AIM, der AutoID-Industrieverband, hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Grundlagendokument für RFID-Datensicherheit und Datenschutz veröffentlicht. Dieses Dokument mit dem Titel „Technical Guidelines RFID as Templates for the PIA Framework" schlägt eine Brücke zwischen den bestehenden „Technischen Richtlinien für den sicheren RFID-Einsatz" des BSI und dem PIA-Framework, das in der europäischen RFID Informal Working Group erarbeitet wurde. „RFID im Blick" sprach mit Wolf-Rüdiger Hansen, Geschäftsführer, AIM-D, über den aktuellen Stand des Grundlagendokuments.

AIM hat sich bereits sehr frühzeitig als Mitglied in Projekten wie CE RFID, RACE networkRFID, der RFID Informal Workgroup (PIAProzess) und der Dialogplattform RFID beim BMWi in die politischen Aktivitäten zum Datenschutz auf deutscher und europäischer Ebene eingebracht. Mit welchem Ziel engagiert sich AIM in dem aktuellen europäischen Datenschutzprozess?

Die Mitarbeit an der Harmonisierung der Technischen Richtlinien für den sicheren RFID-Einsatz des BSI mit dem von der Europäischen Kommission initiierten PIA-Framework zeigt unser Engagement, die Nutzung von AutoID-Technologien und den Datenschutz gleichzeitig zu fördern. Die RFID-Empfehlung der Europäischen Kommission greift zwar konkrete Anforderungen nur aus dem Handelsbereich auf, hat aber gleichwohl Bedeutung für alle Branchen. Deswegen bedauern wir, dass das Engagement einiger Branchen in diesem Prozess zu wünschen übrig lässt. Andererseits zeigen die TR RFID des BSI, die allesamt gemeinsam mit Industrieunternehmen entstanden sind, wie umfassend sich die Industrie in Deutschland mit dem Thema Datenschutz befasst hat. Diese Richtlinien stellen eine umfassende Vorlage für die Durchführung von Security und Privacy Assessments bei RFID-Anwendern bereit.

Wie positioniert sich AIM-D mit den Technical Guidelines RFID as Templates for the PIA Framework zu dem PIA-Framework?

Das PIA-Framework formuliert einen klaren Appell: nämlich die industrielle Selbstverpflichtung für den RFID-Datenschutz. Das Rahmenwerk ist quasi eine Top-Level-Anleitung, um Industrieunternehmen Orientierung und Sicherheit bei der Datenschutzregelung und -dokumentation zu geben. Dabei setzt PIA auf dem Prinzip ‚Privacy by Design' auf: Unternehmen sollten zu Beginn der Anwendungsentwicklung dafür sorgen, dass der Datenschutz gewährleistet ist. Mit dem neuen BSI-Dokument wird speziell darauf verwiesen, wie die TR RFID des BSI in Ergänzung zum PIA-Framework genutzt werden können. Damit haben wir einen wichtigen Meilenstein geschaffen, die diesbezüglichen Aktivitäten in Europa und in Deutschland zu harmonisieren.

„Wenn die Industrie sich nicht aktivdafür einsetzt, dass die Anforderungen für RFID-Datenschutz derGesetzgeber erfüllt werden, besteht die Gefahr, dassgesetzgeberische Initiativen folgen. Dann könnten Regulariengeschaffen werden, die nicht praxiskonform sind, die Ausbreitung derTechnologie behindern und damit einen wirtschaftlichen Nachteildarstellen.“

Mit welchen flankierenden Aktionen bringt sich der Verband zum Thema RFID-Datensicherheit und -schutz ein?

Wir erachten die Gefahren für Datenschutzverletzungen in produzierenden Unternehmen für gering. Gleichwohl wissen wir, dass die Datenschutzbeauftragten auch dort einen genauen Blick auf die RFID-Anwendungen werfen. Deswegen stehen wir mit Unternehmen aus diesem Sektor im Gespräch mit dem Ziel, eine Art Muster für eine Datenschutzfolgeabschätzung zu verfassen, welche die Bereiche Produktionssteuerung und Materialzufluss adressiert und auch die TR RFID des BSI und das PIA-Framework berücksichtigt. Wir empfehlen allen Unternehmen, die RFID einsetzen, nicht darauf zu warten, bis die Politik regulierend einschreitet, sondern vorausschauend ihre Analysen und Vorsorgemaßnahmen für den Datenschutz - soweit überhaupt notwendig - zu dokumentieren.

Die Differenzierung zwischen Anwendungen mit und ohne Personenbezug ist eine wesentliche Herausforderung bei der Umsetzung der EUEmpfehlungen. Schafft nicht Restriktion die Gefahr der Überregulierung und damit eine Behinderung der Ausbreitung der Technologie?

Für den Erfolg von RFID ist es wichtig, diese Themen vorausschauend zu klären. Wenn die Industrie sich nicht genügend aktiv an politischen Aktivitäten wie dem PIA-Prozess beteiligt, dann besteht die Gefahr, dass gesetzgeberische Initiativen folgen, die zu nicht praxiskonformen Regularien führen und damit die Ausbreitung der Technologie behindern. Das könnte wirtschaftliche Nachteile nach sich ziehen. Ziel der Europäischen Kommission ist es, die Industrie zu fördern und ihr einen verlässlichen Rahmen für den Datenschutz zu schaffen. Das setzt industriepolitische Zusammenarbeit voraus. Auch der amerikanische Markt schaut sehr intensiv auf diese europäischen Aktivitäten. Das zeigt, dass wir mit unseren Datenschutzaktivitäten im globalen Vergleich weit vorn liegen.

Eine Kernanforderung der EU-Empfehlung ist die Einführung eines europaweit einheitlichen RFID-Zeichens. Dieses war auch Thema auf dem Stakeholder-Meeting Ende Juni in Brüssel. Welche Ergebnisse wurden dabei erzielt? Welche noch offenen Fragestellung werden aktuell diskutiert?

Die europäische Kommission hat mit dem RFID-Mandat M436 die Standardisierungsorganisation ETSI zum einen beauftragt, ein europäisches RFID-Zeichen zu entwickeln, zum anderen Lücken bei RFID-Standards zu analysieren, damit diese beseitigt werden können. Unter Federführung der ETSI-Arbeitsgruppe STF 396 läuft aktuell eine Public Consultation zu einem circa 100-seitigen Dokument, das diese Themen beschreibt. An der öffentlichen Anhörung beteiligt sich auch AIM. In diese Aktion hat AIM das ISO-RFID-Emblem eingebracht, das von AIM ursprünglich entwickelt wurde. Es steht kurz vor der finalen Standardisierung bei ISO. Die EU-Kommission verlangt allerdings zwei Ergänzungen: Erstens einen Hinweis auf den Betreiber des RFID-Systems, auf den das Zeichen verweisen soll, beispielsweise ein Handelsunternehmen, und zweitens die Angabe einer Web-Adresse oder Hotline-Nummer, an welche sich eine Person wenden kann, um sich über die Umsetzung des Datenschutzes eingehend zu informieren. AIM hat Vorschläge dazu eingebracht, sodass wir zuversichtlich sind, dass das ISO-Emblem auch in Europa verwendet wird.