IKT: EU-Maßnahmen gegen zunehmende Datenschutzbedenken [DE][en][fr] 

• Suchmaschinen

Am 19. Februar 2008 zogen die nationalen für Datenschutz zuständigen Regulierungsbehörden der EU der so genannten „Artikel 29 Datenschutzgruppe“ den Schluss , dass die Tätigkeiten von Suchmaschinen unter die Datenschutzrichtlinie der EU  fielen. Letztere stellt fest, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn das Datensubjekt eindeutig seine Zustimmung erteilt hat.

Wenn sie auf nationaler Ebene umgesetzt wird, stellt diese Entscheidung einen radikalen Kurswechsel im Vergleich zur bisherigen Arbeitsweise von Suchmaschinen dar. Weil Suchanfragen als personenbezogene Daten betrachtet werden, wird von Google und Yahoo gefordert werden, dass sie die Zustimmung eines jeden Nutzers einholen müssen, um diese Informationen speichern zu dürfen.

Bisher speicherten und verwendeten Suchmaschinen diese Art der Informationen in unbeschränktem Umfang und ohne die Zustimmung des Nutzers, der sich gewöhnlich nicht der Tatsache bewusst war, dass eine Suchanfrage zu persönlichen Daten zählt. In der Tat ist dem aber so, da es einfach ist, nach einer Reihe von Anfragen ein detailliertes Profil eines Internetnutzers zu erstellen, das zu gewerblichen Zwecken genutzt werden kann.

Die Regulierungsbehörden einigten sich auch, dass diese Bestimmungen für Suchmaschinen gelten, die außerhalb der EU ansässig sind, wenn sie automatisierte Anwendungen nutzen, die in einem der Mitgliedstaaten zum Zweck der Verarbeitung personenbezogener Daten vorhanden sind. Eine rechtlich verbindliche Stellungnahme zum Thema wird für den April 2008 erwartet.

• RFID

Am Donnerstag, den 21. Februar 2008, legte die Europäische Kommission einen Empfehlungsentwurf für die Anbieter vor, welche die RFID-Technologie einsetzen. Der Entwurf enthält Leitlinien, die zur Vermeidung von Datenschutzverletzungen respektiert werden müssen. Damit wurde offiziell eine öffentliche Anhörung zum Thema in die Wege geleitet.

Da man sich in Bezug auf RFID offensichtlich in einem rechtsfreien Raum befindet, schlägt die Kommission vor, die gleichen Regeln zum Datenschutz, wie sie auch in anderen Bereichen gelten, auf diese neue Technologie anzuwenden. Die Aktualisierung der gegenwärtigen Rechtslage ist aufgrund der schnellen Verbreitung von RFID-Geräten notwendig, die bald Strichkode in Einzelhandelsläden ersetzen könnten.

Vor diesem Hintergrund schlägt Brüssel vor, für RFID das so genannte Opt-In-Prinzip einzuführen, womit die Zustimmung des Nutzers notwendig würde, falls personenbezogene Daten in den Kennzeichnungen enthalten sein sollten. Das Prinzip sollte in Geschäften angewendet werden, in denen RFID-Kennzeichnungen regelmäßig verwendet werden. Beim Verlassen des Geschäfts durch den Käufer könnten sie automatisch deaktiviert werden, es sei denn, der Verbraucher entscheidet, dass die Kennzeichnung aktiv bleiben soll.

Momentan sind sich die Verbraucher im Allgemeinen nicht der Präsenz der RFID-Kennzeichnungen bewusst, die bereits bei verschiedenen Produkten, wie Treuekarten, die in Supermärkten und anderen Geschäften verteilt werden, verwendet werden. Die Prozessoren in den Kennzeichnungen enthalten personenbezogene Daten, die grundsätzlich von jedem gelesen werden können, der ein relativ günstiges Lesegerät für die Kennzeichen benutzt. Durch diesen Umstand sind Verbraucher einer  Reihe von Risiken ausgesetzt, die von finanziellen Schäden (verbunden mit der Beschaffung von Kreditkartennummern) bis hin zu Identitätsbetrug reichen.

