Analysten-Kolumne

Datenschutz bringt RFID arg in Bedrängnis

14.01.2009
Von Jan Kroll

Ansätze zur Adressierung von Datenschutz- und Datensicherheitsaspekten

Datenschutzrechtliche Bedenken im Bereich der elektronischen Datenverarbeitung sind nicht neu, jedoch wird mit RFID eine neue Dimension der Datenerhebung erreicht. Moderne RFID-Chips haben die Größe eines Reiskorns und können nahezu unsichtbar in Produkte integriert werden. Mittels drahtloser Kommunikation der Chips mit den Lesegeräten ist es daher möglich, unbemerkt und ohne Kontrollmöglichkeit des Nutzers, Daten auszulesen.

Schnell waren Begrifflichkeiten wie „der Schnüffelchip“ gefunden und prägten die Wahrnehmung von RFID in der Gesellschaft. Verbraucherschutzorganisationen konnten immer wieder erfolgreich öffentlichen Druck auf Industrieunternehmen und Handelsketten ausüben und die Öffentlichkeit gegen aktuelle RFID-Projekte mobilisieren. Die Folgen für die betroffenen Unternehmen waren teilweise gravierend, so dass laufende ProjekteProjekte unter Imageverlust und hohen Kosten wieder eingestellt werden mussten. Der Kontrollverlust, ob und in welchem Rahmen RFID-Chips ausgelesen werden, stellt also eines der Kernprobleme der RFID-Technologie dar. Alles zu Projekte auf CIO.de

Die mediale Diskussion über die gesellschaftlichen Konsequenzen von RFID und die Möglichkeit einer adäquaten Adressierung der datenschutzrechtlichen Bedenken führen zu zwei Lösungsansätzen:

  • Technologischer Ansatz (Privacy-enhancing Technologies, PET)

  • Regulatorischer Ansatz (Gesetzgebende Regulierung, Selbstregulierung)

Privacy-enhancing Technologies (PET) sind technische Schutzmaßnahmen, welche das unkontrollierte Auslesen der Chips verhindern. PET haben allerdings die Nachteile, dass sie teilweise sehr kostenintensiv sind und dem Verbraucher auch nützliche Funktionalitäten von RFID dauerhaft verwehrt. Hauptkritikpunkt der Anwendung von PET ist allerdings, dass die Verantwortung des Schutzes an den Verbraucher abgegeben wird und dieser - sofern er nichts unternimmt - RFID schutzlos ausgeliefert ist.

PET allein reichen also nicht aus, um die Problematik des Kontrollverlustes adäquat zu adressieren und sind daher durch regulatorische Maßnahmen zu ergänzen. Derartige Maßnahmen können legislativ durch die Anpassung der Datenschutzgesetze in Bezug zur RFID-Technologie erfolgen oder per aktiver Selbstregulierung der RFID-einsetzenden Unternehmen in Form eines Verhaltenskodex.

Zur Startseite