Neue Datenschutz-Vorgaben zum Einsatz von RFID-Chips in Kraft

Die EU-Kommission hat eine Selbstverpflichtung der Wirtschaft zur Sicherung der Privatsphäre bei Funketiketten abgesegnet. Damit soll der Datenschutz möglichst von Anfang an in RFID-Chips im Einklang mit dem Konzept "Privacy by Design" integriert werden. Laut der Vereinbarung, die die für die Digitale Agenda zuständige Kommissarin Neelie Kroes am heutigen Mittwoch gemeinsam mit führenden Industrievertretern aus der EU und den USA sowie Vertretern der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) und Datenschützern unterzeichnet hat, sollen Unternehmen die Risiken für das informationelle Selbstbestimmungsrecht der Verbraucher durch RFID-Anwendungen umfassend bewerten und vor der Markteinführung minimieren.

Das "Privacy Impact Assessment Framework" (PDF-Datei) bietet anhand eines Entscheidungsbaums einen Rahmen zur Datenschutz-Folgenabschätzung der Funktechnik. Es soll Anwendern in der Industrie helfen, Auswirkungen auf die Privatsphäre der vielfach als Barcode-Ersatz verwendeten und auch bei elektronischen Bezahlverfahren, in Pässen oder auf Tickets eingesetzten kontaktlos auslesbaren Chips von Vornherein zu bedenken und technisch zu adressieren. Das Dokument beschreibt die Ziele und methodische Vorgehensweise eines "Privacy Impact Assessment" (PIA), die zu berücksichtigenden Teile einer RFID-Anwendung sowie die Struktur und den Inhalt von Überprüfungsberichten.

Kroes begrüßte, dass die vorab von der "Artikel-29"-Gruppe der EU-Datenschutzbeauftragten in einer Stellungnahme (PDF-Datei) befürworteten Leitlinien die Privatsphäre der Verbraucher "als zentralen Aspekt der RFID-Technologie" anerkennen und gewährleisteten, dass der Datenschutz vor dem Einsatz der Produkte berücksichtigt werde. Die Niederländerin lobte, dass die Industrie hier mit Verbrauchern, Datenschutzbehörden und anderen Gremien zusammenarbeite. Der PIA-Rahmen biete für die darauf bauenden Unternehmen Rechtssicherheit, dass sie Funketiketten den EU-Vorschriften zum Schutz der Privatsphäre entsprächen.

Sarah Spiekermann, Leiterin des Instituts für Betriebswirtschaftslehre und Wirtschaftsinformatik an der Wirtschaftsuniversität Wien, unterstrich, dass während der Verhandlungen "gänzlich verschiedene Sichtweisen europäischer und amerikanischer Unternehmen auf den Datenschutz" zutage getreten seien. Umso erfreulicher sei es, dass der finale Text dem Bedürfnis der EU-Bürger nach informationeller Selbstbestimmung Rechnung trage. Die beteiligten Firmen würden künftig mindestens sechs Wochen vor Markteinführung einer neuen Anwendung den Aufsichtsbehörden eine Datenschutzabschätzung übermitteln, versicherte Heinz Paul Bonn, Vizepräsident des Hightech-Verbands Bitkom. Die Privatsphäre zu sichern liege im Eigeninteresse der Wirtschaft. Die Technik werde nur flächendeckend akzeptiert, wenn Verbraucher ihr vertrauten.

Die Industrie setzt mit dem Selbstregulierungskodex die RFID-Datenschutzempfehlung der Kommission vom Mai 2009 um. Demnach müssen die Anwender von "Smart Tags" prüfen, ob und inwieweit personenbezogene Daten gespeichert und verarbeitet werden. Jüngst hatte der Bundesrat auf die Umsetzung der Hinweise aus Brüssel gedrängt. Nach Ansicht der Länder sollten Produkte mit Funkchips auch klar nach europaweit einheitlichen Standards gekennzeichnet und die Etiketten einfach deaktivierbar sein. (anw)