Schlaf von dir gibst. Auf deine wütende Nachfrage, was das solle, versichert der Hotelmanager lapidar, das alles diene einzig dazu, den Service zu verbessern. Eine Zumutung in der wirklichen Welt – Alltag im Cyberspace.

Vor allem die kommerziellen Gefilde des Web wollen den User genau kennenlernen. Akribisch versuchen Server, mit Logbüchern, Anmeldeformularen und kleinen, auf dem Rechner des Nutzers platzierten Dateien – "Cookies" oder "Web-Bugs" (Bilder) – das Surfverhalten zu analysieren. Das Ziel ist durchaus verständlich: Je mehr ein Ecommerce-Anbieter über seinen Kunden weiß, desto individueller kann er sein Angebot gestalten – und desto häufiger wird hoffentlich der Kauf-Button angeklickt.

Wer diesen Service eher als Einbruch in die Privatsphäre empfindet, hatte lange Zeit ein Problem. Anhand der oft seitenlangen Datenschutzerklärungen in drögem Juristenjargon lässt sich nur schwer entscheiden, ob ein Angebot vertrauenswürdig ist. Und um Cookies zu bändigen, muss man sie erst einmal in den Tiefen des Dateisystems finden. Für technisch nicht versierte User eine harte Sache.

Automatisierter Datenschutz

Die wenigsten wissen, dass es inzwischen eine Technologie gibt, die dies drastisch vereinfacht: P3P. Nach fast vier Jahren erbitterter Debatten zwischen Technikern, Datenschützern und sogar Patentanwälten ist das "Platform for Privacy Preferences Project" seit April 2002 endlich offizieller Standard des World Wide Web Konsortiums (W3C). „P3P ermöglicht die Transparenz, ohne die es im Web nicht weitergeht“, sagt Rigo Wenning. Der Jurist und frühere Privacy-Aktivist von Fitug.org leitet die P3P-Arbeitsgruppe beim W3C, die die Technologie in Zusammenarbeit mit IT-Konzernen wie IBM oder Microsoft, Forschungsinstituten und Datenschützern – etwa des Landes Schleswig-Holstein – standardisiert hat.

P3P ist im Prinzip so simpel zu handhaben ist wie das „Bitte nicht stören“-Schild in den Hotels dieser Welt. Das Grundkonzept ist bestechend. Nutzer und Seitenbetreiber bringen ihre jeweilige Vorstellung vom Umgang mit den Nutzerdaten in eine „maschinenlesbare“ Form. Die User-Anforderungen werden dann im Browser eingestellt, die Richtlinie des Seitenbetreibers samt Kontaktadresse und Name eines unabhängigen Zertifizierers als Datei auf dessen Server abgelegt.

Der Vorteil: Der Nutzer muss nur ein einziges Mal seine Anforderungen formulieren und überlässt das Lesen des Kleingedruckten fortan der Software. Bei einem Aufruf der entsprechenden Seite vergleichen Browser und Server ihre codierten Datenschutzprofile. Passen die nicht zusammen, wird ein Warnsymbol aktiviert, und die „Privacy Policy“ des Anbieters kann dann in einer verständlichen Form aufgerufen werden.

Vision entschärft

Hier kommen zwei Ideen zum Tragen, die, so Rigo Wenning, dem Einfluss der europäischen Datenschutzszene zu verdanken sind. Seitenbetreiber müssen in ihrer P3P-Erklärung eine identifizierbare Adresse angeben. Und sie sollten einen vertrauenswürdigen Dritten benennen, der als Schiedsrichter auftreten kann (etwa einen Datenschutzbeauftragten oder Zertifizierer wie Trust-E). Derartige „Kann“-Bestimmungen riefen natürlich Kritiker auf den Plan. So kam die amerikanische Privacy-Organisation Epic.org im Jahr 2000 zu dem harten Urteil, P3P sei zu lasch und lasse nicht die Wahl, „wie viel Privatsphäre geschützt werden soll, sondern nur, wie viel Privatsphäre man aufgeben muss“.

