Datenschutzpapier zur Abstimmung der WP 29 der EU-Kommission vorgelegt

Anfang November wurde ein überarbeiteter Vorschlag der Industrie zur RFID Risikofolgeabschätzung mit dem Namen „PIA III" der Versammlung der europäischen Datenschutzbeauft ragten (Article 29 Data Protection Working Party - WP 29) vorgelegt. Von der Befürwortung des Dokuments durch die WP29 hängt ab, welche Maßnahmen und Vorgaben die EU einleiten wird. Im ungünstigsten Fall könnte es zu einer gesetzlichen Regelung des Datenschutzes für den RFID-Einsatz kommen. Hintergrund des PIA-Prozesses ist die EU-Empfehlung vom Mai 2009 zur Umsetzung der Grundsätze zur Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen.

• Die Direktive sieht vor, dass die Betreiber vor dem Einsatz von RFID eine Risikofolgeabschätzung durchführen, um festzustellen, ob eine Bedrohung der Privatsphäre wahrscheinlich ist.
• Die Mitgliedstaaten sollen dafür sorgen, dass RFID-Betreiber die Verbraucher über die Nutzung von RFID informieren.
• Im Einzelhandel sollen beim Kauf von Produkten und Waren RFID-Chips sofort automatisch und kostenfrei deaktiviert werden, es sei denn, der Käufer wünscht ausdrücklich, dass diese funktionstüchtig bleiben („opt-in-Prinzip"). Nur, wenn die Folgeabschätzung ergibt, dass die Privatsphäre und der Schutz der persönlichen Daten nicht bedroht seien, ist von einer Deaktivierung abzusehen, die Möglichkeit soll aber weiterhin bestehen bleiben.

Die EU hat die Industrie daher dazu aufgefordert, ein PIA-Framework zu verfassen. Das PIA-Framework (PIA= Privacy Impact Assessment) soll Betreibern von RFID-Anwendungen als Anleitung zur Datenschutzfolgeabschätzung dienen. Ursprünglich diskutiert wurde PIA unter der Schriftführung von GS1 in einer RFID Informal Working Group, die von der Generaldirektion Informationsgesellschaft und Medien der EU-Kommission einberufen wurde. Nachdem die europäische Datenschutzkommission WP 29 eine aus diesem Prozess heraus entstandene erste Version abgelehnt hatte, wurde ein überarbeitetes Dokument erstellt und eingereicht. An dem Prozess waren unter anderem Bitkom, ENISA, BSI und Vertreter von Industrieunternehmen beteiligt.

Univ.-Prof. Dr. Sarah Spiekermann, die an der Erstellung des neuen Dokumentes maßgeblich mitgewirkt hat, zeigt sich zufrieden: „Wir haben es geschafft uns auf einen Referenzprozess zu einigen, der Anreize für Unternehmen schafft, datenschutzfreundliche Technologien zu entwickeln. Oder sich selbst dazu zu verpfl ichten, sich bereits in einem frühen Stadium des Produktdesigns über Privacy Gedanken zu machen. Wenn Datenschutzvorkehrungen bereits in die Technik integriert sind, entsteht das Problem Datenschutz gar nicht erst."

Das PIA-Framework, das sich an die RFID-Operator richtet, setzt auf die Selbstverpfl ichtung der Unternehmen. Firmen, die RFID-Systeme betreiben, verpflichten sich diesen administrativen Prozess zu durchlaufen. Auf Basis des PIA-Frameworks werden nun branchenspezifische Templates als Vorlagen für die Datenschutzfolgeabschätzung entwickelt, welche über Verbände wie AIM-D und das BSI an Firmen weitergegeben werden. Das PIA-Framework hat keine rückwirkende Gültigkeit, sondern bezieht sich nur auf neue Anwendungen. „Ich bin zuversichtlich, dass das neue Dokument gute Chancen auf eine Annahme hat", so Spiekermanns Prognose.

Die WP 29 wird voraussichtlich im Dezember darüber beraten. Ein Bericht der EU-Kommission wird im Mai 2012 erwartet. Sollte es doch zu einer gesetzlichen Regulierung, bliebe dies für RFID-Operator nicht ohne Folgen: „Wir haben derzeit ein sehr verbraucherfreundliches Regulierungsregime in Brüssel. Wenn es zu einer EU-Regulierung kommen sollte, bin ich mir ziemlich sicher, dass die Tags am Ladenausgang automatisch deaktiviert werden müssten. Dies würde riesige Investition für den Einzelhandel bedeuten, die jeder vermeiden möchte."

Lesen Sie die vollständige Reportage zum Thema 'Privacy' in der Dezemberausgabe von "RFID im Blick".

Foto: fotolia © moonrun