Startseite » EDRIgram, Nr. 6.4; 27. Februar 2008

Empfehlung der EU Kommission zu RFID Privatsphäre und Sicherheit veröffentlicht

1
Sa, 01/03/2008 - 18:05
[]

Die Europäische Kommission hat auf der Plattform „Ihre Stimme in Europa“ den Entwurf einer Empfehlung zu RFIDi Privatshpäre und Sicherheit zur öffentlichen Diskussion freigegeben.

Nach der öffentlichen Konsultation zu Datenschutzfragen bei RFIDi-Anwendungen 2006, einigen Konferenzen und zahlreichen Diskussionen zu dem Thema innerhalb der RFIDi-Expertengruppe gibt diese Veröffentlichung schließlich die Maßnahmen wieder, die die Kommission den Mitgliedsstaaten und Stakeholdern empfiehlt, um einen hohen Schutzstandard für die Privatsphäre und den Datenschutz im Zusammenhang mit RFIDi Anwendungen zu erreichen.

EDRi begrüßt diesen Entwurf, in dem zahlreiche wichtige Maßnahmen angeführt werden, wie die Empfehlung, dass sowohl RFIDi-Lesegeräte als auch RFIDi-gekennzeichnete Objekte mit einem eindeutigen Kennzeichen versehen werden sollen, mit dem das Vorhandensein von RFIDi-Tags oder Lesegeräten deutlich gemacht werden soll. Auch die Empfehlung vor dem Einsatz von RFIDi Anwendungen ein Privacy Impact Assessment (eine Abschätzung der Auswirkungen auf die Privatsphäre) durzuführen und Informationen über die Rahmenbedingungen des Einsatzes der Anwendung zu veröffentlichen, sind wichtige Maßnahmen, um den Einzelnen von der Präsenz und dem Zweck einer gegebenen RFIDi Anwendung zu informieren.

Im Zusammenhang mit der Anwendung von RFIDi im Handel unterscheidet die Kommission zwei Szenarien:
a) Wenn eine RFIDi-Anwendung persönliche Daten verarbeitet, oder wenn es wahrscheinlich ist, dass persönliche Daten erfasst werden, muss der Händler die Tags deaktivieren, vorausgesetzt der Kunde spricht sich nicht gegen die Deaktivierung aus.
b) Wenn die Anwendung keine persönlichen Daten verarbeitet und wenn es unwahrscheinlich ist, dass durch die Anwendung persönliche Daten generiert werden, muss der Händler nur die Möglichkeit zur Deaktivierung oder Entfernung des Tags anbieten.

Wie bereits in unseren Beiträgen zur RFIDi-Expertengruppe dargestellt, setzt sich EDRi vehement für ein Opt-In System ein, solange keine ausreichenden Mechanismen zur Verfügung stehen, um dem Einzelnen die volle Kontrolle über die RFIDi-Tags in seinem oder ihrem Besitz sowie über die darauf gespeicherten Daten zu übertragen.

Die Probleme mit den beiden von der Kommission unterschiedenen Handels-Szenarien bestehen darin, dass die Risiken für die Privatsphäre einerseits nicht nur von der jeweils untersuchten RFIDi-Anwendungen ausgehen, sondern von den eindeutigen Kennungen, die auf den Tags gespeichert werden, ebenso wie von der Tatsache, dass diese Kennungen von jeder RFIDi-Anwendung benutzt werden können, die eine eindeutige Kennung einer bestimmten Person sucht. Dieses Problem wird nicht notwendigerweise in dem für die jeweilige RFIDi-Anwendung durchgeführten Privacy Risk Assessment auftauchen.

Andererseits haben Erfahrungen gezeigt, dass Vertreter der Industrie und Anwendungsbetreiber sich oft mit der Erkennung von Bedrohungen der Privatsphäre und des Datenschutzes schwer tun. Besonders das Konzept von persönlichen Daten wird oft nicht ausreichend verstanden. Daher ist es nicht unwahrscheinlich, dass Anwendungsbetreiber die Probleme beim Datenschutz und der Privatsphäre gar nicht erkennen und es den Kunden zu überlassen, sich um die Deaktivierung oder Entfernung der Tags zu kümmern.

EDRi wird sich daher auch weiterhin für die Implementierung von verpflichtenden Auflagen zur Deaktivierung oder Entfernung von RFIDi-Tags einsetzen, solange keine ausreichenden technischen Maßnahmen vorhanden sind, die den betroffenen Personen die volle Kontrolle ihrer RFIDi-Tags erlauben.

Die Diskussion über RFIDi, Privatsphäre und Sicherheit wird sicherlich fortgesetzt werden, nicht nur in der RFIDi-Expertengruppe, sondern auch in der Öffentlichkeit und unter den Interessensvertretern. Aber nicht nur Diskussionen, sonder auch Verbesserungen sind gefordert, da die Kommission unmissverständlich ankündigt, dass die Umsetzung der Empfehlung innerhalb von drei Jahren evaluiert werden wird, mit besonderem Schwerpunkt auf Systeme „die die automatische Deaktivierung zum Zeitpunkt des Verkaufs bei allen Gegenständen ermöglichen, außer der Kunde hat sich ausdrücklich für die RFIDi-Anwendung ausgesprochen.“

Vorerst ist es aber wichtig, dass die Öffentlichkeit der Kommission ihre Meinung zu dem Empfehlungsentwurf mitteilt. Ob Zustimmung oder Kritik – Ihre Meinung ist gefragt!

Draft Recommendation on the implementation of privacy, data protection and information security principles in applications supported by Radio Frequency Identification (RFID): your opinion matters!

unwatched: RFID und Einverständniserklärung – Einsatz und Entfernung von RFID-Funktionalität (5.12.2007)

unwatched: Stellungnahme des Europäischen Datenschutzbeauftragten zu RFID (16.01.2008)

Article 29 Working Party: Opinion no. 4/2007 on the concept of personal data (20.06.2007)

(Beitrag von Andreas Krisch - EDRI-Mitglied VIBE!AT - Österreich)

‹ Deutschland: Neues Grundrecht auf Gewährleistung von Vertraulichkeit von Informationssystemennach obenMEP fordert die Kriminalisierung von Urheberrechtsverletzungen ›

Trackback URL für diesen Eintrag:

http://www.unwatched.org/trackback/884