Doch als Ersatz für eine strenge Datenschutzgesetzgebung will das W3C die P3P-Technik auch nicht verstanden wissen. Vielmehr als Vehikel, existierendes Datenschutzrecht in einen Wettbewerbsvorteil zu verwandeln. Da EU-Sites sich an das im Vergleich zu den USA strengere EU-Recht halten müssen, werde es beim Surfen hier weniger Warnmeldungen geben als auf US-Sites, hofft Wenning. Das könnte solche Angebote für User attraktiver machen, weil die letztlich an reibungslosem Surfen interessiert sind.

Die Privacy-Advokaten von Epic hatten auch moniert, P3P erlaube keine getrennte Behandlung von durchaus nützlichen Cookies der Seitenbetreiber selbst und solchen von Drittparteien wie dem umstrittenen US-Werbebanner-Vermarkter Double Click. Auch sei damit zu rechnen, dass die Voreinstellungen P3P-fähiger Browser zu niedrig ausfallen würden. So schlimm ist es mit dem Internet Explorer 6 dann nicht gekommen.
Auf der Strecke blieb allerdings eine der ursprünglichen Ideen, dass Browser und Server „verhandeln“ können, wenn sich ihre Datenschutzprofile etwa nur in der einen Frage unterscheiden, ob die User-E-Mail-Adresse ausgelesen werden darf oder nicht. Stattdessen bleibt jetzt bei solchen Diskrepanzen nur die Entscheidung „friss oder stirb“ – zu Ungunsten des Nutzers.

P3P im Einsatz

Wie funktioniert P3P im Internet Explorer 6 praktisch? In den Internetoptionen "Datenschutz" kann man einstellen, wie duldsam man mit der Datensammelwut von Servern sein möchte. Gab es bisher in Browsern nur drei Optionen für den Umgang mit Cookies: pauschal ablehnen, pauschal zulassen, oder jedes einzeln prüfen (bei manchen Sites eine Tortur), wird jetzt ein gewisses Fine Tuning möglich. Denn der IE6 unterscheidet nun in 6 Stufen (alle sperren, hoch, mittelhoch, mittel, niederig, alle akzeptieren) zwischen Datenkeksen des Anbieters selbst und denen von Drittanbietern, in der Regel Firmen, die Werbebanner einblenden.

Eine keineswegs spitzfindige Differenzierung. Denn während das Cookie etwa von www.ebay.de personalisierte Auktionsseiten erst ermöglicht, dienen die zahlreich platzierten Dateien von Werbeservern vor allem dazu, im Verbund ein Surfprofil zu erstellen. Die P3P-Technik erkennt nun, um welche Cookies es sich handelt und bis zu einem gewissen Grade auch, was ihre Besitzer im Schilde führen.

Misstrauische Zeitgenossen, die dennoch nicht alle Cookies blockieren wollen, können nun mit der Sicherheitsstufe "Hoch" durchs Web surfen. Hier werden nur Dateien gesperrt, die keine P3P-konforme Datenschutzerklärung mitliefern können. Ein Testlauf durch 20 gernbesuchte deutsche Sites im Oktober 2002 offenbart Ernüchterndes: Buchhändler Amazon.de etwa platziert 42 Dateien auf der Festplatte, die durchfallen – es fehlen P3P-Erklärungen der entsprechenden Server. Folge: Der Warenkorb vergisst alle Bücher, wenn man beispielsweise zu eBay weitersurft. Dort ist nichts mit Bieten, denn keins der 49 Cookies wird akzeptiert. Auch Karstadts Online-Mall bleibt verschlossen. Die bekannten Portale funktionieren zwar, lassen aber bis auf Yahoo und Lycos die neuen standardisierten Datenschutzerklärungen vermissen.

Dass sich dies so genau aufschlüsseln lässt, ist dem wachsamen Auge des Internet Explorers zu verdanken. Es wird unten im Browserfenster eingeblendet, wenn es ein Problem gibt. Ein Doppelklick fördert die Liste fragwürdiger Cookies zutage, deren Server sich dann auf den P3P-Standard hin überprüfen lassen.

