P3P

P3P (Platform for Privacy Preferences) ist ein Protokoll anhand dessen Webseitenbetreiber ihre Datenschutzrichtlinien in einem standardisierten, für Maschinen und Menschen lesbaren, Format hinterlegen können. P3P Nutzeragenten informieren die Benutzer über die Datenschutzrichtlinien der besuchten Webseite vor der Preisgabe persönlicher Informationen und ermöglichen automatisierte Entscheidungsprozesse.

Richtlinien
Die P3P Richtlinien benutzen XML mit Namensräumen zur Kodierung des P3P Wortschatzes.

Beispiel für eine englischsprachige Datenschutzrichtlinie in XML-Codierung

<POLICIES xmlns="http://www.example.com/P3P"> <POLICY name="forBrowsing" discuri="http://www.exampleshop.com/PrivacyPolicyBrowsing.html" xml:lang="en"> <ENTITY> <DATA-GROUP> <DATA ref="#business.name">Exampleshop</DATA> <DATA ref="#business.contact-info.postal.street">1000 Street</DATA> <DATA ref="#business.contact-info.postal.city">City</DATA> <DATA ref="#business.contact-info.postal.stateprov">State</DATA> <DATA ref="#business.contact-info.postal.postalcode">11111</DATA> <DATA ref="#business.contact-info.postal.country">USA</DATA> <DATA ref="#business.contact-info.online.email">info@exampleshop.com</DATA> <DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA> <DATA ref="#business.contact-info.telecom.telephone.loccode">111</DATA> <DATA ref="#business.contact-info.telecom.telephone.number">11111111</DATA> </DATA-GROUP> </ENTITY> <ACCESS><nonident/></ACCESS> <DISPUTES-GROUP> <DISPUTES resolution-type="independent" service="http://www.Privacy.example.org" short-description="Privacy.example.org"> <IMG src="http://www.Privacy.example.org/Logo.gif" alt="Privacy's logo"/> <REMEDIES><correct/></REMEDIES> </DISPUTES> </DISPUTES-GROUP> <STATEMENT> <PURPOSE><admin/><develop/></PURPOSE> <RECIPIENT><ours/></RECIPIENT> <RETENTION><stated-purpose/></RETENTION> <DATA-GROUP> <DATA ref="#dynamic.clickstream"/> <DATA ref="#dynamic.http"/> </DATA-GROUP> </STATEMENT> </POLICY> </POLICIES>

Das Referenzieren von Richtlinien
Die Lokalisierung einer P3P Richtlinie ist einer der ersten Schritte, die vom Protokoll ausgeführt werden. Dienste nutzen die Referenzen der Richtlinien um anzugeben, welche Datenschutzrichtlinie sich auf eine spezifische URI oder eine Menge von URIs bezieht. Nutzeragenten benutzen die Referenzen, um die Datenschutzrichtlinie einer Webressource zu lokalisieren und diese dann zu verarbeiten.
Die Referenzen werden vorrangig benutzt, um Bandbreite zu sparen: sie sind wesentlich kleiner als die Richtlinien selbst. Darüber hinaus reduziert die Verwendung von Referenzen den Rechenaufwand: Richtlinien werden mit URIs verknüpft und müssen daher von den Nutzeragenten nur einmal analysiert und verarbeitet werden und nicht mit jedem Dokument, auf das sich die Richtlinie bezieht.
Eine Referenzdatei benutzt XML mit Namensräumen und spezifiziert die Richtlinie für ein einzelnes Dokument, mehrere Dokumente oder eine komplette Webseite. Die Datei kann sich auf mehrere Richtlinien beziehen und enthält Angaben über die Herkunft, den Geltungsbereich sowie die Zugangsmethoden.

Beispiel für eine Referenzdatei

<META xmlns="http://www.example.com/P3P"> <POLICY-REFERENCES> <EXPIRY max-age="172800"/> <POLICY-REF about="/P3P/Policies.xml#one"> <INCLUDE>/*</INCLUDE> <EXCLUDE>/catalog/*</EXCLUDE> <EXCLUDE>/cgi-bin/*</EXCLUDE> <EXCLUDE>/servlet/*</EXCLUDE> </POLICY-REF> <POLICY-REF about="/P3P/Policies.xml#two"> <INCLUDE>/catalog/*</INCLUDE> </POLICY-REF> <POLICY-REF about="/P3P/Policies.xml#three"> <INCLUDE>/cgi-bin/*</INCLUDE> <INCLUDE>/servlet/*</INCLUDE> <EXCLUDE>/servlet/unknown</EXCLUDE> </POLICY-REF> </POLICY-REFERENCES> </META>

Folgende Aussagen werden im Beispiel getroffen:

• Die P3P Richtlinie /P3P/Policies.xml#one bezieht sich auf die gesamte Webseite außer auf Ressourcen, deren Pfade mit /catalog, /cgi-bin, oder /servlet beginnen.
• Die P3P Richtlinie /P3P/Policies.xml#two bezieht sich auf alle Ressourcen, deren Pfade mit /catalog beginnen.
• Die P3P Richtlinie /P3P/Policies.xml#three bezieht sich auf alle Ressourcen, deren Pfade mit /cgi-bin oder /servlet beginnen, außer /servlet/unknown.
• Es wird keine Aussage getroffen, welche P3P Richtlinie sich auf /servlet/unknown bezieht.
• Diese Aussagen sind für 2 Tage gültig.

Datenschemata
Ein Datenschema beschreibt wie Daten gespeichert werden, zum einen, welche Daten und zum anderen in welcher Struktur. Mit P3P ist es möglich, Datenschemata so zu beschreiben, dass Dienste mit Nutzeragenten über die Daten, die gesammelt werden, kommunizieren können.
P3P definiert ein Basisdatenschema, welches eine große Anzahl von Datenelementen, die häufig von Diensten benutzt werden, einbezieht. Es können neue Datenelemente deklariert und neue Datenschemata veröffentlicht werden.

Nutzeragenten
P3P Nutzeragenten können in verschiedene Werkzeuge zur Nutzerdatenverwaltung, wie z.B. Webbrowser oder Java Applets, integriert werden. Die Agenten suchen nach Referenzen zu P3P Richtlinien, sammeln diese Richtlinien, vergleichen sie mit vorhandenen Nutzervorgaben und erlauben die Übertragung von Nutzerdaten nur, wenn a) die Richlinien mit den Vorgaben übereinstimmen und b) die angeforderten Daten mit der Richtlinie übereinstimmen.