© Screenshot

Netzpolitik
04/06/2011

Neue Datenschutzregeln für RFID-Chips

Mit dem "Privacy Impact Assessment Framework" (PIA) haben sich Verbände, Unternehmer, Wissenschaftler und Datenschützer aus den USA und der EU auf einen Rahmen geeinigt, der den Einsatz der Funktechnologie auf freiwilliger Basis regelt.

Monatelanges, zähes Ringen war ihm vorausgegangen, jetzt ist das neue "Privacy Impact Assessment Framework" (kurz PIA) unterschrieben. Am Mittwoch haben Vertreter der EU, Datenschutzsorganisationen sowie euroäischer und US-Unternehmen das 24-seitige Dokument, dass künftig den Einsatz der Funktechnologie RFID ("Radio Frequency Identification") regeln soll. "Unter den Parteien war ein großer Diskussionsaufwand zu bewältigen, um die gänzlich unterschiedlichen Sichtweisen europäischer und amerikanischer Unternehmen auf den Datenschutz zu einem einvernehmlichen Ergebnis zu führen", sagt Sarah Spiekerman, Professorin an der WU Wien und Co-Autorin des Papiers.

Neben EU-Kommissarin Neelie Kroes, zuständig für die Europäische Digitale Agenda, unterzeichneten Vertreter des Handelsverband Eurocommerce, des deitschen IT-Verbandes Bitkom sowie der US-Organisation "Association for the Automatic Identification and Data Capture" das selbstverpflichtende Framework.

Bedenken ausräumen
Das PIA soll vor allem datenschutzrechtliche Bedenken bei RFID ausräumen, das derzeit bei elektronischen Bezahlverfahren, in Pässen, in Skigebieten und dem öffentlichen Verkehr eingesetzt wird. Unternehmen können sich künftig freiwillig das PIA durchlaufen und das von Datenschutzbehörden dokumentieren lassen. So soll das Vertrauen der Bevölkerung in die Nahfunktechnologie, die bald auch zum Barcode-Ersatz im Handel werden könnte, gesteigert werden.

Ein YouTube-Video des Künstlers Chris Oakley aus 2004 etwa veranschaulicht drastisch, wie und welche Daten via RFID über Besucher eines Einkaufszentrums erfasst werden können.

Wenn ein Unternehmen sich entscheidet, das PIA-Framework anzuwenden, willigt er ein, genaueste Details über Sinn und Zweck seiner RFID-Applikationen zu dokumentieren. Dabei wird genau festgehalten, welche Daten der Konsumenten wo und wie lange gespeichert werden, ob sich über die Daten Personen eindeutig identifizieren lassen und ob die Daten außerhalb des EU-Raums transferiert werden. Auch wird das Unternehmen eingestuft, wie groß das Risiko des RFID-Einsatzes für die Privatsphäre ist - etwa, welche Personen Zugriff auf die Daten bekommen.

Abzuwarten bleibt, wie die Industrie auf das PIA-Framework reagiert und ob es tatsächlich alle wichtigen Unternehmen anwenden, die RFID einsetzen.