Die RFID Expertengruppe, die von der Europäischen Kommission einberufen wurde, um bei der Erarbeitung der zukünftigen Strategie in Bezug auf RFID mitzuhelfen, hat sich bereits einige Male zusammengefunden. Die European Digital Rights Initiative (EDRI) hat der Gruppe zwei Berichte über Datenschutz und Sicherheit bei RFID vorgelegt, die verdeutlichen, dass die zuverlässige Sicherung von Datenschutz und persönlicher Daten eine Schlüsselfrage für die Annahme dieser Technologie sein muss.
EDRIs Beitrag zur RFID Expertengruppe bestand aus dem ersten Bericht über Datenschutzfragen bei RFID (am 10. Juli 2007), der sich auf den Datenschutz und Fragen zur Geheimhaltung bei RFID Anwendungen konzentrierte und außerdem auch ein Schema zur Klassifikation dieser RFID Anwendungen vorstellte, das auf Datenschutz und Benutzerkontrolle beruht.
Im ersten Teil des Berichts wird dargestellt, dass der Datenschutz unbedingt verstärkt werden muss, da die weitverbreitete Verwendung von RFID Anwendungen und die Datenerhebung stark ansteigen werden und es daher für die betroffenen Personen zunehmend schwieriger werden wird, diese Anwendungen und die Erhebung von Daten, die dabei durchgeführt wird, zu verstehen und zu überblicken.
„Es ist daher ganz besonders wichtig, die Befugnisse der Datenschutzbeauftragten zu stärken und es ihnen zu ermöglichen, die gesetzmässig verankerten Rechte der Datensubjekte auf wirksame Weise zu schützen“ hebt Andreas Krisch hervor, der EDRI in der RFID Expertengruppe vertritt.
Er erklärte weiters: „Um das Vertrauen der Anwender in RFID Anwendungen zu gewinnen, müssen zwei Voraussetzungen erfüllt werden: effektive Instrumente, die die Benutzer beim Schutz ihrer persönlichen Daten und ihrer Privatsphäre unterstützen, und Informationen über den systematischen Kontext dieser Systeme.“
EDRI schlägt außerdem eine Klassifikation der RFID Anwendungen vor, die sich auf den Faktor der Benutzerkontrolle bezieht, der festlegt, bis zu welchem Ausmaß die betroffene Person befugt ist, auf die Informationen, die über sie oder ihn gespeichert wurden, zuzugreifen, sie zu korrigieren oder zu löschen (3 Kategorien – vom Benutzer gespeiste Anwendungen, vom Benutzer einsehbare Anwendungen und vom Benutzer kontrollierte Anwendungen) und auf den Faktor des Datenschutzes, dass das Ausmaß festlegt, in dem andere Anwendungen die Informationen verwenden können, die auf einem Tag gespeichert werden (3 Kategorien – datenschützte RFID Anwendungen, RFID Anwendungen mit weitergegeben Daten, und RFID Anwendungen mit ungeschützten Daten). Eine Einschätzung der Hindernisse und Gefahren mit speziellem Augenmerk auf Datenschutz und Sicherheit ist auf Basis des fallweisen Vorgehens notwendig.
Der zweite Bericht, der der Gruppe über RFID Sicherheitsfragen vorgelegt wurde, erklärt dass die Beschäftigung mit Sicherheit und RFID bedeutet, „sich nicht nur mit den Sicherheitsaspekten der RFID Systeme zu beschäftigen, sondern auch mit Sicherheitsaspekten von allen und jeden, die von den RFID Systemen betroffen sind.“
Krisch betonte, dass die Sicherheitsfragen zu RFID „bei den Grundlagen der Technologie angesetzt werden müssen. Infromationen auf den Tags müssen auf sichere Art und Weise gespeichert werden. Kommunikationsprotokolle müssen sichere Kommunikationen sicherstellen können. Informationssysteme müssen Datenschutzmechanismen verwenden, die sich auf dem neuesten Stand der Technik befinden.“ Gleichzeitig hob her hervor, dass die Sicherung einer angemessenen Qualität der gespeicherten Informationen ein zweiter sehr wichtiger Punkt sei; daher sei es unerlässlich, „Hilfsmittel zu implementieren um zu überprüfen, wer ein gegebenes Set von Daten erstellt, verändert, kontrolliert oder dafür verantwortlich ist.“
Andere Fachleute der Gruppe haben ihre Bedeneken und Meinungen öffentlich kundgetan. BEUC (die Koalition aller Konsumentenorganisationen Europas) und ANEC (Europäischer Verband für die Koordinierung in der Normung) haben am 12. Juli 2007 einen gemeinsame Standpunkt über die nächsten Schritte herausgegeben, die in einem RFID Strategierahmen unternommen werden müssen. Die Stellungnahmen mit dem Titel „Konsumentenszenarios für eine RFID Strategie“ konzentrieren sich auf die Tatsache, dass das Vertrauen der Konsumenen nötig ist, damit sie die RFID Technologie vollständig annehmen, und schlagen zahlreiche Maßnahmen vor, die impelementiert werden sollen. Diese Maßnahmen beginnen bei den Rechten der Konsumenten, über die Handlungsweisen in den Domains eines regulierten Rahmenwerkes, Datenschutz und Sicherheit, Gesundheit und Umwelt oder Standardisation beschied zu wissen und diese weiter zu betreiben.
Das technische Komitee der EU (STOA) hat ebenfalls vor Kurzem eine umfassende Studie veröffentlicht, die die Verwendung von RFID Technologie bei EU Bürgern evaluiert. Die Studie befindet, dass es schwierig ist, die Auswirkungen einzuschätzen, da weder die Systeme noch das öffentliche Bewusstsein der Bürger für die Technologie ausgreift genug sind. Der Bericht sieht in der Notwendigkeit die „Datenschutzrichtlinien und die Konzepte der persönlichen Daten und informationeller Selbstbestimmung“ als eine der größten Herausforderung im Angesicht eines zunehmend interaktiven Umfeldes.
RFID Privacy Issues (10.07.2007)
RFID Security Issues (07.2007)
unwatched: RFID Experten Gruppe - Kick Off
(6.06.2007)