KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE

Präsentation zum Thema: "KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE"—  Präsentation transkript:

1 KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE

2 Privacy im Web (P3P) Christian Hainz Gießen, den 14. Januar 2002

3 Privacy im Web, P3P Literatur: - 1984, George Orwell (Eric Blair, U1950) - Verfassung des Landes Hessen - Skript zur Vorlesung Datenschutzrecht - Broschüre HDSG & BDSG - The Code Book, Simon Singh (Spezifikationen) - Apache Web-Server, Lars Eilebrecht

4 Allgemein (Problemstellung)
Aus dem Inhalt Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Allgemein (Problemstellung) Der Begriff „Privacy“ Rechtliche Grundlagen Informationsqualität ECHELON & der BND Anonymizer Speziell (P3P) Wofür steht P3P? Ziele von P3P Beispiel zu P3P Privacy Policies P3P User Agents Implementierung Zukünftige Versionen von P3P P3P Code Beispiel Zusammenfassung

5 1984 Privacy (engl. für Privatsphäre) Kein Recht auf Anonymität
Der Begriff „Privacy“ Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung 1984 Privacy (engl. für Privatsphäre) Privat (lat.) => persönlich, nicht öffentlich, vertraulich, nicht staatlich Sphäre (griech.) => Wirkungskreis, Machtbereich Persönlicher Wirkungskreis der nicht öffentlich und nicht staatlich ist. Kein Recht auf Anonymität

6 Einschränkung für diesen Vortrag:
Der Begriff „Privacy“ Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Einschränkung für diesen Vortrag: 1) Der betrachtete Internet-Nutzer ist „gut“ 2) Speichern und Verarbeiten personenbezogener Daten 3a) Das Internet ist kein Rechtsfreier Raum 3b) Datenschutzgesetze auf das Internet abbilden

7 Privacy Werkzeuge (P3P?) Benutzer
Der Begriff „Privacy“ Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung 5 Kämpfer für Privacy: Gesetze Anonymizer Werkzeuge Kryptographie Privacy Werkzeuge (P3P?) Benutzer

8 Rechtliche Grundlagen
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Hessisches Datenschutzgesetz Vom 30. September 1970 Regelungen zum Schutz des Persönlichkeitsrechts Datenschutzbeauftragter (der FH: Hajo Köppen) Geltungsbereich der Datenschutzgesetze Öffentliche Stellen des Bundes Öffentliche Stellen der Länder Nichtöffentliche Stellen, die Daten verarbeiten Personenbezogene Daten Sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

9 Rechtliche Grundlagen
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Aufgaben der Datenschutzgesetze Schutz des Persönlichkeitsrechts §1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Verarbeitung von personenbezogenen Daten regeln §1 Abs. 1 HDSG Aufgabe des Gesetzes ist es, die Verarbeitung personenbezogener Daten durch öffentliche Stellen zu regeln, um 1. Das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkung in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind, 2. (...)

10 Informationsqualität
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Neue Informationsqualität durch Technologie Schnelle und einfache Verfügbarkeit der Daten (auch über beliebige Entfernungen) Zentrale Verarbeitung der Einzeldaten zu einem Persönlichkeitsbild ist möglich Anhäufungen von Datensammlungen Formale Gliederung der Daten nach beliebig vielen Kriterien

11 Informationsqualität
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Sicherheit erhöhen durch Einschränkung der Datenschutzrechte Rasterfandung Trend: Das Sammeln von personenbezogenen Daten Der gläserne Surfer Angemessener Schutz des Bürgers gewährleistet?

12 ...ignoriert die Privatsphäre
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Da hört doch wer mit... ECHELON ...ignoriert die Privatsphäre ...zapft 3 Milliarden (!) Verbindungen pro Tag an ...siebt ca. 90 Prozent des Internet-Verkehrs ...spioniert bei wem es will und wann es will

13 Was weis man über ECHELON? Entworfen und koordiniert von der NSA
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Was weis man über ECHELON? Entworfen und koordiniert von der NSA Abhören von s, Faxen, Telexen und Telefongesprächen (als Masse) Filtern von interessanten Nachrichten Wörterbücher Für nicht-militärische Zwecke: Regierungen Organisationen Unternehmen der freien Wirtschaft Einzelpersonen

14 Struktur ähnlich dem Internet (verschlüsselt)
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Wie arbeitet ECHELON? Struktur ähnlich dem Internet (verschlüsselt) Lokale Wörterbuchcomputer mit Datenbanken Code zur Sortierung von Nachrichten pro Thema Suchfunktionen wie Suchmaschinen im Internet

15 Mißbrauch von NSA Daten für wirtschaftliche Zwecke...
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Mißbrauch von NSA Daten für wirtschaftliche Zwecke... NSA, CIA & Department of Commerce bilden geheime Behörde für Nachrichtenverknüpfung Ausl. Nachrichten an Department of Commerce 1993 erlaubt Bill Clinton den „National Economic Council“ Da hört doch wer mit... => Starke Verschlüsselungssysteme lohnen!

