Daten bleiben vorerst nur dann mehr oder weniger geschützt, wenn sie nicht mit Funkwellen übertragen werden
Anfang September hatte der kalifornische Senat ein vorbildliches Gesetz verabschiedet, das weitgehende Datenschutzregeln für den Gebrauch von Radio Frequenz Identification Devices (RFID) vorsah. Aber obwohl es mit einer großen Mehrheit verabschiedet wurde, verweigerte der republikanische Gouverneur Arnold Schwarzenegger seine Unterschrift unter den Identity Information Protection Act. Das Gesetz sah unter anderem vor, den Bürgern die Kontrolle darüber zu geben, ob von RFID-fähigen Karten Informationen übermittelt werden oder nicht. Der Zugriff auf die Daten ohne Wissen und Zustimmung der Bürger wäre prinzipiell zu einem Verbrechen geworden, das mit Gefängnis bis zu fünf Jahren hätte bestraft werden können. Besonders die öffentlichen Einrichtungen des Bundesstaates wären in die Pflicht genommen worden, die Bürger zu informieren, wo genau Lesegeräte stehen und welche Informationen mit ihnen gesammelt werden. Und – im Land der exorbitanten Schmerzensgeldforderungen nicht unwichtig – Opfer von Datendiebstahl hätten vom Staat Schadensersatz einfordern können.
Arnold Schwarzenegger ging das zu weit, das Gesetz sei "verfrüht". In seiner Begründung schreibt er, die Einschränkungen seien zu weit gefasst und würden "die zahlreichen nützlichen Einsatzmöglichen übermäßig erschweren". Außerdem verwies der Gouverneur darauf, dass bis heute eine bundesweite gesetzliche Regelung für RFID aussteht. Zwar hat die Regierung Bush den Einsatz im Real ID Act vorgeschrieben, aber dort keine technischen Standards oder sonstige Regeln festgesetzt. Deshalb sei es möglich, dass die kalifornischen Regelungen bald einem nationalen Gesetz widersprechen könnten.
Noch gibt es kaum Fälle, in denen Daten über Funkwellen illegal ausgelesen wurden. Aber der Markt für RFID-Chips wächst, und es sind gerade staatliche Stellen, die diese Entwicklung vorantreiben. Trotz heftiger Kritik von Datenschützern werden in den USA die Führerscheine und Reisepässe künftig mit einem kontaktlos maschinenlesbaren Chip ausgestattet. Das entsprechende Gesetz, auf das Schwarzenegger sich in seiner Ablehnung bezog, trat im Mai 2005 in Kraft, als Bestandteil des Budgets für das Pentagon von der Öffentlichkeit kaum bemerkt. Der Real ID Act verpflichtet alle Bundesstaaten bis zum Jahr 2008, alle Führerscheine mit einem gemeinsamen Standard maschinenlesbar zu machen.
RFID-Kritiker wie die Bürgerrechtsvereinigung American Civil Liberties Union (ACLU) hatten nun gehofft, der kalifornische Vorstoß würde als Vorlage für eine nationale Datenschutzregelung dienen. Diese Erwartungen sind vorerst geplatzt. Eingebracht hatte den Identity Information Protection Act der demokratische Senator Joe Simitian aus Palo Alto. Er zeigte sich enttäuscht, gibt die Sache aber nicht verloren. Spätestens in zwei Jahren will er einen überarbeiteten Entwurf erneut zur Abstimmung im kalifornischen Senat einbringen. Außerdem gibt es ähnliche Gesetzesvorhaben in zwanzig weiteren Bundesstaaten der USA. "Es geht nicht um die RFID-Technologie an sich", sagte der Senator in einem Interview, "die Frage ist, ob die Regierung die Bürger zwingen darf, eine Technologie zu verwenden, die ihre persönlichsten Informationen aussendet!" Den Anstoß zu dem Gesetz gab Simitian, dass eine Schule in seinem Bezirk ihre Schüler mit RFID-Halsbändern ausstattet hatte und so deren Bewegungen auf dem Schulgelände beobachtete. Der ursprüngliche Entwurf sah sogar vor, öffentlichen Einrichtungen den Einsatz von RFID für die nächsten drei Jahren ganz zu verbieten.
