Europa-Parlament für klaren gesetzlichen Rahmen für das Internet der Dinge

Dieser Artikel ist auch verfügbar auf:
Englisch: EP calls for a clear legal framework for the Internet of Things

In seiner Resolution über das Internet der Dinge vom 15. Juni 2010 begrüßt das Europäische Parlament (EP) die Mitteilung der Kommission zu diesem Thema und befürwortet im Grundsatz den umfassenden Aktionsplan zum Internet der Dinge (IoT - Internet of Things).

Das Parlament nimmt allerdings den Standpunkt eine, dass die Entwicklung neuer Anwendungen und und auch das Funktionieren und das kommerzielle Potenzial des Internets der Dinge davon abhängen wird, wie viel Vertrauen die europäischen Bürger in das System haben werden, und verweist darauf, dass Vertrauen dann besteht, wenn Zweifel wegen möglicher Gefahren für den Datenschutz und die Gesundheit ausgeräumt sind. Es betont, dass als Grundlage dieses Vertrauens ein klarer Rechtsrahmen vorhanden sein muss, einschließlich Vorschriften für die Kontrolle, Sammlung, Verarbeitung und Nutzung der durch das Internet der Dinge erfassten und übermittelten Daten sowie in Bezug auf die von den Verbrauchern einzuholenden Einwilligungen.

Das Parlament stellt weiters fest, dass das Internet der Dinge zur Sammlung einer extrem großen Datenmenge führen wird; fordert die Kommission in diesem Zusammenhang auf, einen Vorschlag zur Anpassung der europäischen Datenschutzrichtlinie vorzulegen, bei dem die durch das Internet der Dinge erfassten und übermittelten Daten entsprechend berücksichtigt werden.

Der Sicherheit, dem Schutz personenbezogener Daten und der Privatsphäre der Bürger sowie der Verwaltung des Internets der Dinge entsprechende Aufmerksamkeit zu widmen ist nach Ansicht des Parlaments der einzige Weg, um eine breite soziale Akzeptanz zu erreichen. Das EP ist der festen Überzeugung, dass alle Nutzer die Kontrolle über ihre persönlichen Daten haben sollten und betont, dass eine Vorbedingung für die Förderung der Technologie in der Festlegung von Rechtsnormen besteht, die die Achtung der Grundwerte sowie den Schutz personenbezogener Daten und der Privatsphäre stärken;

Im Zusammenhang mit dem Prinzip des eingebauten Datenschutzes (Privacy by Design) weist das Parlament auf die entsprechende Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) hin, der die Bedeutung des eingebauten Datenschutzes als Leitprinzip hervorgehoben hat. In seiner Stellungnahme hat der EDSB gefordert, dass die bestehenden Datenschutzbestimmungen um zusätzliche spezifische Bestimmungen ergänzt werden, die eine verpflichtende Einbettung technischer Lösungen (Privacy by Design) in RFID-Anwendungen vorsieht.

Weiters hat er seine Besorgnis darüber ausgedrückt, dass RFID-Betreiber im Handel die Möglichkeit übersehen könnten, dass RFID-Chips unbeabsichtigt durch Dritte ausgelesen werden können. Der EDSB ist der Ansicht, es sei absehbar, dass eine Selbstregulierung nicht die erwünschten Ergebnisse bringen würde. Er hat deshalb die Kommission aufgefordert, sich auf die Ausarbeitung legislativer Instrumente zur Regelung der Kernfragen der RFID-Anwendungen vorzubereiten, für den Fall, dass eine effektive Durchsetzung des bestehenden Regelwerks nicht gelingt.

Dieser Ruf nach Regulierung der Kernfragen von RFID hat nun offenbar Unterstützung im Europäischen Parlament gefunden, wobei das EP zusätzlich unterstreicht, dass RFID-Anwendungen in Einklang mit den Bestimmungen über den Schutz der Privatsphäre und den Datenschutz gemäß Artikel 7 und 8 der Grundrechtecharta der Europäischen Union betrieben werden müssen.