16 ECHELON und der Bundesnachrichtendienst ...hört da noch wer mit?
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung ECHELON und der Bundesnachrichtendienst ...hört da noch wer mit? Dr. August Hanning Präsident des BND

17 Informations-Beschaffung über Entwicklungen in anderen Staaten
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Aufgaben des BND Informations-Beschaffung über Entwicklungen in anderen Staaten Ergänzt vorhandene Informationsstränge Unterstützt Bundesregierung bei außen- und sicherheitspolitischen Entscheidungen Dient der Bundesregierung als Frühwarnsystem

18 Gefahren für die Bundesrepublik
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Gefahren für die Bundesrepublik Proliferation und illegaler Technologietransfer Internationaler Terrorismus Internationale Organisierte Kriminalität Internationaler Waffenhandel Illegale Migration (Schleuser)

19 Andere Nachrichtendienste
ECHELON & der BND Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Andere Nachrichtendienste Bundesregierung Verfassungsschutz (Inneres) Militärischer Abschirmdienst (Verteidigung) Bundesnachrichtendienst (Kanzleramt)

20 Struktur des BND ECHELON & der BND Inhalt Privacy Rechtliches
Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Struktur des BND

21 www.anonymizer.com Webdienst zum verbergen von Daten Der Anonymizer
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Webdienst zum verbergen von Daten Online nutzen oder Plug-in installieren

22 Welche Daten sind hier gefährdet?
Der Anonymizer Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Welche Daten sind hier gefährdet? Häufig besuchte Webseiten des Benutzers Welche Produkte ein Benutzer im Netz kauft Hardware, Software und Programmdaten Aktivitäten in Chat-Räumen Informationen zu Medizin, Versicherung, Finanz oder Karriere auf die der Benutzer zugreift IP Adresse des Computers Geographische Lage

23 Wen könnten diese Daten interessieren? Reklame treibende Spammers
Der Anonymizer Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Wen könnten diese Daten interessieren? Reklame treibende Spammers Besuchte Webseiten Hacker Arbeitgeber oder Mitarbeiter Familienmitglieder Umfrage Institute Identitäts Diebe Betrüger

24 Wie arbeitet der Anonymizer?
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Wie arbeitet der Anonymizer? Umschreiben der zu betrachtenden Webseiten auf einem geschützten Server Entfernen von Gefahren für die Privatsphäre und Sicherheit bevor Webseiten zum Benutzer gesendet werden Verbergen der IP Adresse vor Webseiten und anderen Parteien Verhindern das boshafte Files oder Code von außerhalb auf die Festplatte des Benutzers gelangen Neutralisiert Cookies, Java, JavaScript, ActiveX, Web Bugs und anderes

25

26 Platform for Privacy Preferences Project
Wofür steht P3P? Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Platform for Privacy Preferences Project Industriestandard in der Entstehung Ausdrücken von Praktiken zur Privatsphäre Mechanismus, Benutzer zu informieren Über Privacy Policy bevor Daten übertragen Kein Mechanismus, der sicher stellt Seiten gemäß Policy handeln P3P Ergänzung zu Gesetzen, Anonymizer, Kryptographie, Benutzer Automatische Entscheidungsfindung User Agents

27 Vertrauen & Zuversicht ins Internet stärken
Ziele von P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Vertrauen & Zuversicht ins Internet stärken Benutzer über Praktiken einer Webseite informieren Datensammlungs- und Verarbeitungspraktiken in XML kodieren Standard Schema für Daten XML Format für Privacy Policies Mittel um Policies mit Webseiten und Cookies zu verbinden Mechanismus um Policies via HTTP zu transportieren

28 Sandra besucht CatalogExample
Beispiel zu P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Sandra besucht CatalogExample P3P bei CatalogExample in Gebrauch Sandras Browser unterstützt P3P Privacy Preferences setzen! Browser holt automatisch Policy der Homepage 1. Policy: normale HTTP access logs Kein Konflikt mit Sandras Einstellungen Seite (normal) anzeigen Icon am Rand

