Selbstregulierung reicht nicht aus bei RFID

Selbstregulierung alleine genügt nicht, um mögliche Datenschutzprobleme von Radio Frequency Identitification (RFID) in den Griff zu bekommen. Das teilte der europäische Datenschutzbeauftragte Peter Hustinx in einer Stellungnahme zur RFID-Mitteiltung der EU-Kommission mit. "RFID-Systeme können eine Schlüsselrolle bei der Entwicklung der europäischen Informationsgesellschaft spielen. Eine breite Akzeptanz von RFID-Technologien sollte allerdings durch die Vorteile einer konsistenten Absicherung des Datenschutz erleichtert werden", so Hustinx in einer Pressemitteilung. Datenschutz und Privatsphäre müssten durch rechtliche Instrumente gesichert werden.

Konkret empfahl Hustinx klare Richtlinien, wie der bestehende rechtliche Rahmen auf die RFID-Welt anzuwenden sei. Diese sollten in Absprache mit den relevanten Interessengruppen formuliert werden. Für den Fall, dass der bestehende Rechtsrahmen bei zentralen Nutzungsfragen nicht ausreiche, müsse es eigene Gesetze in der Gemeinschaft geben. Die Kommission könne dazu ein Konsultationsdokument zum Für und Wider solcher neuen Regelungen vorbereiten, empfiehlt Hustinx.

Der Datenschutzbeauftragte befürchtet, dass Gefahren von RFID-Systeme außer Acht gelassen werden könnten, da sie auf den ersten Blick keine persönlichen Daten verarbeiten. Klar ist für ihn, dass das Opt-In-Prinzips generell gelten müsse, womit der Kunde bei jedem bewußten oder unbewußten RFID-"Einkauf zu fragen sei, ob sie mit der Datenverarbeitung einverstanden ist.

Laut Hustinx man man die europäische Netzsicherheitsbehörde ENISA mit der Identifizierung besonders datenschutzfreundlicher Technologien beauftragen. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich veröffentlichten technischen Richtlinien zu RFID seien ein gutes Beispiel.

Hustinx sieht fünf Hauptrisiken für die informationelle Selbstbestimmung und den Datenschutz. So könnten RFID-Tags heute zur Identifizierung des Individuums dienen, worauf man mit Blick auf den Datenschutz reagieren müsse. Zweitens müsse der Wechsel der die Daten verarbeitenden Stellen bedacht und in klare Regeln gefasst werden. Während der Lebenszeit eines Tags können die Daten mehrfach von einer datenverarbeitenden Stelle zur nächsten weitergereicht werden. Hier sei es wichtig, zu klären, wer jeweils die Verantwortung für die Daten und deren Schutz trägt.

Das Verschwimmen von öffentlicher und Privatsphäre nennt Hustinx als drittes Problem. Die Funktechnologie wirft spezielle Sicherheitsfragen auf, technologische Lösungen leiden am Kostendruck der kleinen, billigen Chips. Daher müssten zusätzliche Sicherheitsanforderungen Standard werden. Schließlich sei die mangelnde Transparenz ein erhebliches Problem, da RFID das unbemerkte Sammeln und Verarbeiten von Daten erlaube.

Nicht zuletzt spricht Hustinx auch die Frage der Regelung von Referenzdatenbanken in Drittländern außerhalb der EU an. Wenn solche Datenbanken nicht mehr dem EU-Recht unterliegen, könne dies eine Erosion bestehender EU-Datenschutzregeln bedeuten. Der Industrieverband EPC Global hat den Betrieb ihrer Referenzdatenbank für RFID-Tags etwa an das US-Unternehmen VeriSign vergeben. (Monika Ermert) (nij)