28C3
12/28/2011

EU: Strengere Regeln für RFID gefordert

Experte sieht bei Implementierung von Funk-Chips weiter Handlungsbedarf

von Jakob Steinschaden

Im Rahmen der Hacker-Konferenz 28C3, die derzeit in Berlin stattfindet, hat der österreichische Datenschutz-Experte Andreas Krisch vom “Verein für Internet-Benutzer Österreich” (VIBE!AT) eine breitere Öffentlichkeit über den Status Quo der EU-Reglementierungen der Funk-Technologie RFID informiert. “RFID ist in der Gesellschaft angekommen”, sagte Krisch, der die EU-Kommission als Mitglied einer Expertengruppe in Sachen RFID berät.

Im Frühling steht eine Prüfung der bisherigen Maßnahmen an, die den Einsatz von RFID-Chips in der EU regelt. Und da habe Krisch das Gefühl, dass man "über strengere Maßnahmen reden wird müssen.” Denn Fälle wie die Modemarke Peuterey in Deutschland, die aufgrund ihres RFID-Einsatzes 2011 mit dem deutschen Negativ-Preis Big Brother Award “ausgezeichnet” wurde, würden zeigen, dass sich einige Unternehmen die vorgeschriebenen EU-Regeln nicht so wirklich zu Herzen nehmen würde. Im Falle von Peuterey wurden die Funk-Chips in Kleidungsstücke eingenäht, ohne die Konsumenten darüber zu informieren.

Vernetzte Personendaten

RFID-Tags, die mittelfristig den Barcode ablösen sollen und vor allem zum kosteneffizienteren Management in der Warenlogistik zum Einsatz kommen, können aus einer Distanz von acht Metern ausgelesen werden. Wenn sie mit einer eindeutigen Nummer versehen sind, gelten sie nach EU-Recht als personenbezogenes Datum, weil so das Tracking eines Menschen (z.B. über in der Kleidung eingenähten Chip) möglich wird.

Durch die zunehmende Erfassung von immer mehr Objekten via Funk-Chips zu einem “Internet of Things” (IoT) bestehe die Gefahr, dass diese Daten kombiniert werden und Bürger sehr transparent machen könnten, was ihren Aufenthaltsort, ihre Vorlieben oder ihren Konsum betreffe, so Krisch. Deswegen gebe es auch eine neue Expertengruppe, die sich etwa mit Smart Metering oder intelligenten Transport-Systemen  auseinandersetzt.

Knackpunkt Implementierung
Krisch merkte aber auch an, dass die Entwicklung in die richtige Richtung gehe. So sei endlich - mit einem Jahr Verzögerung - das “RFID Privacy Impact Assessment” fertig, das eine Risiko-Analyse von RFID einsetzenden Firmen ermöglicht. Dieses sei “ganz brauchbar, allerdings muss das jetzt richtig implementiert werden”, so Krisch. Außerdem ist derzeit ein Logo in Arbeit, anhand diesem EU-Bürger künftig auf einen Blick sehen können, an welchen Waren RFID-Tags angebracht sind. Auch in Geschäftslokalen aufgestellte Lesegeräte sollen damit gekennzeichnet werden.

Wichtig sei zudem, dass eine Deaktivierung der RFID-Tags im Geschäftslokal verpflichtend gemacht worden sei, sagte Krisch. Dieses “Opt-out” darf sich nicht zum Nachteil für den Konsumenten auswirken, z.B. darf der RFID-Tag nicht an die Garantie einer Ware geknüpft sein. Eine weitere Forderung: Ein Anforderungskatalog, wie Datenschutz in RFID-Applikationen implementiert werden muss (“Privacy by Design”), sowie offene Standards für mehr Transparenz.

Mehr zum Thema

  • Experte warnt vor Lücken bei Bahn-Security
  • Kritik am Umgang mit Überwachungs-Software
  • 28C3: Hacker-Kongress “hinter Feindeslinien”