29 Online Katalog Kassenbereich Beispiel zu P3P Komplexere Software
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Online Katalog Komplexere Software Software benutzt Cookies Sammelt mehr Daten -> 2. Policy Kassenbereich Noch mehr Daten -> 3. Policy Sandras Name Adresse Kreditkartennummer Telefonnummer

30 Warnung bei Telefonnummer
Beispiel zu P3P Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Warnung bei Telefonnummer Pop-up Message P3P Statement erklären Entscheidung treffen Alternative Warnung nur wenn Nummer an Dritte Zweck ist abweichend Unter Umständen keine Pop-ups

31 HTTP access log Common Log Format Custom Log Formate
Beispiel zu P3P - Exkurs Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung HTTP access log Common Log Format Zugreifender Rechner Account Name Zeitpunkt Erste Zeile der Client-Anfrage HTTP Status Anzahl übertragener Bytes Custom Log Formate

32 HTTP access log Common Log Format hera.mni.fh-giessen.de
Beispiel zu P3P - Exkurs Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P Privacy Klassen Implementierung ... Zusammenfassung HTTP access log Common Log Format hera.mni.fh-giessen.de “/var/adm/httpd/access_log“ LogFormat “%h %l %u %t \”%r\” %>s %b” client.domain.tld - - [27/Jul/2001:15:30: ] “GET /misc/HTTP/1.0”

33 XML Kodierung des P3P Vokabulars
Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung XML Kodierung des P3P Vokabulars Auskunft über gesammelte Datentypen, Datenelemente und deren Verwendung Nennt Empfänger von Daten, Adresse (URI) der lesbaren Policy und weitere Erklärungen Beschreibt Praktiken einer Seite, kein Konform-Indikator für Gesetz oder Kodex P3P Vokabular ist positiv! Nicht abgedeckt sind: Rechtliche Zwänge Praktiken der Provider Editoren IBM P3P Policy Editor (beta)

34 Referencing Policies Privacy Policies Lokalisieren der P3P Policy
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Referencing Policies Lokalisieren der P3P Policy Zuweisung einer Policy (mehrerer Policies) Performance Optimierung An wohl-definierter Stelle, link Tag /w3c/p3p.xml <link rel=”P3Pv1“ ref=”

35 Referencing Policies Privacy Policies oder in HTTP (P3P) Header
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Referencing Policies oder in HTTP (P3P) Header 1. Client führt GET Anfrage durch: GET /index.html HTTP/1.1 Host: catalog.example.com Accept: */* Accept-Language: de, en User-Agent: WonderBrowser/5.2 (RT-11) 2. Inhalt und P3P Header zurück: HTTP/ OK P3P: policyref= Content-Type: text/html Content-Length: 4713 Server: CC-Galaxy/1.3.18

36 Reference macht folgende Aussagen:
Privacy Policies Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Reference macht folgende Aussagen: /P3P/Policies.xml#first für komplette Seite Ausnahme: /catalog, /cgi-bin, and /servlet. /P3P/Policies.xml#second für alle Dokumente in /catalog mit Unterverzeichnissen /P3P/Policies.xml#third für alle Dokumente in /cgi-bin und /servlet inklusive Unterverzeichnisse Ausnahme: /servlet/unknown. Keine Policy für /servlet/unknown Aussagen gültig für 2 Tage

37 Privacy Policies <META xmlns="http://www.w3.org/2001/09/P3Pv1">
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung <META xmlns=" <POLICY-REFERENCES> <EXPIRY max-age="172800"/> <POLICY-REF about="/P3P/Policies.xml#first"> <INCLUDE>/*</INCLUDE> <EXCLUDE>/catalog/*</EXCLUDE> <EXCLUDE>/cgi-bin/*</EXCLUDE> <EXCLUDE>/servlet/*</EXCLUDE> </POLICY-REF> <POLICY-REF about="/P3P/Policies.xml#second"> <INCLUDE>/catalog/*</INCLUDE> <POLICY-REF about="/P3P/Policies.xml#third"> <INCLUDE>/cgi-bin/*</INCLUDE> <INCLUDE>/servlet/*</INCLUDE> <EXCLUDE>/servlet/unknown</EXCLUDE> </POLICY-REFERENCES> </META>

