Direkt zum Inhalt

Empfehlung der EU Kommission zu RFID Privatsphäre und Sicherheit veröffentlicht

Verfasst von sac am 1. März 2008 - 18:05

Die Europäische Kommission hat auf der Plattform „Ihre Stimme in Europa“ den Entwurf einer Empfehlung zu RFID Privatshpäre und Sicherheit zur öffentlichen Diskussion freigegeben.

Nach der öffentlichen Konsultation zu Datenschutzfragen bei RFID-Anwendungen 2006, einigen Konferenzen und zahlreichen Diskussionen zu dem Thema innerhalb der RFID-Expertengruppe gibt diese Veröffentlichung schließlich die Maßnahmen wieder, die die Kommission den Mitgliedsstaaten und Stakeholdern empfiehlt, um einen hohen Schutzstandard für die Privatsphäre und den Datenschutz im Zusammenhang mit RFID Anwendungen zu erreichen.

EDRi begrüßt diesen Entwurf, in dem zahlreiche wichtige Maßnahmen angeführt werden, wie die Empfehlung, dass sowohl RFID-Lesegeräte als auch RFID-gekennzeichnete Objekte mit einem eindeutigen Kennzeichen versehen werden sollen, mit dem das Vorhandensein von RFID-Tags oder Lesegeräten deutlich gemacht werden soll. Auch die Empfehlung vor dem Einsatz von RFID Anwendungen ein Privacy Impact Assessment (eine Abschätzung der Auswirkungen auf die Privatsphäre) durzuführen und Informationen über die Rahmenbedingungen des Einsatzes der Anwendung zu veröffentlichen, sind wichtige Maßnahmen, um den Einzelnen von der Präsenz und dem Zweck einer gegebenen RFID Anwendung zu informieren.

Im Zusammenhang mit der Anwendung von RFID im Handel unterscheidet die Kommission zwei Szenarien:
a) Wenn eine RFID-Anwendung persönliche Daten verarbeitet, oder wenn es wahrscheinlich ist, dass persönliche Daten erfasst werden, muss der Händler die Tags deaktivieren, vorausgesetzt der Kunde spricht sich nicht gegen die Deaktivierung aus.
b) Wenn die Anwendung keine persönlichen Daten verarbeitet und wenn es unwahrscheinlich ist, dass durch die Anwendung persönliche Daten generiert werden, muss der Händler nur die Möglichkeit zur Deaktivierung oder Entfernung des Tags anbieten.

Wie bereits in unseren Beiträgen zur RFID-Expertengruppe dargestellt, setzt sich EDRi vehement für ein Opt-In System ein, solange keine ausreichenden Mechanismen zur Verfügung stehen, um dem Einzelnen die volle Kontrolle über die RFID-Tags in seinem oder ihrem Besitz sowie über die darauf gespeicherten Daten zu übertragen.

Die Probleme mit den beiden von der Kommission unterschiedenen Handels-Szenarien bestehen darin, dass die Risiken für die Privatsphäre einerseits nicht nur von der jeweils untersuchten RFID-Anwendungen ausgehen, sondern von den eindeutigen Kennungen, die auf den Tags gespeichert werden, ebenso wie von der Tatsache, dass diese Kennungen von jeder RFID-Anwendung benutzt werden können, die eine eindeutige Kennung einer bestimmten Person sucht. Dieses Problem wird nicht notwendigerweise in dem für die jeweilige RFID-Anwendung durchgeführten Privacy Risk Assessment auftauchen.

Andererseits haben Erfahrungen gezeigt, dass Vertreter der Industrie und Anwendungsbetreiber sich oft mit der Erkennung von Bedrohungen der Privatsphäre und des Datenschutzes schwer tun. Besonders das Konzept von persönlichen Daten wird oft nicht ausreichend verstanden. Daher ist es nicht unwahrscheinlich, dass Anwendungsbetreiber die Probleme beim Datenschutz und der Privatsphäre gar nicht erkennen und es den Kunden zu überlassen, sich um die Deaktivierung oder Entfernung der Tags zu kümmern.

EDRi wird sich daher auch weiterhin für die Implementierung von verpflichtenden Auflagen zur Deaktivierung oder Entfernung von RFID-Tags einsetzen, solange keine ausreichenden technischen Maßnahmen vorhanden sind, die den betroffenen Personen die volle Kontrolle ihrer RFID-Tags erlauben.

Die Diskussion über RFID, Privatsphäre und Sicherheit wird sicherlich fortgesetzt werden, nicht nur in der RFID-Expertengruppe, sondern auch in der Öffentlichkeit und unter den Interessensvertretern. Aber nicht nur Diskussionen, sonder auch Verbesserungen sind gefordert, da die Kommission unmissverständlich ankündigt, dass die Umsetzung der Empfehlung innerhalb von drei Jahren evaluiert werden wird, mit besonderem Schwerpunkt auf Systeme „die die automatische Deaktivierung zum Zeitpunkt des Verkaufs bei allen Gegenständen ermöglichen, außer der Kunde hat sich ausdrücklich für die RFID-Anwendung ausgesprochen.“

Vorerst ist es aber wichtig, dass die Öffentlichkeit der Kommission ihre Meinung zu dem Empfehlungsentwurf mitteilt. Ob Zustimmung oder Kritik – Ihre Meinung ist gefragt!

Draft Recommendation on the implementation of privacy, data protection and information security principles in applications supported by Radio Frequency Identification (RFID): your opinion matters!

unwatched: RFID und Einverständniserklärung – Einsatz und Entfernung von RFID-Funktionalität (5.12.2007)

unwatched: Stellungnahme des Europäischen Datenschutzbeauftragten zu RFID (16.01.2008)

Article 29 Working Party: Opinion no. 4/2007 on the concept of personal data (20.06.2007)

(Beitrag von Andreas Krisch - EDRI-Mitglied VIBE!AT - Österreich)

  • MeinVZ
  • del.icio.us
  • Digg
  • Facebook
  • Furl
  • identi.ca
  • Mister Wong
  • SlashDot
  • StumbleUpon
  • Twitter
FlattrFlattr? Online-Abo Artikel ... Feedback | Fehler melden