KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE Privacy im Web (P3P) Christian Hainz Gießen, den 14. Januar 2002 Privacy im Web, P3P 101010011101110110111111 111101111111011101110111 000111110011101110111000 Literatur: - 1984, George Orwell (Eric Blair, U1950) - Verfassung des Landes Hessen - Skript zur Vorlesung Datenschutzrecht - Broschüre HDSG & BDSG - The Code Book, Simon Singh - http://www.w3c.org (Spezifikationen) - Apache Web-Server, Lars Eilebrecht Aus dem Inhalt Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung • Allgemein (Problemstellung) – – – – – Der Begriff „Privacy“ Rechtliche Grundlagen Informationsqualität ECHELON & der BND Anonymizer • Speziell (P3P) – – – – – – – – Wofür steht P3P? Ziele von P3P Beispiel zu P3P Privacy Policies P3P User Agents Implementierung Zukünftige Versionen von P3P P3P Code Beispiel • Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Der Begriff „Privacy“ 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung 1984 • Privacy (engl. für Privatsphäre) – Privat (lat.) => persönlich, nicht öffentlich, vertraulich, nicht staatlich – Sphäre (griech.) => Wirkungskreis, Machtbereich Persönlicher Wirkungskreis der nicht öffentlich und nicht staatlich ist. • Kein Recht auf Anonymität Der Begriff „Privacy“ 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung Einschränkung für diesen Vortrag: 1) Der betrachtete Internet-Nutzer ist „gut“ 2) Speichern und Verarbeiten personenbezogener Daten 3a) Das Internet ist kein Rechtsfreier Raum 3b) Datenschutzgesetze auf das Internet abbilden Der Begriff „Privacy“ Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung 5 Kämpfer für Privacy: • • • • • Gesetze Anonymizer Werkzeuge Kryptographie Privacy Werkzeuge (P3P?) Benutzer 101010011101110110111111 111101111111011101110111 000111110011101110111000 Rechtliche Grundlagen 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung • Hessisches Datenschutzgesetz – Vom 30. September 1970 – Regelungen zum Schutz des Persönlichkeitsrechts – Datenschutzbeauftragter (der FH: Hajo Köppen) • Geltungsbereich der Datenschutzgesetze – Öffentliche Stellen des Bundes – Öffentliche Stellen der Länder – Nichtöffentliche Stellen, die Daten verarbeiten • Personenbezogene Daten – Sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Rechtliche Grundlagen 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Klassen Privacy Policies Implementierung P3P ... User Agents Implementierung Zukunft von P3P Zusammenfassung Code Beispiel Zusammenfassung Aufgaben der Datenschutzgesetze • Schutz des Persönlichkeitsrechts – §1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. • Verarbeitung von personenbezogenen Daten regeln – §1 Abs. 1 HDSG Aufgabe des Gesetzes ist es, die Verarbeitung personenbezogener Daten durch öffentliche Stellen zu regeln, um 1. Das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkung in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind, 2. (...) Informationsqualität 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung • Neue Informationsqualität durch Technologie – Schnelle und einfache Verfügbarkeit der Daten (auch über beliebige Entfernungen) – Zentrale Verarbeitung der Einzeldaten zu einem Persönlichkeitsbild ist möglich – Anhäufungen von Datensammlungen – Formale Gliederung der Daten nach beliebig vielen Kriterien Informationsqualität 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung • Sicherheit erhöhen durch Einschränkung der Datenschutzrechte • Rasterfandung • Trend: Das Sammeln von personenbezogenen Daten • Der gläserne Surfer • Angemessener Schutz des Bürgers gewährleistet? ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung Da hört doch wer mit... ECHELON ...ignoriert die Privatsphäre ...zapft 3 Milliarden (!) Verbindungen pro Tag an ...siebt ca. 90 Prozent des Internet-Verkehrs ...spioniert bei wem es will und wann es will 101010011101110110111111 111101111111011101110111 000111110011101110111000 ECHELON & der BND 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung Was weis man über ECHELON? • Entworfen und koordiniert von der NSA • Abhören von Emails, Faxen, Telexen und Telefongesprächen (als Masse) • Filtern von interessanten Nachrichten – Wörterbücher • Für nicht-militärische Zwecke: – – – – Regierungen Organisationen Unternehmen der freien Wirtschaft Einzelpersonen ECHELON & der BND 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung Wie arbeitet ECHELON? • • • • Struktur ähnlich dem Internet (verschlüsselt) Lokale Wörterbuchcomputer mit Datenbanken Code zur Sortierung von Nachrichten pro Thema Suchfunktionen wie Suchmaschinen im Internet ECHELON & der BND 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel • Mißbrauch von NSA Daten für wirtschaftliche Zwecke... – NSA, CIA & Department of Commerce bilden geheime Behörde für Nachrichtenverknüpfung – Ausl. Nachrichten an Department of Commerce – 1993 erlaubt Bill Clinton den „National Economic Council“ Zusammenfassung Da hört doch wer mit... => Starke Verschlüsselungssysteme lohnen! ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 ECHELON und der Bundesnachrichtendienst ...hört da noch wer mit? Dr. August Hanning Präsident des BND ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Aufgaben des BND • Informations-Beschaffung über Entwicklungen in anderen Staaten • Ergänzt vorhandene Informationsstränge • Unterstützt Bundesregierung bei außen- und sicherheitspolitischen Entscheidungen • Dient der Bundesregierung als Frühwarnsystem ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Gefahren für die Bundesrepublik • Proliferation und illegaler Technologietransfer • Internationaler Terrorismus • Internationale Organisierte Kriminalität • Internationaler Waffenhandel • Illegale Migration (Schleuser) ECHELON & der BND Inhalt Andere Nachrichtendienste Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Bundesregierung Verfassungsschutz (Inneres) Militärischer Abschirmdienst (Verteidigung) Bundesnachrichtendienst (Kanzleramt) ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung Struktur des BND 101010011101110110111111 111101111111011101110111 000111110011101110111000 Der Anonymizer 101010011101110110111111 111101111111011101110111 000111110011101110111000 Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung www.anonymizer.com • Webdienst zum verbergen von Daten – Online nutzen oder – Plug-in installieren Der Anonymizer Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Welche Daten sind hier gefährdet? • • • • • Häufig besuchte Webseiten des Benutzers Welche Produkte ein Benutzer im Netz kauft Hardware, Software und Programmdaten Aktivitäten in Chat-Räumen Informationen zu Medizin, Versicherung, Finanz oder Karriere auf die der Benutzer zugreift • IP Adresse des Computers • Geographische Lage Der Anonymizer Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Wen könnten diese Daten interessieren? • • • • • • • • • Reklame treibende Spammers Besuchte Webseiten Hacker Arbeitgeber oder Mitarbeiter Familienmitglieder Umfrage Institute Identitäts Diebe Betrüger Der Anonymizer Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Wie arbeitet der Anonymizer? • Umschreiben der zu betrachtenden Webseiten auf einem geschützten Server • Entfernen von Gefahren für die Privatsphäre und Sicherheit bevor Webseiten zum Benutzer gesendet werden • Verbergen der IP Adresse vor Webseiten und anderen Parteien • Verhindern das boshafte Files oder Code von außerhalb auf die Festplatte des Benutzers gelangen • Neutralisiert Cookies, Java, JavaScript, ActiveX, Web Bugs und anderes Wofür steht P3P? Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Platform for Privacy Preferences Project – Industriestandard in der Entstehung – Ausdrücken von Praktiken zur Privatsphäre • Mechanismus, Benutzer zu informieren – Über Privacy Policy bevor Daten übertragen • Kein Mechanismus, der sicher stellt – Seiten gemäß Policy handeln • P3P Ergänzung zu – Gesetzen, Anonymizer, Kryptographie, Benutzer • Automatische Entscheidungsfindung – User Agents Ziele von P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Vertrauen & Zuversicht ins Internet stärken • Benutzer über Praktiken einer Webseite informieren • Datensammlungs- und Verarbeitungspraktiken in XML kodieren – Standard Schema für Daten – XML Format für Privacy Policies – Mittel um Policies mit Webseiten und Cookies zu verbinden – Mechanismus um Policies via HTTP zu transportieren Beispiel zu P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Sandra besucht CatalogExample – http://www.catalog.example.com • P3P bei CatalogExample in Gebrauch • Sandras Browser unterstützt P3P – Privacy Preferences setzen! • Browser holt automatisch Policy der Homepage – 1. Policy: normale HTTP access logs – Kein Konflikt mit Sandras Einstellungen – Seite (normal) anzeigen – Icon am Rand Beispiel zu P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung • Online Katalog – Komplexere Software – Software benutzt Cookies – Sammelt mehr Daten -> 2. Policy • Kassenbereich – – – – – Noch mehr Daten -> 3. Policy Sandras Name Adresse Kreditkartennummer Telefonnummer 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel zu P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung • Warnung bei Telefonnummer – Pop-up Message – P3P Statement erklären – Entscheidung treffen • Alternative – Warnung nur wenn Nummer an Dritte – Zweck ist abweichend – Unter Umständen keine Pop-ups 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel zu P3P - Exkurs Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung HTTP access log • Common Log Format – – – – – – Zugreifender Rechner Account Name Zeitpunkt Erste Zeile der Client-Anfrage HTTP Status Anzahl übertragener Bytes • Custom Log Formate 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel zu P3P - Exkurs Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy P3P Beispiel Klassen Implementierung Privacy Policies ... User Agents P3P Implementierung Zusammenfassung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 HTTP access log • Common Log Format LogFormat “%h %l %u %t \”%r\” %>s %b” client.domain.tld - - [27/Jul/2001:15:30:07 +0200] “GET /misc/HTTP/1.0” 200 5821 • hera.mni.fh-giessen.de “/var/adm/httpd/access_log“ Privacy Policies Inhalt 101010011101110110111111 111101111111011101110111 000111110011101110111000 • XML Kodierung des P3P Vokabulars Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer – Auskunft über gesammelte Datentypen, Datenelemente und deren Verwendung P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel – Beschreibt Praktiken einer Seite, kein KonformIndikator für Gesetz oder Kodex Zusammenfassung – Nennt Empfänger von Daten, Adresse (URI) der lesbaren Policy und weitere Erklärungen • P3P Vokabular ist positiv! • Nicht abgedeckt sind: – Rechtliche Zwänge – Praktiken der Provider • Editoren – IBM P3P Policy Editor (beta) Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Referencing Policies – Lokalisieren der P3P Policy – Zuweisung einer Policy (mehrerer Policies) – Performance Optimierung – An wohl-definierter Stelle, link Tag /w3c/p3p.xml Zusammenfassung <link rel=”P3Pv1“ ref=”http://catalog.example.com/P3P/PolicyReferences.xml> Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Referencing Policies – oder in HTTP (P3P) Header 1. Client führt GET Anfrage durch: GET /index.html HTTP/1.1 Host: catalog.example.com Accept: */* Accept-Language: de, en User-Agent: WonderBrowser/5.2 (RT-11) 2. Inhalt und P3P Header zurück: HTTP/1.1 200 OK P3P: policyref= http://catalog.example.com/P3P/PolicyReferences.xml Content-Type: text/html Content-Length: 4713 Server: CC-Galaxy/1.3.18 Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Reference macht folgende Aussagen: – /P3P/Policies.xml#first für komplette Seite Ausnahme: /catalog, /cgi-bin, and /servlet. – /P3P/Policies.xml#second für alle Dokumente in /catalog mit Unterverzeichnissen – /P3P/Policies.xml#third für alle Dokumente in /cgi-bin und /servlet inklusive Unterverzeichnisse Zusammenfassung Ausnahme: /servlet/unknown. – Keine Policy für /servlet/unknown – Aussagen gültig für 2 Tage Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung <META xmlns="http://www.w3.org/2001/09/P3Pv1"> <POLICY-REFERENCES> <EXPIRY max-age="172800"/> <POLICY-REF about="/P3P/Policies.xml#first"> <INCLUDE>/*</INCLUDE> <EXCLUDE>/catalog/*</EXCLUDE> <EXCLUDE>/cgi-bin/*</EXCLUDE> <EXCLUDE>/servlet/*</EXCLUDE> </POLICY-REF> <POLICY-REF about="/P3P/Policies.xml#second"> <INCLUDE>/catalog/*</INCLUDE> </POLICY-REF> <POLICY-REF about="/P3P/Policies.xml#third"> <INCLUDE>/cgi-bin/*</INCLUDE> <INCLUDE>/servlet/*</INCLUDE> <EXCLUDE>/servlet/unknown</EXCLUDE> </POLICY-REF> </POLICY-REFERENCES> </META> 101010011101110110111111 111101111111011101110111 000111110011101110111000 