RFID-Chips und der Schutz der Privatsphäre
Gesetze werden verabschiedet, auf öffentlichen Veranstaltungen wird das Thema heiß diskutiert und die Gegner der Überwachungstechnik melden sich energisch zu Wort. Eine Technologie, die weltweit bereits millionenfach zum allgemeinen Vorteil eingesetzt wird, sorgt jetzt für Schlagzeilen – weil besorgte Bürger um ihre Privatsphäre fürchten.
Für den Endverbraucher bringen die RFID-Chips handfeste Vorteile. Die Einkäufe im Einzelhandel sind komfortabler und die Kontrollen auf Flughäfen und auf mautpflichtigen Straßen werden beschleunigt. Handels- und Industriefirmen können mit den Funkchips die Daten aus Lagerhäusern, Einzelhandelsgeschäften und sogar auf Ölplattformen bequem mit tragbaren Lesegeräten erfassen.
Datenschutzrechtlich sind die meisten aktuellen RFID-Anwendungen unproblematisch. Der RFID-Hersteller HID hat bereits über 250 Millionen Zugriffsberechtigungen an Kunden auf der ganzen Welt ausgeliefert und von keinem einzigen Verstoß gegen Datenschutzauflagen erfahren.
Dennoch wirft der geplante Einsatz der RFID-Chips einige Fragen auf.
Dabei geht es hauptsächlich um folgende Missbrauchsmöglichkeiten:
• Überwachung von Personen
• Erfassung der Gewohnheiten von Verbrauchern
• Verwendung von Informationen zu anderen als den angegebenen Zwecken
• Identitätsdiebstahl
Hersteller, Einzelhändler, Behörden und andere Anwender von RFID-Technik setzen sich mit diesen berechtigten Befürchtungen auseinander. Sie prüfen die Problemlage und entwickeln Lösungen und Richtlinien, die einen breiten Einsatz der Technik bei gleichzeitigem Schutz der Privatsphäre ermöglichen.
Europäische Kommission sucht den öffentlichen Diskurs
Vivian Reding, EU-Kommissarin für die Informationsgesellschaft und die Medien, wies auf der letzten CeBIT darauf hin, wie wichtig es sei, „das richtige Verhältnis zwischen dem Schutz der Privatsphäre und dem Interesse der Öffentlichkeit zu finden.“
Reding kündigte auf der CeBIT eine Reihe von öffentlichen Workshops an, auf denen die datenschutzrechtlichen Aspekte der RFID-Technik erörtert werden sollen. Die Veranstaltungen werden im Juni stattfinden.
Neben der Europäischen Kommission hat auch die Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Richtlinien zum Schutz der Privatsphäre und für die grenzüberschreitende Übermittlung personenbezogener Daten veröffentlicht. Die Richtlinien wurden zwar nicht speziell für RFID entwickelt, sind aber sehr gut als Vorlage für RFID-spezifische Datenschutzauflagen geeignet.
Die OECD-Beschreibung der gespeicherten Daten ist interessant und kann auch auf die personenbezogenen Daten in RFID-Systemen angewendet werden:
• „Persönliche Daten dürfen nur zu den angegebenen Zwecken veröffentlicht, bereitgestellt oder auf andere Weise verwendet werden … Ausnahmen sind nur mit Zustimmung des Betroffenen oder des Gesetzgebers zulässig.“
• „Persönliche Daten sind mit zumutbaren Sicherheitsmaßnahmen vor Verlust, unbefugten Zugriffen, Zerstörung, Verwendung, Veränderung oder Veröffentlichung und anderen Risiken zu schützen.“
Die Richtlinien können, so die OECD, zur Harmonisierung der nationalen Gesetzgebung beitragen und so auch den störungsfreien Fluss internationaler Datenströme gewährleisten.
Das bekannteste Beispiel für diese internationalen Datenströme sind Reisepässe. Weltweit setzt sich der „e-Pass“ immer stärker durch. Neuseeland und Australien haben ihn bereits eingeführt und in Singapur müssen alle Flugzeugbesatzungen einen elektronischen Pass haben. Die USA testen die neuen Pässe gerade mit diesen drei Ländern.
Die elektronischen Dokumente versprechen mehr Sicherheit und eine schnellere Abfertigung. In den USA sind die e-Pässe mit einer Sicherheitsfunktion (BAC) ausgestattet, die das unbefugte Auslesen persönlicher Daten und damit die Privatsphäre schützt. In der aktuellen Testphase ist das Auslesen der RFID-Kennung zudem nur nach dem Aufklappen des Reisepasses möglich.
Datenschutz per Design
BAC und andere technologische Datenschutzlösungen sind bereits heute erhältlich. Unternehmen und Einrichtungen, die kontaktlose Geräte, Karten oder Dokumente verwenden wollen, müssen die Datenschutz- und Sicherheitsaspekte bereits in der Planungsphase auf Systemebene berücksichtigen. Die Hersteller dieser Lösungen müssen auch geeignete Datenschutz- und Sicherheitsrichtlinien umsetzen.
Bei der kontaktlosen Technik werden Datenschutz- und Sicherheitsfunktionen in der Regel durch Echtheitsprüfungen und Verschlüsselungsverfahren umgesetzt. Die Firma HID und andere Hersteller kontaktloser Karten speichern auf ihren Karten, Ansteckern, Schlüsselanhängern und anderen RFID-Geräten keine Daten, die die Identität oder Privatsphäre gefährden könnten.
Auf den iCLASS-Karten von HID kommen aus Sicherheitsgründen Verschlüsselungs- und Authentifizierungsverfahren zum Einsatz.
RFID und Datenschutz in den USA
In den USA will der Einzelhandel mit der RFID-Technik die Beschaffungskette und die Bestandssteuerung optimieren. Das hat Datenschützer auf den Plan gerufen, die befürchten, dass die RFID-Chips zur Überwachung der Einkaufsgewohnheiten von Kunden eingesetzt und die dabei gewonnenen Informationen für die Vermarktung genutzt werden.
Daher haben einige Bundesstaaten Gesetze verabschiedet, die Händler und Hersteller zur Kennzeichnung aller Produkte mit integrierten Transpondern verpflichten. In einigen Bundesstaaten muss der Chip sofort nach dem Verkauf deaktiviert oder entfernt werden.
Auch für Bibliotheks- und Universitätsausweise und andere Identifizierungsdokumente sind auf bundesstaatlicher Ebene einige Gesetze verabschiedet worden. Demzufolge müssen, „sofern keine anderen Regelungen getroffen wurden, Identifizierungsdokumente, die von Behörden erstellt, in Auftrag gegeben, erworben oder herausgegeben werden und die persönliche Daten mittels Funkwellen übertragen oder das berührungsfreie Auslesen dieser Daten ermöglichen, bestimmte Anforderungen erfüllen.“
Als Identifizierungsdokumente gelten Führerscheine, Ausweise für Kinder und Jugendliche bis zu 12 Jahren, Gesundheitskarten, staatliche Unterstützungskarten und Leseausweise öffentlicher Bibliotheken.
Bislang hat noch kein Bundesstaat ein Gesetz verabschiedet, das den Gebrauch der RFID-Technik regelt. Die RFID-Industrie, darunter auch die Firma HID, beteiligen sich aktiv an der öffentlichen Diskussion.
In Kalifornien, einem der Bundesstaaten, in denen RFID-Gesetze vor der Verabschiedung stehen, veranstaltete HID ein Datenschutzforum, an dem sich die Unternehmer, Politiker, Wissenschaftler und Verbraucherschützer beteiligten. HID will einen positiven Bezugsrahmen schaffen, der ein ausgewogenes Verhältnis zwischen dem Datenschutz und der schnellen Verbreitung von RFID-Technik schafft.
Nach Auffassung von HID-Vorstandschef Denis Hébert haben sich die folgenden Erkenntnisse auf dem Forum durchgesetzt:
• Die RFID-Technik wird nicht wieder verschwinden.
• Der Verbreitungsgrad und die gesellschaftlichen Vorteile der RFID-Technik werden nur zunehmen, wenn sich der Anwendungsbereich verbreitert.
• Dem Datenschutz kommt weiterhin eine große Bedeutung zu.
HID setzt sich für den Datenschutz ein und hat, wie alle Unternehmen der ASSA ABLOY Identification Technology Group (ITG), spezielle Richtlinien und Verfahren entwickelt, die den Datenschutz bei Funkübertragungen regeln.
Mit den Datenschutzrichtlinien setzt sich HID aktiv für die Rechte aller Nutzer ein, die RFID-Karten von HID und anderen ITG-Unternehmen verwenden.
Blick in die Zukunft
RFID hat sich als nützliche und bequeme Sicherheitstechnik erwiesen, die dem Endverbraucher zugute kommt. Wenn es gelingt, einen Konsens zu erzielen, der weitere technische Innovationen erlaubt und gleichzeitig die Privatsphäre stärkt, werden alle Beteiligten profitieren.
Ziel der Diskussionen auf der ganzen Welt sollte ein gemeinsames Problembewusstsein sein, auch wenn dadurch die unterschiedlichen Auffassungen über die besten Lösungswege natürlich nicht verschwinden werden.
Weiterführende Informationen: http://www.hidcorp.com.
Die vollständigen Datenschutzrichtlinien der OECD finden Sie unter http://www.oecd.org.
* Pflichtfeld