38 Vertreter des Benutzers
P3P User Agents Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Vertreter des Benutzers Vermittelt bei interaktiver Nutzung eines Dienstes Mehrere User Agents Können wie folgt implementiert sein: Im Betriebssystem Webbrowser Browser plug-ins Proxy Server Java Applets JavaScript Electronic Wallets Automatische Form-Füller Andere Datenmanagement Werkzeuge

39 User Agents geben Privacy Praktiken wieder
P3P User Agents Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung User Agents geben Privacy Praktiken wieder holen die Policy parsen die Policy stellen Symbole da spielen Sounds ab zeigen Prompts an Vertrauensbasis: User Agent und Benutzer

40 Torwächter Funktion Torwächter Ablauf P3P User Agents
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Torwächter Funktion Electronic Wallets Automatische Form-Füller Torwächter Ablauf Policy holen mit Benutzereinstellungen vergleichen herausgeben von Daten erlauben, wenn: Policy mit Benutzereinstellungen übereinstimmt angefragte Datentransfer mit Policy übereinstimmt Bei Unstimmigkeit Benutzer informieren

41 P3P Implementation auf Servern
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Es geht! P3P V1.0 läuft auf HTTP/1.1 Servern ohne Zusatz-Software oder Upgrade Lesbare Privacy in P3P Syntax übersetzen Automatisierende Werkzeuge zur Unterstützung Resultierende Files im Reference-File publizieren Wohl definierter Stelle P3P im HTTP Request Verweis mittels HTML link Tag Flexibel im Benutzen von P3P Eine Policy für komplette Seite Verschiedene Policies für verschiedene Teile

42 Zukünftige P3P Versionen
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 4 Hauptkomponenten in Version 1.0 nicht implementiert Schnellere Implementierung Größere Verbreitung Die 4 zusätzlichen Komponenten Auswahl von P3P Policies Explizites Zustimmen zu einer Policy Nichtanerkennung von Erklärungen erlauben User Agents übertragen Benutzerdaten (autom.) an einen Dienst (data-transfer protocol)

43 In Englischer Sprache geschrieben CatalogExample
P3P Code Beispiel Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung 2 Beispiel Policies Browser Käufer In Englischer Sprache geschrieben CatalogExample

44 Beispiel für Browser (lesbar) Anrede
P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Browser (lesbar) Anrede Wir bei CatalogExample, sorgen uns um Ihre Privatsphäre. Wenn Sie unsere Seite besuchen und nach einem Produkt suchen speichern wir diese Informationen lediglich um die Erscheinung unserer Seite zu verbessern. Die angefallenen Informationen werden nicht zusammen mit personenbezogenen Daten gespeichert. Lizenz CatalogExample ist Lizenznehmer des PrivacySealExample Programms. Das PrivacySealExample Programm sichert Ihre Privatsphäre indem es Lizenzen an Webseiten herausgibt die hohe Standards, bezüglich der Privatsphäre, setzen. Unabhängige Prüfer bestätigen das die angegebenen Informationspraktiken befolgt werden. Kontaktadresse CatalogExample Lincoln Ave. Birmingham, MI USA Telephone: 248-EXAMPLE ( )

45 Beispiel für Browser (lesbar) Kontroversen
P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Browser (lesbar) Kontroversen Falls Ihre Nachfrage unzureichend oder gar nicht beantwortet wurde können Sie PrivacySealExample unter erreichen. CatalogExample wird alle Fehler oder Fehlerhafte Handlungen korrigieren, die im Zusammenhang mit der Privacy Policy entstanden. Datensammlung & warum Wenn Sie über unsere Seite Browsen sammeln wir folgendes: Einfache Informationen über Ihren Computer und die bestehende Verbindung, um sicher zu gehen das Sie passende und richtige Informationen bekommen. Gesamtdaten auf welche Seiten unsere Besucher zugreifen, um die Seite weiter zu verbessern. Datenaufbewahrung Alle zwei Wochen löschen wir die angesammelten Browserdaten.

46 Beispiel für Browser (formell) URI der Bekanntgabe:
P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Browser (formell) URI der Bekanntgabe: Objekt/Wesen: CatalogExample Lincoln Ave Birmingham, MI USA Telephone: 248-EXAMPLE ( ) Zugang zu Identifizierungsdaten: Keiner Kontroversen: Lösungsmethode: unabhängig Dienst: Beschreibung: PrivacySealExample

47 Beispiel für Browser (formell) Abhilfe: Wir sammeln:
P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Browser (formell) Abhilfe: Wir werden sämtliche Fehler korrigieren Wir sammeln: dynamic.clickstream dynamic.http Zweck: Nur für CatalogExample und unsere Agenten Datenaufbewahrung: So lange wie nötig für den angeführten Grund. (Link zur lesbaren Policy!)

