FoeBuD und DVD Kritik an Positionspapier zu RFID Datenschutz
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Der FoeBud e.V. und die Deutsche Vereinigung für Datenschutz e.V. kritisieren in der gemeinsamen Presserklärung "Thema verfehlt" die Ausführungen von RFID Herstellern und kommerziellen RFID Nutzern, die im heute veröffentlichten "Positionspapier RFID/EPC und Datenschutz" des Handelsverbands GS1 Germany aka "EPCglobal für Deutschland" vorgestellt werden. Daraus:
P.S.: Es wäre natürlich äußerst zweckmäßig, wenn man selbst das Positionspapier einsehen könnte. So macht eine Pressemitteilung imo wenig Sinn.
In seinem Datenschutz-Teil beschränkt es sich auf einige verfehlte Behauptungen. Absichtsvoll naiv erscheint dabei die These, dass ein Personenbezug von RFID- Produktkennungen nur in Ausnahmefällen vorliege: Nämlich dann, wenn ein Unternehmen in der Lage sei, mit seinen eigenen Daten ohne unverhältnismäßigen Aufwand einen Personenbezug herzustellen. Diese Voraussetzung wird jedoch in modernen Warenhäusern durch jede Videoüberwachung, jedes Kundenkartensystem und jede Nutzung des EPC für elektronische Kassiervorgänge erfüllt.
Die Fragwürdigkeit mancher Anwendungen der neuen Technologie werden ganz offensichtlich nicht verstanden: etwa der Einsatz von Hintergrundanwendungen und die Verknüpfungsmöglichkeiten von EPC-Seriennummern mit personenbezogenen Profilen. Vielmehr werden derartige Einsatzmöglichkeiten bereits heute von GS1 beworben. Warum beruhigt einen der unqualifizierte wie pauschale Hinweis nicht, dass die beteiligten Einzelunternehmen das Bundesdatenschutzgesetz beachten werden?
In dem 8. Management Informationspapier Verbraucherschutz II von GS1 Germany (März 2005), das als Leitfaden für Manager dient, wie man Kritikern und Datenschützern begegnet, heißt es unter "Punkt 4 Identifikation des Verbrauchers – Verknüpfung von Produkt- und Verbraucherdaten" nach dem Motto "Friss oder stirb" bzw. "Entweder Du lässt dich auf RFID ein oder Du kannst leider unsere Produkte und Dienstleistungen nicht in Anspruch nehmen":
Die Fragwürdigkeit mancher Anwendungen der neuen Technologie werden ganz offensichtlich nicht verstanden: etwa der Einsatz von Hintergrundanwendungen und die Verknüpfungsmöglichkeiten von EPC-Seriennummern mit personenbezogenen Profilen. Vielmehr werden derartige Einsatzmöglichkeiten bereits heute von GS1 beworben. Warum beruhigt einen der unqualifizierte wie pauschale Hinweis nicht, dass die beteiligten Einzelunternehmen das Bundesdatenschutzgesetz beachten werden?
Würden mit RFID/EPC gekennzeichnete Produkte an der Kasse mit Kredit- und/oder Kundenkarte bezahlt, so ermöglichte dies nicht nur die Identifikation des Kunden, sondern – mit Hilfe aktiver RFID-Transponder – theoretisch auch die Beobachtung seiner Bewegungen.
So könnten beispielsweise kundenspezifische Daten über das Einkaufsverhalten gesammelt und Einkaufsprofile für jeden Konsumenten erstellt werden.
Derartige Anwendungen der RFID-Technologie wären unter dem Aspekt des Verbraucher- und Datenschutzes als kritisch zu bewerten. Sie erforderten nicht nur eine sehr umfassende Information des Konsumenten über den Zweck der gesammelten Daten, sondern auch eine ausdrückliche Einwilligung des Verbrauchers. Ein entscheidendes Kriterium ist, dass der Konsument die Möglichkeit hat, für sich selbst zu entscheiden, welchen Nutzen er einer RFID-Anwendung beimisst und ob er diese Anwendung in Anspruch nehmen möchte oder nicht.
Generell gilt bei RFID dasselbe wie bei Einführung anderer neuer Technologien: Je mehr Informationen über Möglichkeiten und Anwendungen zur Verfügung gestellt werden, desto mehr Vertrauen und Akzeptanz wird bei Anwendern und Verbrauchern geschaffen. Klare Leitlinien für die Anwendung seitens EPCglobal helfen, die Konformität von RFID/EPC mit den Verbraucher- und Datenschutzregelungen sicherzustellen.
Bereits im Mai 2006 hatte GS1 Germany einen ersten Entwurf des Positionspapiers vorgestellt und dafür heftige Kritik eingesteckt.So könnten beispielsweise kundenspezifische Daten über das Einkaufsverhalten gesammelt und Einkaufsprofile für jeden Konsumenten erstellt werden.
Derartige Anwendungen der RFID-Technologie wären unter dem Aspekt des Verbraucher- und Datenschutzes als kritisch zu bewerten. Sie erforderten nicht nur eine sehr umfassende Information des Konsumenten über den Zweck der gesammelten Daten, sondern auch eine ausdrückliche Einwilligung des Verbrauchers. Ein entscheidendes Kriterium ist, dass der Konsument die Möglichkeit hat, für sich selbst zu entscheiden, welchen Nutzen er einer RFID-Anwendung beimisst und ob er diese Anwendung in Anspruch nehmen möchte oder nicht.
Generell gilt bei RFID dasselbe wie bei Einführung anderer neuer Technologien: Je mehr Informationen über Möglichkeiten und Anwendungen zur Verfügung gestellt werden, desto mehr Vertrauen und Akzeptanz wird bei Anwendern und Verbrauchern geschaffen. Klare Leitlinien für die Anwendung seitens EPCglobal helfen, die Konformität von RFID/EPC mit den Verbraucher- und Datenschutzregelungen sicherzustellen.
P.S.: Es wäre natürlich äußerst zweckmäßig, wenn man selbst das Positionspapier einsehen könnte. So macht eine Pressemitteilung imo wenig Sinn.
von rabenhorst - Owl,
gepostet am Donnerstag, 29. Juni 2006 um 0:37
