ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

 

Datenschutz als Wettbewerbsvorteil:
P3P für Internetanbieter

 

Was ist P3P?

P3P ("Platform for Privacy Preferences") ist eine international – durch das WWW Consortium - standardisierte Plattform zum Austausch von Datenschutzinformationen für das Internet. P3P hilft Internetsurfern auf Webseiten automatisiert und schnell einen Überblick zu gewinnen, welche ihrer personenbezogenen Daten der Webanbieter oder Dritte zu welchen Zwecken verarbeiten.

 

Wie funktioniert P3P?

Der Internetsurfer legt einmal seine Vorstellungen vom Schutz der eigenen Daten in einem P3P-Agent, z.B. einem P3P-fähigen Browser fest. Der Webanbieter hinterlegt eine Beschreibung seiner Datenverarbeitungspraktiken (Datenschutzerklärung) als normale Textversion und im P3P-Format auf dem Webserver. Vor Abruf einer Website ruft der P3P-Agent des Nutzers die P3P-Datenschutzerklärung auf dem Webserver ab und vergleicht die dort gemachten Angaben mit den Datenschutzvoreinstellungen des Nutzers. Liegen Abweichungen vor, wird der Internetsurfer durch ein Warnsignal darauf hingewiesen. Zur weiteren Information liefert P3P dem Nutzer die essentiellen Informationen der Datenschutzerklärung zusammengefasst und in seiner Sprache, wobei auf die Unterschiede zu den eigenen Vorstellungen besonders hingewiesen wird.

Einen genaueren Überblick über die Funktionsweise von P3P liefert die folgende Übersicht:
(Für eine großformatige Version bitte auf das Bild klicken. Grafik lädt in einem neuen Fenster.)

Datenschutz mit P3P

 

P3P basiert auf einer Formalisierung des Datenschutz-Angebots des Internet-Anbieters und den Datenschutzansprüchen des Internetsurfers. Durch die Formalisierung im P3P-Format werden die Informationen maschinenlesbar; die Überprüfung, ob ein Anbieter den Datenschutzansprüchen des Nutzers genügt, wird damit automatisierbar.

 

Warum sollten Webanbieter P3P nutzen?

P3P schafft Transparenz im sensiblen Feld des Datenschutzes. Durch die Offenlegung ihres Verhaltens in diesem Bereich können Webanbieter ihre Verantwortung für die Rechte der Nutzer nach außen dokumentieren und so die Vertrauensbasis zu den Nutzern ihrer Website stärken.

Insbesondere für Anbieter im Bereich des E-Commerce ist das Vertrauen ihrer Kunden in die Seriosität des Shops entscheidend, da eine "Sichtprüfung", wie sie bei realen Geschäften jeder Kunde ganz selbstverständlich vornimmt, nicht möglich ist.

Als Merkmal besonderer Kundenfreundlichkeit kann eine P3P-Datenschutzerklärung insbesondere dann dienen, wenn der dort dokumentierte Umgang mit den personenbezogenen Daten des Nutzers den Mindestschutzstandard der gesetzlichen Vorschriften abbildet oder ihn noch übertrifft. Eine solche Rechtskonformität kann sich der Webanbieter durch eine unabhängige rechtliche Überprüfung der P3P-Datenschutzerklärung bestätigen lassen und nach außen kommunizieren.

Eine solche Überprüfung plant in Zukunft auch das ULD anzubieten.

Gemessen an den genannten Vorteilen und den Kosten anderer Marketingmaßnahmen sind rechtskonforme P3P-Datenschutzerklärungen kostengünstig zu realisieren. Solange die Datenverarbeitungspraktiken des Anbieters nicht wechseln, trägt die Investition ohne weitere laufende Kosten Früchte.

Der Marketing-Vorteil bleibt längerfristig bestehen.

 

Wie bekommen Webanbieter eine P3P-Datenschutzerklärung?

Der Weg zur eigenen P3P-Datenschutzerklärung vollzieht sich in drei Schritten:

Analyse der Datenverarbeitungspraktiken

Zur Erstellung einer Datenschutzerklärung im P3P-Format sollte der Webanbieter zunächst seine Praxis der Datenverarbeitung auf die Verarbeitung von personenbezogenen Daten hin überprüfen. Personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dabei ist insbesondere der Log-Funktion des Webservers, dem Auslesen von Cookies, der Verwendung von Formularen zur Datenerhebung und der Auswertung von Anfragen einer Suchfunktion besonderes Augenmerk zu schenken. Bei der Einbindung Inhalte Dritter (z.B. Werbebanner) sollten auch deren Verarbeitungspraxis in Erfahrung gebracht und auf das Angebot einer P3P-DatenschutzerklSrung hingewirkt werden.


