Datenschutzregeln für Funkchipsysteme

Nach dem Willen der EU-Kommission hätte das Datenschutzfolgen-Einschätzungsrahmenwerk für Funkchipsysteme bereits seit zwei Monaten fertig sein sollen, doch davon ist es noch weit entfernt. Die Kommission hatte der Industrie den Vortritt gelassen, um es zuerst mit einer Art Selbstregulation durch die Branche zu versuchen. Nach Ansicht von Datenschützern ist dieser Ansatz gründlich gescheitert.

Die Funkchipindustrie hatte zwar Ende März einen Entwurf für eine solche Datenschutzfolgenabschätzung (PIA: Privacy impact assessment) vorgelegt. Diese selbst verordneteten Richtlinien wurden nacheinander von der Europäischen Agentur für Netzwerksicherheit (ENISA) und aktuell auch von der Artikel-29-Arbeitsgruppe der EU-Datenschützer zerlegt und scharf kritisiert.

Die ENISA attestiert dem Entwurf, der zum Zeitpunkt dieses Attests bereits hätte verabschiedet sein sollen, er stelle "einen sehr guten Ausgangspunkt für eine Folgenabschätzung" dar. Dieses diplomatisch formulierte Armutszeugnis fußt auf drei Hauptkritikpunkten, die sowohl die Vertreter der nationalen EU-Datenschutzbehörden (Artikel-29-Gruppe) wie auch die Netzwerksicherheitsexperten der ENISA angeführt haben.

Mehr zum Thema:

Von der Nachschublogistik für indische Kohlekraftwerke bis zu den Gabelstaplern eines Sägewerks in Virginia steuern datenbankgestützte Netze aus Sensoren zur Funkidentifikation weltweit immer mehr Infrastruktureinrichtungen. Dieselbe Technologie kommt in US-Casinos wie im Afghanistan-Krieg massiv zum Einsatz. 5,6 Milliarden Dollar werden 2010 weltweit umgesetzt.

• Die heimliche Invasion der Funkchips

Keine Methodik

Der Entwurf folge keiner erprobten und umfassenden Methodik, etwa einem Schema für Risikomanagement und Folgenabschätzung. Auf dieser gravierenden Unzulänglichkeit seien eine ganze Reihe von Folgeproblemen durch die ENISA festgestellt worden. Es gebe keinen klaren Richtlinien, um die wichtigsten Datenschutzrisiken zu identifizieren, heißt es seitens der Artikel-29-Gruppe. Wenn die Risiken aber nicht bekannt seien, lasse sich auch nicht beurteilen, ob die Datenschutzmaßnahmen des Betreibers ausreichend seien.

Gleichsam nebenbei legten die Datenschützer noch einmal die Parameter im Umgang mit vernetzten RFID-Systemen fest. Wenn eine Person einen Funkchip mit einer eigenen, einzigartigen Nummer mit sich führe, dann handle es sich bei dieser Zahlenfolge um personenbezogene Daten, auch wenn weder Name noch Adresse der betreffenden Person bekannt sei.

Diese bedeutsame Klarstellung trägt der Funktionsweise von RFID-Systemen Rechnung, die ja tatsächlich ein Netz aus Datenbanken darstellen, die Funkchips selbst arbeiten dabei nur als Sensoren. Ihre Aufgabe besteht lediglich darin, ihre Träger - Menschen wie Objekte - durch eine zugeordnete einzigartige Nummer unterscheidbar, damit identifizierbar und mit einem Datensatz verknüpfbar zu machen.

Mehr zum Thema:

In einem Bericht der ENISA über Risiken von RFID-Kontrollsystemen im Flugverkehr wird vor der Datensammelwut gewarnt. Die elektronische Identifizierung von Gegenständen, Reisenden und Angestellten erzeuge "eine zunehmende konstante Interaktion zwischen Smart Devices."

• Risikobericht über RFID & Co. auf Flughäfen

Deaktivierung an der Kassa

Aus dieser Klarstellung ergibt sich in Folge, dass Funkchipsysteme mit einer Standardwerkseinstellung ausgeliefert werden müssen: Auf dem Verkaufspunkt, also den Kassen von Supermärkten und Geschäften aller Art sind die Chips zu deaktivieren. Nur wenn eine Folgenabschätzung ergeben habe, dass sie den Datenschutz nicht gefährden, könne das unterbleiben, betonen die Datenschützer.

Diese Vorgabe war in den Empfehlungen der von der Kommission 2007 eingesetzten RFID-Expertengruppe enthalten, Rechnung getragen wurde ihr im Entwurf der RFID-Industrie nicht.

• Draft Privacy and Data Protection Impact Assessment framework for RFID applications"

• Stellungnahme der Artikel-29-Gruppe

• Stellungnahme der ENISA

• Stellungnahme von EDRi zum Thema

Mangelndes Risikobewusstsein

"Damit wird die Umsetzung der Kommissionsempfehlung massiv verzögert", ärgert sich Andreas Krisch, Vorsitzender des Bürgerrechtsdachverband European Digital Rights (EDRi) im Gespräch mit ORF.at. Durch diese Verschleppungstaktik der Funkchipindustrie werde es bis zur Umsetzung nach Ansicht von Krisch, der seit 2007 in den RFID-Expertengruppen der Kommission vertreten ist. noch mindestens sechs bis zwölf Monate dauern: "Und das, während EU-weit täglich neue RFID-Systeme in Betrieb genommen werden und eine potenzielle Gefährdung darstellen."

Die Industrie habe nach so vielen Jahren der Diskussion über das Thema Datenschutz bei RFID-Systemen offenbar noch immer Schwierigkeiten, zu erkennen, welche Verpflichtungen sich für Betreiber von vernetzten RFID-Systemen ergeben, sagte Krisch abschließend,

(futurezone/Erich Moechel)