Neue Vorstöße zur RFID-Selbstregulierung der Industrie

Zwei Industrievereinigungen haben Positionspapiere zum Daten- und Verbraucherschutz vorgelegt, die Bürgerrechtsvertretern aber nicht weit genug gehen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 52 Beiträge
Von

RFID-Befürworter aus der Industrie haben neue Vorschläge zur Selbstregulierung vorgelegt, um bei Verbrauchern das Vertrauen in die Funktechnik zu stärken und gesetzgeberischen Auflagen zuvorzukommen. So hat das Konsortium GS1 Germany heute beim Diskussionsforum "RFID und Verbraucherschutz" der Bundesministerien für Wirtschaft und Verbraucherschutz in Berlin einen neuen Entwurf für ein Positionspapier zur Selbstkontrolle vorgestellt. Ziel der in Version 3.2 vorliegenden Bestimmungen ist es, eine "Richtlinie" für den Einsatz der Funktechnik auf Basis des elektronischen Produkt-Code (EPC) "in Anwendungsbereichen mit einem mittelbaren oder unmittelbaren Verbraucherbezug" zu schaffen.

GS1 Germany vertritt hierzulande die Interessen von [http//www.epcglobalinc.org/ EPCglobal]. Die Industrievereinigung will den EPC als Nachfolger des Strichcodes EAN zur Warenkennzeichnung durchsetzen. Die Einrichtung ist eine Tochter von GS1, der weltweit agierenden Organisation für Identifikations- und Kommunikationsstandards in der Konsum- und Investitionsgüterindustrie. Wesentlicher Bestandteil des heise online vorliegenden Regelwerks ist eine Selbstverpflichtung zum Anbringen des Buchstabenlogos EPC auf Artikeln, die mit auslesbaren oder funkenden Etiketten versehen sind. Diese Kennzeichnung halten die GS1-Mitglieder für "leicht wahrnehmbar, selbsterklärend und leicht verständlich", obwohl Verbraucher ohne eine breite zusätzliche Aufklärungskampagne vermutlich wenig mit dem Akronym anfangen können.

Zahlt der Kunde RFID-bestückte Güter mit EC-, Kredit- oder Kundenkarte, sodass ein direkter Personenbezug entsteht, wird er dem Papier zufolge allein "informiert, wer die Daten nutzt". Er soll das Recht haben, die gespeicherten Angaben einzusehen, ändern oder löschen zu lassen. Anwendungen in Form einer Speicherung personenbezogener Daten unmittelbar auf einem EPC-Transponder oder der Nutzung von RFID zur Verfolgung einzelner Personen und zur Gewinnung personenbezogener Daten in Form von Bewegungsprofilen sind laut GS1 entgegen den Befürchtungen der Kritiker von "Schnüffelchips" auf "absehbare Zeit für den Handel nicht praxisrelevant". Aufklären wollen sie die Verbraucher erstmals darüber, wie der EPC-Tag "entfernt, ausgeschaltet oder unbrauchbar gemacht werden kann".

Etwas weiter als GS1 geht der neue Datenschutzleitfaden (PDF-Datei) der RFID-Arbeitsgruppe der European Expert Group for IT-Security (EICAR), der neben Konzernen wie IBM, Intel, Metro, Microsoft oder Sun auch das Bundesamt für Sicherheit in der Informationstechnik sowie der Bundesdatenschutzbeauftragte angehören. Hier wird empfohlen, einen Hinweis auf den RFID-Einsatz am Eingang eines Geschäfts anzubringen. Schon bei einer Erhebung von Daten seien die Kunden über die genaue Stelle der RFID-Anbringung, mögliche gespeicherte personenbezogene Inhalte, die Zweckbestimmung und Möglichkeiten zur Deaktivierung zu unterrichten. Auch solle die Verfolgung von Kundenbewegungen im Geschäft und die Erstellung von Nutzungsprofilen ohne Einwilligung des Betroffenen "einen gravierenden Verstoß gegen das Recht auf informationelle Selbstbestimmung des Einzelnen darstellen".

Bei Datenschutzaktivisten und Verbraucherschützern haben die Papiere keine Begeisterung ausgelöst. Sie stört vor allem der Ansatz, dem zufolge der Einsatz der RFID-Tags in der Warenwirtschaftskette nicht unter das Datenschutzrechts fallen solle. Sönke Hilbrans, Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) warnt gegenüber heise online davor, dass auch über Hintergrundsysteme wie das EPCglobal Network oder den Indexdienst Object Name Service (ONS) personenbezogene Daten generiert werden könnten. Eine Profilbildung sei beim Kauf verschiedener Artikel möglich, die Informationen könnten spätestens in der Serviceabteilung eines Verkaufshauses personalisiert werden.

Der Bundesverband der Verbraucherzentralen (vzbv) meint, wenn der Kunde anderweitig gekaufte, mit nicht deaktivierten Chips versehene Waren bei sich trage, würden generell Rückschlüsse auf sein Konsumverhalten möglich. Der Verband moniert ferner, dass die Verbraucher ihr Datenschutzrecht bei der Deaktivierung der Tags "erst aktiv einfordern" müssen. Die Kunden bekämen keine Alternative, anonym einkaufen zu gehen. Zudem könne der Wunsch des Einkäufers, "RFID-frei" zu shoppen und auf das Zahlen an "Selbstbedienungskassen" zu verzichten, zu einer Schlechterstellung etwa durch längere Warteschlangen führen. Auch ein Sanktionsinstrumentarium vermisst der Verband.

Scharfe Kritik kommt ebenfalls vom Datenschutzverein FoeBuD, der seit längerem vor einer "Hinhaltetaktik" der RFID-Lobby warnt. Konkret fordern die Aktivisten, dass die Deaktivierung "Standardprozedur" sein muss, bevor ein Bürger mit RFID in Kontakt kommt. Das ins Spiel gebrachte Logoprogramm sei am besten grafisch an "Gefahrenhinweise" anzulehnen. Zudem pochen sie endlich auf eine Technikfolgenabschätzung durch ein neutrales Institut. (Stefan Krempl) / (anw)