Um das geringe Bewusstsein der Bürgern über RFID trotz deren zunehmender Verbreitung zu bekämpfen, fordert die Kommission die Anbieter auch auf, ‚deutlich’ das Vorhandensein von RFID zu kennzeichnen, wenn sie an öffentlichen Plätzen verwendet werden.

„Von der Bekämpfung von Produktfälschungen bis zur Verbesserung der Gesundheitsfürsorge bieten RFID-Funkchips gewaltige Chancen für die Wirtschaft und die Gesellschaft“, sagte Viviane Reding, Kommissarin für Informationsgesellschaft und Medien. Reding betonte jedoch, „dass wir die Nutzung der RFID-Technik in Europa unter Wahrung des Datenschutzes und der Privatsphäre vorantreiben sollten“.

Der europäische IT-Branchenverband EICTA sagte, RFID als Grundlagentechnologie sei die Basis für eine Bandbreite an Geräten. Die meisten dieser Anwendungen speichern und verwenden keine personenbezogenen Daten. Die Chips enthalten stattdessen Nummerncodes, um Waren zu identifizieren oder um über den Herstellungsprozess zu informieren.

Dennoch müssten Nutzer eine Möglichkeit haben, der Verwendung dieser Informationen, die durch RFID-Geräte erfasst würden, zuzustimmen, so ein Positionspapier der EICTA über RFID. Beispielsweise sollten Verbraucher, insofern dies möglich sei, die Chance haben, zu wählen, ob die Verwendung der RFID-Technologie nach dem Verkauf erwünscht sei und ob die Informationen für Programme zur Kundenbindung verwendet werden dürften.

Funkfrequenzkennzeichnung (RFID) sei bereits ‚ein Teil unseres Lebens’: ein kleines Etikett in oder an einem Produkte enthalte Informationen, die es ermöglichten, jedes Objekt einzeln ausfindig zu machen und zu identifizieren, so BEUC, der europäische Verbraucherverband. Zu diesen Daten zählten Informationen über die Herkunft eines Produktes, dessen Herstellungszeitpunkt oder personenbezogene Daten im Fall von Kreditkarten.

In der Pressemitteilung heißt es weiter, wenn die erworbenen Verbrauchsgüter ein RFID-Etikett enthielten, könnten Informationen über Kaufverhalten gesammelt und gespeichert werden. Dies bringe Herausforderungen hinsichtlich des Datenschutzes und weiterer Grundrechte der Verbraucher mit sich.

Potentielle Risiken im Hinblick auf Datenschutz seien im Allgemeinen ein Grund zur Sorge für Einzelpersonen als auch für Organisationen. Die wichtigsten Charakteristika und Funktionalitäten der RFID-Technologien hätten das Potential, sowohl Nutzen zu bringen als auch Fehlwahrnehmungen herbeizuführen oder den Datenschutz zu beeinträchtigen. RFID-Systeme, die Daten sammelten, die mit identifizierten oder identifizierbaren Einzelpersonen im Zusammenhang stünden, führten insbesondere zu Problemen hinsichtlich des Datenschutzes. Letztere sollten als eine der wichtigsten Herausforderungen bei der Anpassung der Technologie in einer Reihe von Bereichen erachtet werden. In den meisten Fällen hänge die mögliche Verletzung der Privatsphäre durch die Nutzung der RFID-Technik sowohl von der verwendeten Technologie als auch vom Kontext ab. Dies stellte ein Bericht fest, der im Januar 2008 von der OECD veröffentlicht wurde.

Eine Verbraucherumfrage von Cap Gemini und Ernst & Young aus dem Jahr 2004 zeigt, dass Datenschutz und Privatsphäre ganz oben auf der Liste der Bedenken über RFID von US-Verbrauchern stehen.