20. Juli 2009 - Maschinenlesbare Datenschutzerklärungen

Wasserdichte Datenschutzerklärungen mit P3P

Die Wahrung von Datenschutz und Datensicherheit im Internet stellt inzwischen einen Schwerpunkt der Arbeit der Datenschutzbeautragten und der Verantwortlichen für die IT-Sicherheit dar. P3P kann die Prüfung vereinfachen: Es gleicht die Anforderungen des Nutzers und die Datenschutzerklärungen des Anbieters automatisch ab.

wasserdichte-datenschutzerklarungen-mit-p3p.jpeg
Mit dem Format P3P können Sie maschinenlesbare Datenschutzerklärungen erstellen (Bild: Thinkstock)

 Der Umgang mit  personenbezogenen Daten der Nutzer ist ein wesentlicher Prüfgegenstand im Rahmen der Überwachungstätigkeiten des DSB. Dabei müssen sich die Prüfungen beziehen auf:

  1. die eigenen Internetangebote des Unternehmens oder der Behörde
  2. die durch das Unternehmen oder die Behörde genutzten Internetangebote

Datenschutzerklärung kommt zentrale Bedeutung zu

Bei den Kontrollen der genutzten und betriebenen Websites sollte der Datenschutzbeauftragte verschiedene Kriterien betrachten, um die Konformität mit den Datenschutzvorgaben (Compliance) sicherzustellen. Dazu gehören insbesondere:

  • die Anbieterkennzeichnung mit ihren Inhalten und ihrer einfachen Auffindbarkeit (Gestaltung und Platzierung)
  • der richtige Zeitpunkt und die Form der Unterrichtung des Nutzers über die geplante Verarbeitung von Daten
  • die Einwilligung des Nutzers und ihre technische Umsetzung
  • die Möglichkeit des Widerrufs
  • der Hinweis auf Auskunftsrechte
  • die Nutzung der verschiedenen Cookie-Arten
  • der Datentransfer in Drittländer
  • die Veröffentlichung von Mitarbeiter- (Ansprechpartner) oder Kundendaten (Referenzen) und die Frage nach Berechtigung und vorliegender Einwilligung
  • die Protokollierung und die Anonymisierung von Nutzerdaten

Deshalb kommt der genauen Überprüfung der Datenschutzerklärung (Privacy Policy) eine große Bedeutung zu.

Ideal sind automatische Prüfungen der Privacy Policy

In der Praxis bleiben jedoch viele Datenschutzerklärungen ungelesen. Für den Datenschutzbeauftragten und für den Nutzer von Internetangeboten an sich wäre es eine deutliche Erleichterung, wenn sich die Datenschutzerklärung automatisch überprüfen lassen würde, wenn also die Privacy Policy maschinenlesbar wäre.

P3P: Automatischer Abgleich der Datenschutzerklärungen

Ein für solche maschinenlesbare Datenschutzerklärungen nutzbares Format definiert der Internetstandard (World Wide Web Consortium, W3C) unter dem Namen P3P (Platform for Privacy Preferences Project). P3P unterstützt den automatischen Abgleich zwischen den Anforderungen des Nutzers und den Datenschutzerklärungen des Anbieters und stellt mögliche Abweichungen dar.

Wie kommt man zu einer P3P-Datenschutzerklärung?

Um eine vollständige Datenschutzerklärung im P3P-Format erzeugen zu können, müssen in der Regel alle Felder des P3P-Editors ausgefüllt werden. Dazu gehören die zentralen Angaben einer Datenschutzerklärung wie:

  • die verantwortliche Stelle für den Datenschutz (im Editor meist Entity genannt)
  • der Bezug auf die gültigen rechtlichen Datenschutzvorgaben (Assurances)
  • der Teil der Website, für den die Policy gelten soll, falls unterschiedliche Datenschutzpraktiken innerhalb der Website zur Anwendung kommen
  • bis zu 15 verschiedene Kategorien der Daten, die gesammelt werden (Data Collection)
  • bis zu sechs verschiedene Arten der vorgesehenen Datennutzung (Purpose)
  • die Angabe der Möglichkeit, der Datennutzung zu widersprechen
  • bis zu sechs verschiedene Datenempfänger
  • die Verwendung von Cookies
  • fünf verschiedene Möglichkeiten für die Dauer der Datenspeicherung
  • die Angabe, wer Zugang zu den gespeicherten Daten hat
  • der Speicherort der für den Menschen lesbaren Datenschutzerklärung (Disclosure)

Für den Menschen lesbare Datenschutzerklärung nicht vergessen!

An dieser Stelle sei angemerkt, dass die Generierung einer P3P-konformen Datenschutzerklärung in Form einer XML-Datei die für den Menschen leicht lesbare Form der Privacy Policy nicht einfach ersetzt. Zum Teil helfen die P3P-Editoren auch beim Erstellen der herkömmlichen, für den Menschen lesbaren Datenschutzerklärung.

In jedem Fall muss man auf die genaue Übereinstimmung der maschinenlesbaren und der für den Menschen lesbaren Datenschutzerklärung achten.

Oliver Schonschek

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln