ENDitorial: Keine Zustimmung zur RFID-Folgenabschätzung der Industrie

Dieser Artikel ist auch verfügbar auf:
Englisch: ENDitorial: Industry RFID PIA: not endorsed in its current form

Am 13. Juli 2010 hat die Artikel 29 Datenschutzgruppe eine Stellungnahme zum Vorschlag der Industrie für eine Rahmenvereinbarung zur Folgenabschätzung von RFID-Anwendungen auf Privatsphäre und Datenschutz (Industry RFID PIA Framework) verabschiedet und ist zu dem Schluss gekommen, dass sie dem Vorschlag in seiner jetzigen Form nicht zustimmen kann. Eine weitere Stellungnahme zu dieser Rahmenvereinbarung von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) kommt in Bezug auf wesentliche Einwände und Verbesserungsvorschläge zum gleichen Ergebnis.

In ihrer Analyse streicht die Artikel 29 Arbeitsgruppe drei wesentliche Kritikpunkte hervor:

Zum einen verpflichtet das Industriepapier zur RFID-Folgenabschätzung den Betreiber von RFID-Anwendungen in keiner Phase dazu, die mit der Verwendung von RFID verbundenen Risiken in Bezug auf die Privatsphäre darzustellen oder aufzudecken. Es sei auch nicht möglich, zu beurteilen, ob die vom Betreiber vorgeschlagenen Maßnahmen angemessen oder im Hinblick auf die Risiken verhältnismäßig sind, weil diese Risiken im Vorfeld nicht aufgezeigt werden.

Zweitens weist die Artikel 29 Arbeitsgruppe im Bezug auf RFID-Tags, die eine eindeutige Seriennummer aufweisen (z.B. einen Elektronischen Produktcode, EPC), darauf hin, dass „wenn der Tag von einer Person getragen wird (…), und wenn der Tag eine eindeutige ID enthält, der Tag per definitionem personenbezogene Daten enthält“. Und dies sei der Fall, „ungeachtet der Tatsache, dass die 'soziale Identität' (Name, Adresse etc.) der Person unbekannt bleibt“.

Deswegen, so die Datenschutzarbeitsgruppe, ist es nicht ausreichend, nur zu überlegen, ob der Standort einer Person über die RFID-Anwendung festgestellt wird. Es ist auch von Bedeutung, das Risiko einer unautorisierten Erfassung außerhalb des Anwendungsbereichs abzuschätzen. Das Industriepapier zur RFID-Folgenabschätzung deckt diese Fragestellungen nicht eindeutig ab.

Drittens bezieht sich die Datenschutzarbeitsgruppe auf Artikel 11 und 12 der Empfehlung über RFID-Anwendungen im Einzelhandel, und stellt fest, dass diese Bestimmungen bedeuten, dass eine Deaktivierung am Ort des Verkaufs standardmäßig zu erfolgen hat, sofern die Folgenabschätzung nicht zu dem Schluss kommt, dass nicht deaktivierte Tags keine Gefahr für die Privatsphäre oder den Schutz personenbezogener Daten darstellen.

ENISA konzentriert sich in ihrer Stellungnahme auf den methodologischen Teil und stellt fest, dass „dieser Entwurf einen sehr guten Ansatzpunkt für die Einrichtung eines Rahmenwerks für eine RFID-Folgenabschätzung bietet“. Das von ENISA herausgearbeitete Hauptproblem ist aber, dass das Rahmenwerk „nicht auf einer geprüften und umfassenden methodologischen Basis beruht oder dieser folgt, wie etwa einem Risikomanagement oder einer Folgenabschätzungsmethodologie“. Infolge dieses gravierenden Mangels wirft ENISA eine Vielzahl von Fragen auf und gibt Empfehlungen, wie die Mängel behoben werden können.

In Übereinstimmung mit den Bedenken der Artikel 29 Arbeitsgruppe stellt auch ENISA fest, dass der vorgeschlagene Folgenabschätzungsprozess keine klaren Richtlinien zur Identifizierung der wesentlichen Risiken und Auswirkungen der RFID-Tags im Hinblick auf Privatsphäre und Datenschutz vorgibt.

Zusammen ergeben die Stellungnahmen der Datenschutzarbeitsgruppe und von ENISA einen wichtigen Beitrag zur laufenden Debatte über den Schutz der Privatsphäre und den Datenschutz im Bereich RFID in Europa. Eine Debatte, die im Mai 2009 mit der vielversprechenden RFID-Empfehlung der Europäischen Kommission einen Höhepunkt gefunden hat. Einen Teil dieser Empfehlung soll das Industriepapier zur RFID-Folgenabschätzung nun umsetzen.

Während es erfreulich ist zu sehen, wie verantwortungsvoll und unermüdlich die europäischen Datenschutz- und Netzsicherheitsorganisationen ihre Expertise im Sinne einer privatsphäre-freundlichen Entwicklung einbringen, ist es befremdlich, dass die Industrie – Jahre nach dem die RFID Datenschutz-Debatte in Gang gekommen ist – anscheinend noch immer kein volles Verständnis für bestimmte elementare Datenschutzgrundsätze (wie das Prinzip personenbezogener Daten) und für die damit verbundenen Verpflichtungen für RFID-Anwender aufbringt.

Aus diesem vermutlichen Mangel an Verständnis resultiert eine deutliche Verspätung bei der Umsetzung der RFID-Empfehlung, denn das Rahmenwerk zur Folgenabschätzung hätte zwölf Monate nach Verabschiedung der Empfehlung zur Verfügung stehen sollen. Heute, 14 Monate nachdem die Empfehlung verabschiedet worden ist, ist lediglich ein „Ansatzpunkt“ für ein solches Rahmenwerk vorhanden und – werden die Empfehlungen von ENISA und der Artikel 29 Gruppe ernst genommen und das bisherige Tempo beibehalten – ein Endergebnis in nächster Zukunft nicht abzusehen.

European Digital Rights und seine Mitglieder werden die nächsten Wochen dafür nutzen, die unbefriedigende Entwicklung zu analysieren und darüber beraten, wie sie am besten zur zeitgemäßen Entwicklung eines angemessenen Schutzes der Grundrechte auf Datenschutz und Privatsphäre im Bereich RFID beitragen können.

(Ein Beitrag von Andreas Krisch - EDRi)

Article 29 Working Party: Opinion 5/2010 on the Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications (13.07.2010)

ENISA: Opinion on the Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications of March 31, 2010 (July 2010)

Artikel-29-Datenschutzgruppe: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ (20.06.2007)

unwatched: Industrie schlägt Rahmen zur Privatsphären-Folgenabschätzung von RFID vor (19.05.2010)

Commission Recommendation on the implementation of privacy and data protection principles in applications supported by radio-frequency identification (12.05.2009)

unwatched: Europa-Parlament für klaren gesetzlichen Rahmen für das Internet der Dinge (30.06.2010)