P3P User Agents Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Vertreter des Benutzers – Vermittelt bei interaktiver Nutzung eines Dienstes – Mehrere User Agents • Können wie folgt implementiert sein: – – – – – – – – – Im Betriebssystem Webbrowser Browser plug-ins Proxy Server Java Applets JavaScript Electronic Wallets Automatische Form-Füller Andere Datenmanagement Werkzeuge P3P User Agents Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • User Agents geben Privacy Praktiken wieder – – – – – holen die Policy parsen die Policy stellen Symbole da spielen Sounds ab zeigen Prompts an • Vertrauensbasis: User Agent und Benutzer P3P User Agents Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Torwächter Funktion – Electronic Wallets – Automatische Form-Füller • Torwächter Ablauf – Policy holen – mit Benutzereinstellungen vergleichen – herausgeben von Daten erlauben, wenn: • Policy mit Benutzereinstellungen übereinstimmt • angefragte Datentransfer mit Policy übereinstimmt – Bei Unstimmigkeit Benutzer informieren P3P Implementation auf Servern Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Es geht! – P3P V1.0 läuft auf HTTP/1.1 Servern – ohne Zusatz-Software oder Upgrade • Lesbare Privacy in P3P Syntax übersetzen – Automatisierende Werkzeuge zur Unterstützung – Resultierende Files im Reference-File publizieren • Wohl definierter Stelle • P3P im HTTP Request • Verweis mittels HTML link Tag • Flexibel im Benutzen von P3P – Eine Policy für komplette Seite – Verschiedene Policies für verschiedene Teile Zukünftige P3P Versionen Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • 4 Hauptkomponenten in Version 1.0 nicht implementiert – Schnellere Implementierung – Größere Verbreitung • Die 4 zusätzlichen Komponenten – – – – Auswahl von P3P Policies Explizites Zustimmen zu einer Policy Nichtanerkennung von Erklärungen erlauben User Agents übertragen Benutzerdaten (autom.) an einen Dienst (data-transfer protocol) P3P Code Beispiel Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung • 2 Beispiel Policies – Browser – Käufer • In Englischer Sprache geschrieben • CatalogExample 101010011101110110111111 111101111111011101110111 000111110011101110111000 P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel für Browser (lesbar) • Anrede Wir bei CatalogExample, sorgen uns um Ihre Privatsphäre. Wenn Sie unsere Seite besuchen und nach einem Produkt suchen speichern wir diese Informationen lediglich um die Erscheinung unserer Seite zu verbessern. Die angefallenen Informationen werden nicht zusammen mit personenbezogenen Daten gespeichert. • Lizenz CatalogExample ist Lizenznehmer des PrivacySealExample Programms. Das PrivacySealExample Programm sichert Ihre Privatsphäre indem es Lizenzen an Webseiten herausgibt die hohe Standards, bezüglich der Privatsphäre, setzen. Unabhängige Prüfer bestätigen das die angegebenen Informationspraktiken befolgt werden. • Kontaktadresse CatalogExample 4000 Lincoln Ave. Birmingham, MI 48009 USA email: [email protected] Telephone: 248-EXAMPLE (248-392-6753) P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel für Browser (lesbar) • Kontroversen Falls Ihre Nachfrage unzureichend oder gar nicht beantwortet wurde können Sie PrivacySealExample unter http://www.privacyseal.example.com erreichen. CatalogExample wird alle Fehler oder Fehlerhafte Handlungen korrigieren, die im Zusammenhang mit der Privacy Policy entstanden. • Datensammlung & warum Wenn Sie über unsere Seite Browsen sammeln wir folgendes: Einfache Informationen über Ihren Computer und die bestehende Verbindung, um sicher zu gehen das Sie passende und richtige Informationen bekommen. Gesamtdaten auf welche Seiten unsere Besucher zugreifen, um die Seite weiter zu verbessern. • Datenaufbewahrung Alle zwei Wochen löschen wir die angesammelten Browserdaten. P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel für Browser (formell) • URI der Bekanntgabe: http://www.catalog.example.com/PrivacyPracticeBrowsing.html • Objekt/Wesen: CatalogExample 4000 Lincoln Ave. Birmingham, MI 48009 USA email: [email protected] Telephone: 248-EXAMPLE (248-392-6753) • Zugang zu Identifizierungsdaten: Keiner • Kontroversen: – Lösungsmethode: unabhängig – Dienst: http://www.privacyseal.example.org – Beschreibung: PrivacySealExample P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Browser (formell) • Abhilfe: Wir werden sämtliche Fehler korrigieren • Wir sammeln: dynamic.clickstream dynamic.http • Zweck: Nur für CatalogExample und unsere Agenten • Datenaufbewahrung: So lange wie nötig für den angeführten Grund. (Link zur lesbaren Policy!) 