Die Resolution des Parlaments richtet sich nicht nur an die Europäische Kommission sondern ruft auch die Hersteller dazu auf, das Recht auf das „Schweigen der Chips“ zu gewährleisten und fordert die Betreiber von RFID-Anwendungen auf, alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass Daten nicht mit einer bestimmten oder bestimmbaren natürlichen Person in Beziehung gebracht werden können, es sei denn, diese Daten werden unter Einhaltung der geltenden Grundsätze und Rechtsvorschriften zum Datenschutz verarbeitet.

Das EP hält die Annahme eines allgemeinen Grundsatzes für erforderlich, wonach IoT-Technologien so ausgelegt sein sollten, dass sie nur das für die Ausführung ihrer Funktion erforderliche absolute Minimum an Daten erfassen und nutzen und die Erfassung zusätzlicher Daten ausgeschlossen ist. Es fordert weiters, dass ein beträchtlicher Anteil der über das Internet der Dinge ausgetauschten Daten vor der Übertragung anonymisiert wird, um den Schutz der Privatsphäre zu gewährleisten.

Das Europäische Parlament hält es für sehr wichtig, dass alle Grundrechte – nicht nur das Recht auf Schutz der Privatsphäre – im Prozess der Entwicklung des Internets der Dinge geachtet werden und fordert die Kommission auf, die korrekte Anwendung der bereits auf europäischer Ebene angenommenen maßgeblichen Rechtsvorschriften genau zu verfolgen und bis Jahresende einen Zeitplan für die Leitlinien vorzulegen, die sie auf Unionsebene zur Stärkung der Sicherheit des Internets der Dinge und der RFID-Anwendungen vorschlagen will.

Wie bereits in einer früheren EDRi-gram-Ausgabe berichtet, ist die Resolution von der Abgeordneten Maria Badia i Cutchet, Berichterstatterin für Industrie, Forschung und Energie (ITRE) im EP, ausgearbeitet worden und beinhaltet auch die Ansichten der Ausschüsse für Internationalen Handel, für Binnenmarkt und Verbraucherschutz sowie des Rechtsausschusses.

Die parlamentarische Resolution ist nicht nur im Lichte der Mitteilung der Europäischen Kommission über das Internet der Dinge sowie der Stellungnahme des EDSB über den eingebauten Datenschutz zu sehen, sondern auch im Zusammenhang mit der Empfehlung der Kommission über RFID-Anwendungen und mit dem Vorschlag der Industrie über eine RFID-Folgenabschätzung, die bedauerlicherweise keine einziges spezifisches Risiko aufzeigt.

Vor diesem Hintergrund kann die Resolution als weiteres starkes Signal in Richtung der Europäischen Kommission gewertet werden, mit dem diese aufgefordert wird, unverzüglich und wirksam elementare Grundrechte der von RFID-Anwendungen und anderen IoT-Technologien betroffenen Personen zu schützen; und in Richtung der Hersteller und Betreiber von RFID-Anwendungen, ihre Verpflichtungen ernst zu nehmen und Privatsphäre und Datenschutzrechte für all jene effektiv sicherzustellen, die von ihren Produkten und Anwendungen betroffen sind.

Entschließung des Europäischen Parlaments vom 15. Juni 2010 zu dem Internet der Dinge (15.06.2010)

Communication to the European Parliament, the Council, the EESC and the Committee of the Regions: Internet of Things - An action plan for Europe (18.06.2009)

unwatched: EP, EDPS und EDRi über RFID und das Internet der Dinge (24.03.2010)

unwatched: Industrie schlägt Rahmen zur Privatsphären-Folgenabschätzung von RFID vor (19.05.2010)

Commission Recommendation on the implementation of privacy and data protection principles in applications supported by radio-frequency identification (12.05.2009)

(Ein Beitrag von Andreas Krisch - EDRi)