Erstellung einer Datenschutzerklärung

Nach einer sorgfältigen und umfassenden Analyse sollte der Webanbieter dann in einem Textdokument (der Datenschutzerklärung) zusammenfassen, welche personenbezogenen Daten seiner Nutzer er wann zu welchen Zwecken verarbeitet oder ggfls. an Dritte übermittelt.

Im Hinblick auf die spätere Umwandlung der Datenschutzerklärung kann es sinnvoll sein, bereits die Struktur der Datenschutzerklärung an dem P3P-Format zu orientieren. Dies setzt voraus, dass sich der Webanbieter zuvor mit P3P oder dem Software-Tool, dass er für die Formalisierung verwenden möchte, vertraut gemacht hat.

Formalisierung

Zur Erstellung einer P3P-Datenschutzerklärung müssen die in der Datenschutzerklärung getroffenen Aussagen in die Struktur und Syntax des P3P-Standards gebracht werden. Bei diesem Schritt können online oder offline verfügbare Software-Tools oder auf solche Dienstleistungen spezialisierte Firmen in Anspruch genommen werden. Verweise auf verschiedene Software-Tools finden sich in der P3P-Linkliste des ULD. Eine Überprüfung der P3P-Datenschutzerklärung auf ihre technische Übereinstimmung mit dem P3P-Standard ermöglicht der P3P-Validator des W3C.

Eine Überprüfung der (P3P-) Datenschutzerklärung auf ihre Übereinstimmung mit den geltenden Datenschutzvorschriften können Software-Tools noch nicht leisten. Hierfuuml;r sollte der Webanbieter im Zweifel vorher fachkundigen Rat einholen.

Weitergehende Informationen zur Erstellung der P3P-Datenschutzerklärung bietet das WWW Consortium auf seiner P3P-Website an (in englischer Sprache):

Grundlegende Informationen, wie die P3P-Datenschutzerklärung(en) zu gestalten ist (sind) finden sich im P3P-Standard Version 1.0.

 

Wie bieten Webanbieter eine P3P-Datenschutzerklärung an?

Nach der Erstellung der Text-Datenschutzerklärung und der Datenschutzerklärung im P3P-Format müssen diese auf dem Webserver des Anbieters hinterlegt werden.

Um dem P3P-Agent des Nutzers das Auffinden der P3P-Datenschutzerklärung zu ermöglichen, empfiehlt der P3P-Standard eine Referenzdatei im Verzeichnis "/w3c" mit dem Namen "p3p.xml" zu erstellen. Diese Datei verweist auf die P3P-Datenschutzerklärung(en), die für die vorliegende Website gelten. Die Erstellung der Referenzdatei können ebenfalls Software-Tools oder spezialisierte Firmen übernehmen. Die P3P-Datenschutzerklärung(en) können an einem beliebigen Speicherort hinterlegt werden, soweit dieser in der Referenzdatei korrekt angegeben ist. Die Datenschutzerklärung als Textdokument muß innerhalb der P3P-Datenschutzerklärung verlinkt werden und sollte zusätzlich auf der Homepage der Website durch einen Link abrufbar sein.

Weiterführende Informationen, wie die P3P-Datenschutzerklärung(en) zu referenzieren ist (sind) finden sich im P3P-Standard Version 1.0.

 

Der Bereich der Informationen über die Erstellung von rechtskonformen Datenschutzerklärungen wird im Laufe des Projektes kontinuierlich ausgebaut. So werden an dieser Stelle künftig auch P3P-Datenschutzerklärungen für typische Webangebote zum Download und zur Anpassung an die eigenen Datenverarbeitungspraktiken angeboten.

Weitere Fragen zu diesem Themenbereich beantwortet Ihnen unser Mitarbeiter im
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein
Postfach 71 16, D-24171 Kiel
Tel: 0431/988-1285
Fax: 0431/988-1223
E-Mail: ld81@datenschutzzentrum.de