101010011101110110111111 111101111111011101110111 000111110011101110111000 P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 <POLICY name="forBrowsers” discuri="http://www.catalog.example.com/PrivacyPracticeBrowsing. html"> <ENTITY> <DATA-GROUP> <DATA ref="#business.name">CatalogExample</DATA> <DATA ref="#business.contact-info.postal.street"> 4000 Lincoln Ave.</DATA> <DATA ref="#business.contact-info.postal.city">Birmingham</DATA> <DATA ref="#business.contact-info.postal.stateprov">MI</DATA> <DATA ref="#business.contact-info.postal.postalcode">48009</DATA> <DATA ref="#business.contact-info.postal.country">USA</DATA> <DATA ref="#business.contact-info.online.email"> [email protected]</DATA> <DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA> <DATA ref="#business.contact-info.telecom.telephone.loccode"> 248</DATA> <DATA ref="#business.contact-info.telecom.telephone.number"> 3926753</DATA> </DATA-GROUP> </ENTITY> <ACCESS><nonident/></ACCESS> P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 <DISPUTES-GROUP> <DISPUTES resolution-type="independent” service="http://www.PrivacySeal.example.org” short-description="PrivacySeal.example.org"> <IMG src="http://www.PrivacySeal.example.org/Logo.gif” alt="PrivacySeal's logo"/> <REMEDIES><correct/></REMEDIES> </DISPUTES> </DISPUTES-GROUP> <STATEMENT> <PURPOSE><admin/><develop/></PURPOSE> <RECIPIENT><ours/></RECIPIENT> <RETENTION><stated-purpose/></RETENTION> <!-- Note also that the site's human-readable privacy policy MUST mention that data is purged every two weeks, or provide a link to this information. --> <DATA-GROUP> <DATA ref="#dynamic.clickstream"/> <DATA ref="#dynamic.http"/> </DATA-GROUP> </STATEMENT> </POLICY> P3P Code Beispiel (2) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel für Käufer (lesbar) • Anrede • Lizenz • Kontaktadresse • Kontroversen • Cookies CatalogExample benutzt Cookies nur um zu sehen ob Sie in der Vergangenheit ein Kunde von CatalogExample gewesen sind. Wenn dem so ist werden die Dienste auf Ihr bisheriges Browser Verhalten angepaßt. Wir speichern keine personenbezogenen Daten im Cookie, noch teilen oder verkaufen wir irgendwelche Informationen an Dritte. P3P Code Beispiel (2) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 Beispiel für Käufer (lesbar) • Datensammlung & warum Wenn Sie sich dazu entschließen ein Produkt zu kaufen werden wir Sie nach weiteren Daten fragen: Ihren Namen und Adresse, damit wir das Produkt zu Ihnen liefern können und für Kontakte in der Zukunft. Ihre Email Adresse und Telefonnummer, damit wir Sie erreichen können. Ein Login mit Paßwort damit Sie Ihre Daten auf den neuesten Stand bringen können. Das ändern der Daten ist möglich. Finanz Daten (z.B. Bankverbindung) so dass Sie Ihre Bestellung komplettieren können (diese können auf Wunsch gespeichert werden). Optional können Sie weitere Angaben machen, damit wir unseren Dienst, in der Zukunft, noch besser auf Sie abstimmen können. • Datenaufbewahrung Die Informationen über Sie und Ihre Einkäufe behalten wir solange Sie unser Kunde sind. Falls Sie für den Zeitraum von einem Jahr keine Bestellung bei uns aufgeben löschen wir Ihre Einträge aus unserer Datenbank. Privacy im Web, P3P Online-Literatur: www.w3c.org www.dud.de www.codebook.org www.allgemeiner-datenschutz.de www.sicherheit-im-internet.de www.bundesnachrichtendienst.de auf hera: /var/adm/httpd/access_log 101010011101110110111111 111101111111011101110111 000111110011101110111000 Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 101010011101110110111111 111101111111011101110111 000111110011101110111000 • Gesetze – Unterschied in EU und USA • Technische Möglichkeiten – zur Überwachung – zum Schutz • Werkzeuge zum Schutz – Anonymizer – Kryptographie – Platform for Privacy Preferences Project (P3P) • Persönliches Engagement! KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE 1984, George Orwell (U1950)