EU-Kommission nimmt Stellung zum Internet der Dinge und zu Datenschutz bei RFID
Von Dr. Andrea Huber, Geschäftsführerin Informationsforum RFID e.V.
Bereits seit dem Jahr 2006 beschäftigt sich die EU-Kommission mit der RFID-Technologie. Standen in den ersten Jahren eine Einschätzung der technologischen Entwicklung und der möglichen Folgen für die Gesellschaft im Zentrum des Interesses, arbeitet die Kommission mittlerweile an einem konkreten Regulierungsrahmen für RFID. Dadurch bekommen die Entscheidungen in Brüssel auch eine reale Bedeutung für Anbieter und Anwender der Technologie in Deutschland.
Privatsphäre und Datenschutz bei RFID
Am 12. Mai 2009 verabschiedete die EU-Kommission eine Empfehlung zu Privatsphäre und Datenschutz bei RFID, die den Datenschutz- konformen Einsatz der RFID-Technologie sicherstellen soll. RFID-Betreiber sollen danach folgende Maßnahmen durchführen, um den Schutz personenbezogener Daten sicherzustellen und Transparenz über den RFID-Einsatz zu schaffen:
- Datenschutzfolgenabschätzung: Alle RFID-Betreiber sollen vor dem Einsatz neuer Anwendungen die Konsequenzen für den Datenschutz und die Privatsphäre abschätzen. Zur Unterstützung der Umsetzung dieser sogenannten Datenschutzfolgenabschätzung soll die Wirtschaft zusammen mit Beteiligten aus der Zivilgesellschaft bis Mai 2010 einen Regelungsrahmen erarbeiten, der als Grundlage für branchenoder anwendungsspezifische Muster dienen kann.
- Information und Transparenz: Alle RFID-Betreiber sollen Informationen zu den verarbeiteten Daten, ihrem möglichen Personenbezug sowie eine Zusammenfassung der Datenschutzfolgenabschätzung veröffentlichen. Durch ein einheitliches europäisches Zeichen soll auf das Vorhandensein von Lesegeräten hingewiesen werden. Die Entwicklung dieses Zeichens erfolgt durch die europäischen Normungsgremien mit Unterstützung der betroffenen Interessengruppen.
- RFID im Einzelhandel: Speziell für den Einzelhandel sieht die EU-Empfehlung vor, dass Verbraucher durch eine europaweit einheitliche Kennzeichnung über die Präsenz von Transpondern in oder auf Produkten informiert werden. Abhängig vom Ergebnis der Datenschutzfolgenabschätzung sollen Einzelhändler außerdem Transponder an Produkten standardmäßig oder aber auf Verlangen ihrer Kunden deaktivieren. In jedem Fall soll der Einzelhandel eine leicht durchführbare und kostenlose Möglichkeit zur Deaktivierung oder Entfernung von Transpondern bereitstellen. Diese Empfehlung gilt nur für Einzelhändler, welche die RFID-Technologie anwenden.
Umsetzung der EU-Empfehlung
Die EU-Empfehlung hat erhebliche Bedeutung für RFID-Anwender in Deutschland, da der Geltungsbereich der Empfehlung sehr weit ist und auch Anwendungen erfasst, die keinen Personenbezug aufweisen. Es ist daher wichtig, die Umsetzung der Empfehlung in einer Art und Weise zu gestalten, die eine sinnvolle Differenzierung zwischen Anwendungen mit und ohne Personenbezug ermöglicht und unbeabsichtigte Belastungen für RFIDAnwender vermeidet.Zur Unterstützung der Umsetzung der Empfehlung gibt es seit Juli 2009 eine Informelle Arbeitsgruppe aus Vertretern von Wirtschaft, Wissenschaft, Standardisierung, Daten- und Verbraucherschutz, die von der EU-Kommission moderiert wird. Diese Gruppe diskutiert bis zum Sommer 2010 die Entwicklung eines Rahmens für Datenschutzfolgenabschätzungen, die Anforderungen an ein einheitliches europäisches RFID-Zeichen, Sicherheit bei RFID sowie Schwerpunkte bei Forschung und Entwicklung. Ein maßgeblicher Punkt bei der Umsetzung ist aus Sicht der deutschen Wirtschaft, dass Anwendungen ohne jeglichen Personenbezug nur minimale Anforderungen an Dokumentations- und Prüfungsprozesse erfüllen müssen. Wichtig ist auch die Einbindung des betrieblichen Datenschutzbeauftragten als zuständige Stelle im Rahmen der Datenschutzfolgenabschätzung. Bei der Entwicklung eines einheitlichen europäischen Zeichens ist auf eine informative und angemessene Kennzeichnung zu achten, die es erlaubt, auch bereits existierende Zeichen mit zu berücksichtigen.
