Radio-Frequency-Identification
Datenschutz-Folgeabschätzung für RFID
Achtung Terminsache: Bei RFID geht der Schutz der Privatsphäre künftig als ein Freigabe-Kriterium in jedes Anwendungsprojekt ein. In einer Selbstverpflichtung hat die Wirtschaft gegenüber der EU-Kommission erklärt, künftig für jedes Betriebsprojekt einer RFID-Anwendung eine so genannte Datenschutz-Folgeabschätzung (DSFA) durchzuführen - ab September 2011.
Als Industrie und Handel Ende 2005 mit dem „Internet der Dinge“ eine Kampagne zur Ablösung des Barcodes durch RFID (Radio-Frequency-Identification) begannen, beobachtete die Europäische Kommission diese Entwicklung mit Sorge.
Insbesondere die Möglichkeiten der unbemerkten Auslesung und hiermit einhergehender Profilbildung, ließ die Kommission schließlich tätig werden. Um eine gesetzliche Festlegung abzuwenden, bot sie der Industrie 2009 an, im Rahmen der Selbstregulierung für einen angemessenen Datenschutz in RFID-Anwendungen Sorge zu tragen.
Hierzu sollte ein Verfahren vorgeschlagen und abgestimmt werden, das am 6. April 2011 formell angenommen wurde. Dieses Verfahren nennt sich im Originaltext „Privacy and Data Protection Impact Assessment Framework for RFID Applications“, übersetzt Rahmenwerk zur Datenschutz-Folgen-Abschätzung (DSFA) für RFID-Anwendungen.
Es ist entwickelt worden, um den Betreiber einer RFID-Anwendung bei der Aufdeckung von Datenschutz-Risiken in seiner Anwendung zu helfen, deren Eintrittswahrscheinlichkeit zu ermitteln und zu dokumentieren, wie diesen Risiken begegnet wird. Art und Umfang der zu treffenden Vorkehrungen können dabei von Anwendung zu Anwendung stark variieren.
Im Grunde ist die Datenschutz-Folgeabschätzung mit der in Deutschland heute schon für bestimmte, sensible Anwendungen vorgeschriebenen Vorabkontrolle vergleichbar. Da es hierfür nur sehr wenige, teils sehr abstrakte Anleitungen gab, wurde sich bei der Festlegung des Verfahrens der DSFA vor allem am Beispiel des vom britischen Datenschutzbeauftragten herausgegebenen PIA-Handbuchs (Private-Impact-Assessments) orientiert.
Spätestens seit September 2011 muss jedes Anwendungsprojekt für RFID vor seiner Inbetriebnahme eine DSFA durchgeführt und deren Ergebnis schriftlich dokumentiert haben. Inzwischen sind neue Stimmen vernehmbar, die sich eine DSFA auch für andere, sensible M2M-Technologien als verpflichtend vorstellen können.
- Datenschutz-Folgeabschätzung für RFID
- Wen betrifft die Datenschutz-Folgeabschätzung?
- Schritt 1 - Beschreibung der RFID-Anwendung
- Schritt 2 - Identifikation und Bewertung der Datenschutz-Risiken.
- Schritt 3 - Definition und Einführung von Steuerungsmaßnahmen.
- Schritt 4 - Dokumentation und Freigabe.
- Einsatz von Vorlagen - Vorteile und Grenzen
- Expertenkommentar - Die Rolle der Partner für RFID und Prozessoptimierung
- Expertenkommentar - M2M-Kommunikation und der Datenschutz
- Expertenkommentar - RFID erfordert umfassende Sicherheitsarchitektur
Lesen Sie mehr zum Thema
