Neues EU-Framework zum Datenschutz bei RFID
Die RFID-Chiptechnologie und ihre Verwendung durch die europäischen Mitgliedsstaaten war in den letzten Tagen in aller Munde: Das „Privacy Impact Assessment Framework“ (PIA) wurde zur Regulierung der RFID-Technik ausgehandelt. Neelie Kroes, die Kommissarin für die Digitale Agenda hat dieses Abkommen zur „RFID-Datenschutz-Folgenabschätzung” nun gemeinsam mit Industrievertretern aus Europa und den USA unterzeichnet.
RFID – die berührungslose Datenübertragung
RFID ist eine Technik, die ohne Berührung Daten überträgt. „Radio-Frequency Identification“ bedeutet so viel wie „Identifizierung mit Hilfe elektromagnetischer Wellen“. RFID ermöglicht die automatische Identifizierung und Lokalisierung von Gegenständen und Lebewesen.
Ein RFID-Chip besteht aus einem Transponder, der sich am – teilweise auch im – Gegenstand befindet und einen kennzeichnenden Code enthält. Mit Hilfe eines Lesegeräts kann dieser Code ausgelesen und identifiziert werden. Die Kopplung geschieht durch vom Lesegerät erzeugte magnetische Wechselfelder oder durch Radiowellen. RFID-Chips sind in vielen Fällen winzig klein, so dass sie auch in winzigen Gegenständen verbaut werden können – sie lassen sich sogar implantieren. Meist werden sie aber bei elektronischen Bezahlverfahren und in Pässen eingesetzt. Auch bei der Fußball-WM 2006 in Deutschland wurden die Tickets mit RFID-Chips ausgestattet. In letzter Zeit werden die Chips auch als Barcode-Ersatz auf Waren oder Verpackungen verwendet.
Ein Wunder der Technik – bei Datenschützern unbeliebt
Dass RFID sich bei Datenschützern nicht gerade großer Beliebtheit erfreut, verwundert nicht. Personenbezogene Daten können mit Hilfe des Chips viel schneller und leichter ausgelesen werden, als das bei herkömmlichen Datenträgern der Fall wäre, die eine physikalische Verbindung mit dem Lesegerät erfordern. Zudem brauchen sog. passive RFID-Chips keine Stromversorgung: Man kann Sie quasi überall verbauen. Auch an Orten, wo man sie nicht erwarten würde.
Ein denkbares Szenario: Eine Person wird mit einem Transponder ausgestattet, z.B. am Mitarbeiterausweis. Über den RFID-Chip wird heimlich ausgelesen, wo diese Person sich gerade aufhält oder wie ihr Arbeitsverhalten ist. Und auch bei Ausweisdokumenten, die mit RFID-Chips ausgestattet sind, gibt es datenschutzrechtliche Probleme: in Deutschland werden seit 2004 Reisepässe und seit 2009 Personalausweise mit RFID-Chips ausgestattet. Bringt man ein RFID-Lesegerät nah genug an den Ausweis heran, ist es möglich, den Chip in dem Ausweis berührungslos per Funk auszulesen. Gelingt es Datendieben, die Verschlüsselung des Chips zu knacken, können sie Daten ohne Wissen und Einwilligung des Besitzers des Dokuments verwenden.
Das neue Rahmenwerk soll Rechtsklarheit und Transparenz schaffen
Das „Privacy Impact Assessment Framework” wurde in monatelangen Verhandlungen von europäischen Verbänden, Unternehmen und Datenschützern erarbeitet. Schon 2006 hatte die EU-Kommission eine öffentliche Konsultation zur Datenschutzproblematik beim RFID-Einsatz durchgeführt. Damals wurden auch in der Bevölkerung erhebliche Bedenken festgestellt. Drei Jahre später hatte die EU-Kommission dann Empfehlungen für den datenschutzfreundlichen Einsatz von RFID-Chips gegeben. Unter anderem wurde empfohlen, den Verbraucher darüber zu informieren, welche Artikel in den Geschäften mit RFID-Chips ausgestattet sind; Einzelhandelsverbände und -organisationen sollten die Verbraucher durch ein europaweit einheitliches Zeichen über die Präsenz von RFID-Chips an Produkten informieren.
In dem nun erstellten Abkommen verpflichten sich Unternehmen, vor dem Einsatz von RFID ein Prüfungsverfahren (PIA – Privacy Impact Assessment) zu durchlaufen und für die Datenschutzbehörden zu dokumentieren. Das PIA wird den Datenschutzbehörden sechs Wochen vor der Markteinführung eines neuen Verfahrens zur Prüfung übermittelt. Das Rahmenwerk gibt zudem eine Anleitung für Unternehmen, wie detailliert ein PIA für eine neue Anwendung ausfallen muss und welchen Inhalt ein Bericht haben muss.
Wie bereits bei den Geodatendiensten, bei denen ebenfalls eine Selbstverpflichtung der Wirtschaft unterzeichnet wurde, bleibt auch hier abzuwarten, inwieweit diese Verpflichtung umgesetzt wird. Gerade bei dem sensiblen Thema RFID wird die Öffentlichkeit ganz genau hinsehen. Ein erster Schritt in die richtige Richtung ist mit dem ausführlichen Rahmenwerk in jedem Fall getan.