48 P3P Code Beispiel (1) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung <POLICY name="forBrowsers” discuri=" <ENTITY> <DATA-GROUP> <DATA ref="#business.name">CatalogExample</DATA> <DATA ref="#business.contact-info.postal.street"> 4000 Lincoln Ave.</DATA> <DATA ref="#business.contact-info.postal.city">Birmingham</DATA> <DATA ref="#business.contact-info.postal.stateprov">MI</DATA> <DATA ref="#business.contact-info.postal.postalcode">48009</DATA> <DATA ref="#business.contact-info.postal.country">USA</DATA> <DATA ref="#business.contact-info.online. "> <DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA> <DATA ref="#business.contact-info.telecom.telephone.loccode"> 248</DATA> <DATA ref="#business.contact-info.telecom.telephone.number"> </DATA> </DATA-GROUP> </ENTITY> <ACCESS><nonident/></ACCESS>

49 P3P Code Beispiel (1) <DISPUTES-GROUP>
Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung <DISPUTES-GROUP> <DISPUTES resolution-type="independent” service=" short-description="PrivacySeal.example.org"> <IMG src=" alt="PrivacySeal's logo"/> <REMEDIES><correct/></REMEDIES> </DISPUTES> </DISPUTES-GROUP> <STATEMENT> <PURPOSE><admin/><develop/></PURPOSE> <RECIPIENT><ours/></RECIPIENT> <RETENTION><stated-purpose/></RETENTION> <!-- Note also that the site's human-readable privacy policy MUST mention that data is purged every two weeks, or provide a link to this information. --> <DATA-GROUP> <DATA ref="#dynamic.clickstream"/> <DATA ref="#dynamic.http"/> </DATA-GROUP> </STATEMENT> </POLICY>

50 Beispiel für Käufer (lesbar) Anrede Lizenz Kontaktadresse Kontroversen
P3P Code Beispiel (2) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Käufer (lesbar) Anrede Lizenz Kontaktadresse Kontroversen Cookies CatalogExample benutzt Cookies nur um zu sehen ob Sie in der Vergangenheit ein Kunde von CatalogExample gewesen sind. Wenn dem so ist werden die Dienste auf Ihr bisheriges Browser Verhalten angepaßt. Wir speichern keine personenbezogenen Daten im Cookie, noch teilen oder verkaufen wir irgendwelche Informationen an Dritte.

51 Beispiel für Käufer (lesbar) Datensammlung & warum
P3P Code Beispiel (2) Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Beispiel für Käufer (lesbar) Datensammlung & warum Wenn Sie sich dazu entschließen ein Produkt zu kaufen werden wir Sie nach weiteren Daten fragen: Ihren Namen und Adresse, damit wir das Produkt zu Ihnen liefern können und für Kontakte in der Zukunft. Ihre Adresse und Telefonnummer, damit wir Sie erreichen können. Ein Login mit Paßwort damit Sie Ihre Daten auf den neuesten Stand bringen können. Das ändern der Daten ist möglich. Finanz Daten (z.B. Bankverbindung) so dass Sie Ihre Bestellung komplettieren können (diese können auf Wunsch gespeichert werden). Optional können Sie weitere Angaben machen, damit wir unseren Dienst, in der Zukunft, noch besser auf Sie abstimmen können. Datenaufbewahrung Die Informationen über Sie und Ihre Einkäufe behalten wir solange Sie unser Kunde sind. Falls Sie für den Zeitraum von einem Jahr keine Bestellung bei uns aufgeben löschen wir Ihre Einträge aus unserer Datenbank.

52 auf hera: /var/adm/httpd/access_log
Privacy im Web, P3P Online-Literatur: auf hera: /var/adm/httpd/access_log

53 Technische Möglichkeiten
Zusammenfassung Inhalt Privacy Rechtliches Informationsqualität ECHELON & BND Anonymizer P3P? Ziele von P3P P3P Beispiel Privacy Policies P3P User Agents Implementierung Zukunft von P3P Code Beispiel Zusammenfassung Gesetze Unterschied in EU und USA Technische Möglichkeiten zur Überwachung zum Schutz Werkzeuge zum Schutz Anonymizer Kryptographie Platform for Privacy Preferences Project (P3P) Persönliches Engagement!

54 KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI UNWISSENHEIT IST STÄRKE 1984, George Orwell (U1950)