Datenschutz eines der Hauptthemen bei EU-Konferenz zum Internet der Dinge

Entpuppen sich in Objekte integrierte RFID-Tags eines Tages als Albtraum für den Datenschutz? Bei der EU-Konferenz zum Internet der Zukunft stand der Datenschutz auf jeden Fall weit oben auf der Liste der anstehenden Regulierungsfragen.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

Bäume, die den Termin des letzten Schnitts preisgeben, Fahrzeuge, die sich per SMS beim Automieter anmelden, und verdorbenes Fleisch, das gezielt aus dem Kühllager zurückgerufen werden kann – das sind einige Möglichkeiten des sogenannten Internet der Dinge, wie sie viele Unternehmensvertreter anführen. Aber können die in Objekte "eingewobenen" RFID-Tags auch zum Albtraum für den Datenschutz werden? Bei der EU-Konferenz zum Internet der Zukunft stand der Datenschutz auf jeden Fall oben auf der Liste der anstehenden Regulierungsfragen. "Wenn wir jetzt nicht handeln, ist es zu spät", verdeutlicht der EU-Datenschutzbeauftragte Peter Hustinx.

Zwar gelten den Experten die bislang vor allem im Bereich der Logistik verwirklichten Modelle, die lediglich in geschlossenen Netzen Daten weiterreichen, als datenschutzrechtlich überschaubar – aber wenn Nutzer durch einen Kauf oder etwa beim Busfahren Spuren hinterlassen, bekommt die Technik eine andere Tragweite. Mehrere Dinge müssen laut Hustinx deshalb auf jeden Fall angepackt werden. So müsse etwa in den komplexen Transaktionsketten des Internet der Dinge die Verantwortlichkeit des Dienstleisters klar gegenüber dem Kunden festgehalten werden. "Eine vielfache Verantwortung aller Beteiligten in der Kette ist gleichbedeutend mit keiner Verantwortlichkeit," erklärt Hustinx. Dafür müssten eigenen Regeln her. Der Provider müsse auch die Verantwortung für die Einhaltung der Datenschutzbestimmungen weiter hinten in der Transaktionskette übernehmen. Eine Bank, die Online-Dienste anbietet, müsste also auch für das Datenschutzniveau beim Netzprovider einstehen, so die Idee.

"Zweitens: Auch wenn die klassischen Datenschutzprinzipien sehr sinnvoll sind, müssen wir die Transparenz auf jeden Fall schärfen", sagt Hustinx. Klare Opt-Out-Möglichkeiten für die Nutzer hatte bereits am ersten Konferenztag der französische Staatssekretär für die Digitale Wirtschaft, Eric Besson gefordert. An beiden Tagen gab es eine lebhafte Diskussion darüber, ob Nutzern die Möglichkeit eingeräumt werden muss, RFID-Tags deaktivieren zu können. "Meine persönliche Meinung ist, es wäre falsch, die Tags grundsätzlich zu deaktivieren," sagte Konferenzorganisator Bernard Benhamou vom französischen Forschungsministerium. Viola Schmid von der technischen Universität Darmstadt nannte die Deaktivierung von Tags den umstrittensten Aspekt in der von der Industrie intensiv geführten Datenschutzdebatte.

Datenschutz müsse ein genuiner Bestandteil der noch zu gestaltenden Systeme sein, lautet Hustinx' Antwort auf solche Debatten. Ein Blick in die Historie zeige, dass Anstrengungen, Datenschutz nachträglich in bereits designte Systeme zu integrieren, praktisch immer gescheitert seien. Durch die frühe Debatte und eine große öffentliche Aufmerksamkeit hoffen die Datenschützer, dass der "Code" dieses Mal die entsprechenden Werte gleich adressiert.

Auch bei der EU-Kommission zeigt man Flagge: "Mit RFID haben wir ein neue Gefahr für ein Profiling von Individuen", warnt Michael Niebel von der Generaldirektion für Medien und die Informationsgesellschaft. Bei der Kommission sieht man hier auch die dringende Notwendigkeit zur internationalen Zusammenarbeit. Man kenne seit langem die Probleme unterschiedlicher Datenschutzstandards. Wenn man hier nicht mit anderen Ländern und Regionen zusammenarbeite, werde ein Austausch von Daten über Grenzen hinweg praktisch unmöglich. Die Gesetze zu RFID und dem Internet der Dinge weltweit ergäben derzeit einen regelrechten Flickenteppich. In 25 Ländern, so Schmid, seien Einzelgesetze zu verschiedenen Aspekten verabschiedet worden, jüngst erst vom kalifornischen Gouverneur Arnold Schwarzenegger.

Hustinx lobte, dass die EU sich mit der laufenden Überarbeitung der e-Privacy-Direktive auch mit einem Update der eigenen Regeln befasse. "Ein Update ist gut. Aber wenn wir nicht erst die bestehenden Regeln besser durchsetzen, haben wir schon versagt." Möglicherweise habe man den Datenschutz in den vergangenen Jahren allzu legalistisch betrieben, so Hustinx. Es reiche eben nicht, einen Datenschutzbeauftragten zu haben, wenn dieser nicht Hand in Hand mit den Strategen fürs Geschäft, den IT-Fachleuten und Juristen zusammenarbeite. Die jüngsten Vorfälle etwa bei der Deutschen Telekom zeigten, "dass die Leute das nicht ernst genommen haben". Hustinx geht davon aus, dass die Vorkommnisse bei der Deutschen Telekom kein Einzelfall sind. (Monika Ermert ) / (pmz)