Das von Joe Simitian eingebrachte Gesetz behandelte nur Dokumente, die von staatlichen Stellen herausgegeben werden, wie etwa Führerscheine, Büchereiausweise und ähnliches. Trotzdem befürchten manche Hersteller von RFID-Systemen, dass durch einen Gesetzesrahmen die Technologie als gefährlich stigmatisiert und verlangsamt wird. Der Widerstand der Industrielobbys gegen das Gesetz blieb allerdings einigermaßen schüchtern. Mit Ausnahme der Security Industry Association – ein Verband von Herstellern biometrischer und anderer Zugangskontrolltechnologien – wandte sich niemand öffentlich gegen das Vorhaben. Andere Hersteller gaben dagegen an, mit dem Identity Identification Protection Act leben zu können.
Auch in der EU stehen RFID-Datenschutzgesetze an
Die amerikanische RFID-Industrie ist gespalten in Hardliner, die jede Regulierung verhindern oder wenigstens möglich lange hinausschieben wollen, und Vermittler, die glauben, den Bedenken in der Bevölkerung entgegenkommen zu müssen. Ähnlich sieht es in Europa aus. Zwar setzt auch hier die Industrie auf freiwillige Selbstverpflichtungen, aber kaum jemand glaubt, RFID-Gesetze langfristig aufhalten zu können. Heftig umkämpft bleibt, was sie enthalten werden. Dabei geht es vor allem um mögliche Warnhinweise auf Waren RFID-Tags und Vorgaben für die Speicherung der Daten. Kritiker wie der "Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs" (FOEBUD) haben den Einsatz von RFID wiederholt kritisiert. Ganz anders sieht es die deutsche Industrie: Im Juli warnten Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) und der Bundesverband der deutschen Industrie (BDI) vor einer "Überregulierung". Heinz-Paul Bonn, Vizepräsident der BITKOM, sagte: "Die EU-Kommission sollte Rahmenbedingungen setzten, die das Potential von RFID nicht schmälern oder behindern. Der Datenschutz in Europa und Deutschland ist durch die bestehenden Vorschriften hinreichend sichergestellt."
Die Europäische Union fördert derweil die digitale Funkidentifikation nach Kräften. Das Projekt "Building Radio Frequency Identification solutions for the Global Environment" (BRIDGE) lässt sie sich in den nächsten drei Jahren 7,5 Millionen Euro kosten. Das Konsortium soll Standards vereinbaren, Informationsmaterial erstellen, Pilotprojekte durchführen und allgemein RFID bekannt machen und Ängste in der Bevölkerung abzubauen. Vertreten sind in diesem Gremium nicht nur Universitäten, sondern Softwarehersteller wie SAP und Handelskonzerne wie Nestlé und Kaufhof. Auch die Bundesregierung fördert die Grundlagenforschung und anwendungsorientierte Projekte mit zweistelligen Millionenbeträgen, aber will den Kritiker auch entgegenkommen. Bernd Weismann, Leiter des Referats Informationsgesellschaft im Bundeswirtschaftsministerium, rät, die Ängste der Bürger ernst zu nehmen: "Man kann solche Technologie nicht gegen den Willen der Bürger und der Verbraucher einführen. Man muss sich zusammensetzten, und vernünftige Lösungen finden, auch ökonomisch sinnvolle Lösungen!"
Eine öffentliche Diskussion hält auch Vivianne Reding, die EU-Kommissarin für Informationsgesellschaft und Medien, für nötig. Die Kommission bereitet für Dezember eine Mitteilung bezüglich RFID an das Europäische Parlament vor. Reding erhofft sich von der Debatte "einen breiten Konsens" und "ein förderliches, stabiles politisches Umfeld". Alle Arten von Unternehmen sollten anregt werden, in die Technik zu investieren, gleichzeitig solle aber auch die Privatsphäre und der Schutz der personenbezogenen Daten gewahrt bleiben.
Bisher wurde der EU-Prozess allerdings fast ausschließlich von Experten wahrgenommen. Bei einer Befragung im Internet konnten die EU-Bürger Vorschläge und Bedenken äußern. Nun soll am 16. Oktober in Brüssel eine Expertenkonferenz stattfinden. Sowohl Industrievertreter als auch Bürgerrechtler werden dann versuchen, den Entwurf in ihrem Sinne zu beeinflussen. Unwahrscheinlich, dass der Entwurf Hersteller und Datenschützer gleichermaßen zufrieden stellen wird.
Matthias Becker
Heise Online, Hannover, 09. Oktober 2006
Original: http://www.heise.de/tp/r4/artikel/23/23710/1.html