Industrie schlägt Rahmen zur Privatsphären-Folgenabschätzung von RFID vor

Dieser Artikel ist auch verfügbar auf:
Englisch: Industry proposed RFID Privacy Impact Assessment Framework

Im Anschluss an die Empfehlungen der Europäischen Kommission zum Thema RFID vom 12. Mai 2009 wurde eine informelle Arbeitsgruppe zur Umsetzung der Empfehlungen eingerichtet; insbesondere um einen Rahmen zur Bewertung der Auswirkungen von RFID auf Privatsphäre (Privacy Impact Assessment Framework – PIA-Framework) zu schaffen. Die Gruppe setzte sich hauptsächlich aus Vertretern der Industrie, einigen Vertretern europäischer Normierungsinstitute und einer begrenzten Anzahl von Vertretern der Zivilgesellschaft – so auch EDRi – zusammen. Obwohl der Status der Gruppe streng inoffiziell war, wurden ihre Sitzungen seitens der Europäischen Kommission unterstütz und organisiert.

Der Entwurf des PIA-Rahmens wurde, gemäß der RFID-Empfehlung, von der Industrie erstellt. Andere Interessensgruppen hatten die Gelegenheit die entsprechend aktuelle Entwurfsversion nach drei der fünf Sitzungen, die im Laufe eines Jahres stattfanden, zu kommentieren.

Den Empfehlungen folgend wurde der endgültige Entwurf der Industrie am 31. März 2010 der Artikel 29 Arbeitsgruppe zur Zustimmung vorgelegt. Am 26. April 2010 – rund einen Monat später und einen Tag bevor er auf der Webseite der Europäischen Kommission veröffentlicht wurde – erhielten auch die Mitglieder der informellen Arbeitsgruppe eine Kopie des endgültigen Entwurfs von den Vertretern der Industrie.

Verglichen mit der letztbekannten Entwurfsversion enthält der endgültige Vorschlag etliche wesentliche Änderungen. EDRi muss den endgültigen Vorschlag daher noch im Detail analysieren, um ein vollständiges Bild davon zu gewinnen und sich eine endgültige Meinung über das Rahmenwerk zu bilden.

Bisher kann gesagt werden, dass EDRis Empfehlung den PIA-Rahmen auf einer strukturierten analytischen Herangehensweise, wie sie häufig bei IT-Risikoanalysen (so beispielsweise bei den deutschen IT-Grundschutz Katalogen oder dem EuroPriSe Criteria-Katalog) zum Einsatz kommt, aufzubauen, nicht als geeigneter Ansatz für dieses Rahmenwerk angesehen wurde.

Während der Text des PIA-Rahmens erklärt, dass „ein PIA ein praktisches Risikowerkzeug für Privatsphäre und Datenschutz ist“ (Seite 3), das dem Anbieter der RFID-Anwendung behilflich ist „Risiken für sein Unternehmen und die Nutzer zu verwalten“ (Seite 4), verzichtet er darauf, ein einziges konkretes Risiko zu benennen und angemessene Gegenmaßnahmen aufzuzeigen. Der Text konzentriert sich vielmehr auf eine generelle Beschreibung eines möglichen PIA-Ablaufs und die mögliche Struktur von PIA-Berichten.

Analysen werden zeigen ob das Rahmenwerk eine ausreichende Hilfestellung für "RFID-Anbieter, unabhängig von ihrer Größe und ihrer Sparte" (Seite 3) bietet, um die Privatsphäre- und Datenschutzrisiken in Verbindung mit der Nutzung der RFID-Technologie zu analysieren und diesen Risiken auf effiziente Weise entgegen zu wirken.

Entsprechend dem Ablauf, der in den Empfehlungen der Kommission zu RFID festgelegt wurde, liegt es nun an der Artikel 29 Arbeitsgruppe auf den Vorschlag der Industrie, sei es zustimmend oder anderweitig, zu reagieren. EDRi wird sich weiterhin mit dem Bereich Privatsphäre und Datenschutz bei RFID und dem Internet der Dinge beschäftigen und auf europäischer und nationaler Ebene zur Schaffung einer privatsphärefreudlichen Informationsinfrastruktur beitragen.

Der Vorschlag der Industrie für einen Rahmen zur Bewertung der Auswirkungen von RFID auf Privatsphäre und Datenschutz ist auf der Webseite der Europäischen Kommission öffentlich verfügbar.

Europäische Kommission: Kommissionsempfehlungen zur Implementierung von Privatsphäre- und Datenschutzprinzipien bei Anwendungen der Radio Frequency Identification (Englisch, 12.5.2009)

Vorschlag der Industrie für einen Rahmen zur Bewertung der Auswirkungen von RFID-Anwendungen auf Privatsphäre und Datenschutz (Englisch, 31.03.2010)

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz Catalogues

Europäisches Datenschutz-Gütesiegel: EuroPriSe-Kriterien (Englisch)

(Ein Beitrag von Andreas Krisch - EDRi)