Internet der Dinge
RFID wird im politischen Rahmen immer häufiger unter dem Dach des Internet der Dinge behandelt. Für eine genaue Betrachtung sind dabei klare Definitionen nötig. Dies gilt sowohl für das Internet der Dinge selbst als auch für damit in Verbindung stehende Technologien. Auch weitergehende und verwandte Begriffe wie das Internet der Dienste und Web 3.0 müssen ergänzend oder abgrenzend einbezogen werden. Das Internet der Dinge allein auf die RFID-Technologie zu begrenzen, greift zu kurz; dennoch ist RFID eine Schlüsseltechnologie der intelligenten Vernetzung. Trotz ähnlicher Strukturen verbietet sich bei der Betrachtung der Architektur allerdings eine Gleichsetzung mit dem Internet. Zwar gibt es bisher noch kein Netzwerk, das bereits alle Anforderungen des Internet der Dinge umsetzt, dennoch ist bei allen Überlegungen die spätere Realisierung im Blick zu behalten. Dabei geht es insbesondere um die Kapazitäten der Netze und die Bandbreiten der Übertragungswege. Bei RFID - insbesondere UHF - ist ein ausreichendes Frequenzspektrum notwendig, um die Vielzahl der Event-orientierten Lesevorgänge an den RFID-Antennen zu ermöglichen.
Mitteilung der EU-Kommission
Am 18. Juni 2009 veröffentlichte die EU-Kommission die Mitteilung „Internet der Dinge - ein Aktionsplan für Europa“. Insgesamt finden sich darin nur wenige konkrete Forderungen, vielmehr steht das Monitoring der Entwicklungen im Zentrum des Dokuments. Auch wenn die Kommission keinen direkten Handlungsbedarf identifiziert, zeigt die Mitteilung, in welchen Bereichen es aus Sicht der EU-Kommission noch Klärungsbedarf gibt. So soll die Diskussion zum Schutz von Privatsphäre und personenbezogenen Daten genauso weitergeführt werden wie diejenige zur Sicherheit von Anwendungen. Auch im Bereich der Architektur werden konkrete Fragen genannt, die in den nächsten Jahren zu klären sein werden. Neu ist der Begriff „Das Schweigen der Chips“, unter dem die Kommission das Recht des Einzelnen versteht, sich jederzeit von seiner vernetzten Umgebung abzukoppeln.
Dokumentation der Bundesregierung
Die europäische Debatte wird stark aus Deutschland beeinflusst. Besonders aktiv ist das Bundesministerium für Wirtschaft und Technologie, das zuletzt im Mai 2009 eine Dokumentation zum Internet der Dinge vorgelegt hat. Sie zeigt wesentliche technische Verfahren zur Organisation anspruchsvoller internetbasierter Kommunikationsprozesse für das Internet der Dinge auf und konzentriert sich beispielhaft auf die als ONS bekannte Thematik. Das Ziel ist dabei nicht eine umfassende Klärung von wichtigen Fragen einer künftigen Infrastruktur des Internet der Dinge wie beispielsweise Verwaltungshoheit oder Schutz von Daten und Rechten Betroffener, sondern vielmehr die Darstellung verschiedener Architekturmöglichkeiten und deren Sicherheitsgrad.
Basiswissen des Informationsforum RFID
Obwohl das Internet der Dinge seit einiger Zeit intensiv diskutiert wird, fehlen für die politische Diskussion verständliche Definitionen und Abgrenzungen. Das führt dazu, dass das ohnehin schon komplexe Thema nur schwer zu erschließen ist. Diesem Problem ist das Informationsforum RFID mit der Broschüre „Basiswissen Internet der Dinge“ entgegengetreten. Es gibt einen Überblick über das Konzept intelligenter Vernetzung von Objekten und schafft die Grundlagen für politische Diskussionen. Auf 20 Seiten finden Interessierte kompakt und leicht verständlich aufbereitet alles Wissenswerte über die technologischen Grundlagen, politischen Rahmenbedingungen, Architektur und Einsatzgebiete. Darüber hinaus bietet die Broschüre Informationen zu Datenschutz und Datensicherheit und nennt die aktuellen Forschungsschwerpunkte. Gastbeiträge von Fraunhofer IML, GS1 Germany und VDI/VDE/IT ergänzen die Broschüre. Die Publikation richtet sich an alle, die mit dem Thema Internet der Dinge in Berührung kommen und sich einen schnellen und fundierten Überblick verschaffen wollen.
Einblick in AutoID/RFID: Informationsforum RFID