Zäher Start

Wer den Internet Explorer 6 zum ersten Mal nutzt, wird mit Sicherheitslevel 4, "Mittel", starten. Das ist nicht allzu streng, blockiert aber noch nicht-P3P-konforme Cookies von Dritten. Was harmlos klingt, bedeutet: Viele Cookies sind seit Monaten wirkungslos. Denn bislang erfüllen nur lächerliche 508 Sites weltweit den P3P-Standard (immerhin eine Vervierfachtung seit August 2001), andererseits werden über 40 Prozent aller Webseiten mit dem IE6 aufgerufen.

W3C-Experte Rigo Wenning hofft, dass dies P3P letztlich zum entscheidenden Durchbruch verhilft. Noch ist die Implementierung schleppend: Von den Top 100 Sites weltweit ist nur ein Viertel auf der Höhe der Zeit, bei den Top 500 sind es gar nur noch 17 Prozent, zeigt das monatliche "P3P-Dashboard" der Unternehmensberatung Ernst & Young. "Die Technologie wächst sehr langsam," sagt Carter St.Clair, dessen Dienst p3pedit.com für Firmen die entsprechenden Erklärungen erstellt. Ganze 431 hat er seit Februar verkauft. Bis Ende 2003 rechnet er mit einem Wachstum von höchstens 15 Prozent.

Leider ist der Internet Explorer 6 zu sehr auf den Umgang mit Cookies fixiert. Interessant ist aber auch, was der Netzanbieter mit den Verbindungs- oder registrierten Nutzerdaten machen. Dies berücksichtigt Netscape 7 in den Systemeinstellungen "Cookies" (dort "custom/nutzerdefiniert" anklicken und die Klappmenüs einstellen, was ohne Vorkenntnisse aber etwas kryptisch ist) sowie der "Privacybird" von AT&T. Der kommt mitunter zu einem ganz anderen Ergebnis als der IE&. Während dieser mit Yahoo.de auf Sicherheitsstufe "hoch" kein Problem hat – eine von Truste zertifizierte Erklärung liegt ja vor -, kräht der Privacybird ziemlich ärgerlich und läuft puterrot an. Denn der bewertet explizit, welche Verwendungszwecke in der Datenschutzerklärung angegeben werden, zum Beispiel ob Adressen, Telefonnummern oder andere Angaben weiterverkauft werden.

Ein derartige Differenzierung ist zwar auch mit dem Internet Explorer möglich. Aber nur, wenn man seine eigenen Anforderungen in P3P übersetzt und als Datei importiert. Was wohl nur Technikinteressierte tun dürften – und das Problem wieder zum Ausgangspunkt führt.
Lösungen könnte hier ein Projekt des Unabhängigen Landeszentrums für Datenschutz in Kiel schaffen, das am 1. November beginnt. Innerhalb von zwei Jahren sollen verschiedene P3P-Muster entwickelt werden, mit deren Hilfe auch Laien detaillierte Privacy-Profile erstellen können.

Vorläufiges Fazit: Die Idee ist nicht schlecht. Eine wirkliche Verhandlung mit dem Server findet zwar nicht statt. Man kann Sites mit zweifelhaften Erklärungen nur meiden. Aber man findet jetzt wenigstens auf einen Blick, was zwischen Server und Browser eigentlich passiert. Also nehmt den Internet Explorer 6 genau unter die Lupe und achtet mal auf das "Auge", wenn ihr das nächste Mal surft.



Informationen
Etwas chaotische Infoseite des W3C:
http://www.w3.org/p3p

Sehr detaillierte Infoseite:
p3p toolbox
http://www.p3ptoolbox.org

Browser, die P3P unterstützen:
Internet Explorer 6
Mozilla (allerdings muss die P3P-Extension manuell eingefügt werden, siehe http://www.mozilla.org/projects/p3p/)
Netscape 7

Plug-in:
Privacy Bird von AT&T (für IE auf Windows)
http://www.privacybird.com

Tools, um selbst P3P Policies zu erstellen:
IBMs P3P Policy Editor (für Windows, braucht eine Java Virtual Machine)
http://alphaworks.ibm.com/tech/p3peditor.

[zurück zum Anfang]