EU-Empfehlung zu Funkchips

Der österreichische Experte Andreas Krisch über die Linie der EU zu Datenschutzproblemen bei RFID-Chips im Gespräch mit ORF.at. Die EU-Kommission hat gerade den Entwurf einer Empfehlung zur Kommentierung veröffentlicht.

Nach einer öffentlichen Anhörung zum Thema Datenschutz und Sicherheit beim Einsatz vom Funkchips [Radio Frequency Identification, RFIDs] hat die EU-Kommission Ende der vergangenen Woche den Entwurf einer Empfehlung ins Netz gestellt.

Interessierte haben die Möglichkeit, ihre Sicht zu den einzelnen Artikeln der Empfehlung online abzugeben [siehe Link unten].

Die Datenschutzproblematik

Am Entwurf beteiligt waren nicht nur Funkchiphersteller und Kommission, sondern auch beamtete Datenschützer und NGOs. Krisch ist als Vorstandsmitglied des europäischen Dachverbands European Digital Rights [EDRi] von Beginn an dabei.

Krisch sieht in der vorliegenden Empfehlung "eine Reihe sehr positiver Aspekte". Werden die EU-Auflagen, bei Funkchip-Anwendungen eine Art Datenschutz-Audit [Privacy Impact Assessment] durchzuführen, von der Industrie ernst genommen, könnte das wesentlich zur Entschärfung der Datenschutzproblematik beitragen.

So weit, so positiv

Die empfohlene Kennzeichnung von RFID-Lesebereichen [Art. 5] und RFID-gekennzeichneten Produkten [Art. 7] und Information über Umfang und Zweck der Datenverarbeitung sei ebenfalls positiv zu sehen, so Krisch, da sie mehr Transparenz verspreche.

So weit, so positiv. Doch die EU-Empfehlung habe auch ihre Schattenseiten, so der österreichische Experte weiter, vor allem ihre Unverbindlichkeit. Ob "Selbstregulierung durch unverbindliche Codes of Conduct" wie in Artikel 4 beschrieben funktionieren werde, sei zu bezweifeln.

Gefahrenpotenzial nicht richtig eingeschätzt

Die RFID-Industrie habe nach wie vor sichtlich Schwierigkeiten, "Verständnis für das Konzept der personenbezogenen Daten zu entwickeln".

Damit werde das Gefahrenpotenzial des RFID-Einsatzes für die Privatsphäre nicht richtig eingeschätzt. Wiederholte Äußerungen von Industrievertretern in den Arbeitsgruppen hätten das hinlänglich gezeigt.

Jedermann liest mit

Die Gefährdung besteht darin, dass die Daten auf den Funkchips von jedermann bis zu einer bestimmten Distanz ausgelesen werden können.

Bei diesen RFIDs handelt es sich nämlich nicht um denselben Chiptyp, wie er etwa in den neuen Reisepässen zum Einsatz kommt.

"Contactless Smart Cards"

Dort werden "Proximity Chips" benutzt, die aus nächster Nähe eingelesen werden, weshalb die Hersteller den Begriff "Contactless Smart Cards" vorziehen.

Hier wird wechselweise authentifiziert, der Datenverkehr zwischen Lesegerät und Pass-Chip spielt sich verschlüsselt ab. Den für diese Rechenvorgänge benötigten Strom erhält der Chip vom Lesegerät durch Magnetinduktion.

Kurzwellensender

RFIDs oder auch "Vicinity Chips", wie sie in Fabrikation und Logistik längst erfolgreich im Einsatz sind, sind einfacher gebaut. Werden sie durch ein Funksignal angestrahlt, reflektieren sie die jeweils gespeicherten Daten für jeden, der die richtige Frequenz verwendet.

Und die ist überhaupt nicht schwer herauszufinden, da in der Regel rund um 13,65 MHz [Kurzwelle] gesendet und empfangen wird.

Markenpiraterie, Garantie

Da derartige Chips, deren unverschlüsselte Information auch aus Distanzen im zweistelligen Meterbereich problemlos ausgelesen werden kann, in Zukunft Barcodes bei höherwertigen Produkten ersetzen sollen, liegt die Frage nahe, wer die enthaltenen Informationen kontrolliert.

Vor allem dann gilt das, wenn Funkchips - wie geplant - in allen denkbaren Produkten als Schutz gegen Markenpiraterie und für Garantieleistungen eingebaut werden.

RFIDs, Euro-Banknoten

Kurz aufgekommene Überlegungen in der EU, Funkchips in Euro-Banknoten für mehr Sicherheit gegen Fälschungen zu integrieren, wurden vor mehreren Jahren ebenso schnell wieder verworfen.

Die Frage war nämlich: Soll jedermann, der über ein technisch triviales Analoggerät - einen kleinen Kurzwellensender/-empfänger - verfügt, ermöglicht werden, unbemerkt zu registrieren, wer im Umkreis wie viele Geldscheine eingesteckt hat?

Die Empfehlung der Kommission

"Draft Recommendation on the implementation of privacy, data protection and information security principles in applications supported by Radio Frequency Identification (RFID): your opinion matters!"

• Das EU-Formular zu RFIDs

• RFID-Kontrolle am Strand

• Funkchip-Boom in der Steiermark

• Funkchips: Mehr Absatz, weniger Schwund

Kontrolle durch den Eigentümer

"Grundsätzlich ist zu sagen, dass eine Lösung der Privatsphären-Problematik von RFID wohl nur dadurch erreicht werden kann, dass der Einzelne, sobald ein RFID-Tag in seinen Besitz kommt - das schließt auch die Miete von Produkten ein -, die volle Kontrolle über den Chip erlangt", sagte Krisch am Montag zu ORF.at.

Der Europäische Datenschutzbeauftragte Peter Hustinx hatte sich im Dezember 2007 dafür ausgesprochen, dass Funkchips am "Point of Sale" generell deaktiviert werden, es sei denn, der Käufer wurde über die Risiken informiert und entscheidet sich bewusst dafür, den Chip aktiv zu lassen.

Die Selbstverpflichtung

Es komme nun darauf an, sagt Krisch, wie die Praxis der RFID-Industrie aussehen werde, denn nicht nur die betreffe die Selbstverpflichtung.

Die EU-Kommission habe sich nämlich auferlegt, "eine Evaluierung der getroffenen Maßnahmen durchzuführen. Man darf also getrost erwarten, dass bei einer mangelhaften Reaktion auf diese Empfehlung mit verbindlicheren Instrumenten als einer bloßen Empfehlung zu rechnen ist."

Krisch ist Vorstandsmitglied von European Digital Rights [EDRi] und Mitglied des österreichischen Vereins der Internet-Benutzer Vibe!at. Krisch editiert auch die deutschsprachige Ausgabe des zweiwöchentlichen Newsletters EDRi-gram.

• Unwatched.org

(Futurezone | Erich Moechel)