EU-Kommission auf dem Weg zum "Internet der Dinge"

Mit der Online-Umfrage setzt die EU-Kommission eine Reihe öffentlicher Konsultationen und Workshops rund um das Thema RFID und das "Internet der Dinge" fort, die im März 2006 begonnen hatte. Zur Diskussion steht der "Entwurf zur Umsetzung von Prinzipien des Datenschutzes und der Informationssicherheit in RFID-Anwendungen" der EU-Kommission. Die Umfrage hat eine Laufzeit von acht Wochen und endet am 25. April 2008. Die Ergebnisse der Umfrage sollen bis zum Sommer 2008 ausgewertet werden.

Aus Sicht der EU-Kommission und vieler Unternehmen in Europa würde ein auf RFID basierendes "Internet der Dinge" große logistische Vorteile mit sich bringen. Die automatische Erfassung von Artikeln aller Art, zu jeder Zeit und an jedem Ort der Wertschöpfungskette, birgt hohes Rationalisierungspotenzial. Regale in Werkshallen oder im Supermarkt, die automatisch erkennen, wann Ware nachgeliefert werden muss; die Verhinderung von Verwechslungen in der Krankenpflege; die Qualitätssicherung bei Materiallieferungen - das sind nur einige der Möglichkeiten, die ein umfassender RFID-Einsatz mit sich bringen könnte.

Die EU-Kommission ist sich zugleich bewusst, dass Endverbraucher Bedenken hinsichtlich des Datenschutzes und eines möglichen Missbrauchs von RFID zu diskriminierenden Zwecken hegen. So wäre es beispielsweise technisch möglich, mittels RFID die Einkaufsgewohnheiten von Verbrauchern auszuforschen und die Preise von Waren zu personalisieren. Dann würden "gute Kunden" in einem Geschäft weniger für dieselbe Ware zahlen müssen als Gelegenheitskunden. Oder es wäre in Kombination mit implantierten RFID-Chips oder RFID-Chips im Ausweis möglich, die Nutzung bestimmter Geräte (z.B. Zigarettenautomaten) oder Dienstleistungen (z.B. Arztbesuch) nur durch bestimmte Personen zu erlauben. Versuche damit laufen weltweit seit Jahren.

In dem jetzt zur Debatte gestellten Entwurf schlägt die EU-Kommission in Artikel 7 - RFID im Einzelhandel - einen gemischten Opt-in-/Opt-out-Ansatz vor:

• Opt-in: Wenn beim RFID-Einsatz wahrscheinlich personenbezogene Daten anfallen, muss ein RFID-Tag immer deaktiviert werden, es sei denn, der Verbraucher will das nicht.
• Opt-out: Wenn die Wahrscheinlichkeit, dass beim RFID-Einsatz personenbezogene Daten anfallen, verschwindend gering ist, muss der Verbraucher den RFID-Tag leicht entfernen oder deaktivieren können, wenn er das will. Der Tag muss nicht automatisch deaktiviert werden.

Aus Sicht der Industrie ist diese Ansatz "verwirrend", wie Elizabeth Board vom Interessenverband EPCglobal gegenüber dem RFID-Journal erklärte. "Das ist verwirrend, weil es Situationen geben kann, in denen nicht klar ist, ob es eine Verbindung zu personenbezogenen Daten gibt. Was ist beispielsweise, wenn Sie beim Kauf mit einer Kreditkarte bezahlen? Der Tag selbst mag zwar keine personenbezogenen Daten enthalten, aber der Händler könnte eine Verbindung herstellen. Müsste der Tag dann deaktiviert werden?"

Die Argumente in der Diskussion ähneln denen, die in der Auseinandersetzung um die Einstufung von IP-Adressen als personenbezogene Daten vorgebracht werden. Für beide, RFID-Adressen und IP-Adressen, gilt: Abhängig von der Situation können sie einen eindeutigen Personenbezug aufweisen. Es ist Sache der Politik, eine Grundsatzentscheidung zugunsten entweder des Schutzes der Privatsphäre oder der Industrieinteressen zu fällen. Die Europäer haben mit der jetzt durchgeführten Online-Umfrage die Möglichkeit, ihre Meinungen dazu der EU-Kommission mitzuteilen. [von Robert A. Gehring]