EU: Neue Datenschutzleitlinien für die Benutzung von RFID-Applications

Rubrik: Nachrichten
M. Schröder, N. Bichler - 2B Advice GmbH - the privacy benchmark

Am 06.04.2011 akzeptierte die EU-Kommission eine Selbstverpflichtung der Wirtschaft zum Datenschutz bei dem Einsatz von RFIDs. Nach dieser Verpflichtung müssen Unternehmen die Risiken für den Datenschutz im Rahmen eines so genannten „PIA“ (Privacy and Data Protection Impact Assessment) analysieren und geeignete Maßnahmen treffen.

Die kleinen Funketiketten sind aus der heutigen Zeit nicht mehr wegzudenken. RFIDs sind uns allen schon begegnet. Sie sind in allen Bereichen des Alltags vertreten - vom Busfahrticket bis zur Container-Verladung. Beim Einsatz von RFIDs können in erheblichen Maß personenbezogene Daten anfallen. Um den Datenschutz zu gewährleisten und den Sorgen der Betroffenen zu begegnen, hat die Wirtschaft ein Verfahren für die Risikoabschätzung und die Risikovermeidung erarbeitet, das die EU-Kommission nun gebilligt hat.

Dieses sogenannte PIA-Framework legt das Vorgehen zur Risikoanalyse und Risikovermeidung fest. PIAs sind in zwei Phasen aufgeteilt: Die erste Phase besteht aus der Analyse durch die verantwortliche Stelle (RFID Application Operator), welche prüft ob überhaupt personenbezogene Daten verarbeitet werden und somit ein PIA nötig ist. Wenn dies zutrifft, muss entschieden werden, ob eine Voll- oder Teiluntersuchung notwendig ist. Die Volluntersuchung (Full Scale PIA) erfasst im Vergleich zur Teiluntersuchung (Small Scale PIA) mehr Details sowie einen größeren Betrachtungsbereich. Die Entscheidung, welche der Untersuchungen notwendig ist, hängt von der Art der Datenverarbeitung, welche in vier Stufen (Level) eingeteilt ist, ab. Es gibt vier Levels von Level 0 bis Level 3. Je höher der Level, desto mehr personenbezogene Daten werden verarbeitet und je höher sind die Anforderungen für das PIA.

Die Risikoanalyse und Aufschlüsselung der Sicherheitsmaßnahmen bildet die zweite Phase des PIA.

Unternehmen sollten daher ihre Aufmerksamkeit auf die Gestaltung der Verfahren im Umgang mit RFIDs richten. Bei dem Einsatz von RFID-Technologie bietet das PIA dem Unternehmen die Möglichkeit, die RFID-Verfahren strukturiert auf Herz und Nieren zu prüfen. Ein erfolgreiches PIA kann dazu dienen, das Vertrauen der Betroffenen zu gewinnen und zu stärken.

Datenschutzbeauftragte sollten in Erwägung ziehen, die (Vorab-)Kontrolle eines RFID-Verfahrens an dem PIA ausrichten.

 

Quelle:

ec.europa.eu/information_society/policy/rfid/documents/rfidpiapressrelease.pdf

ec.europa.eu/information_society/policy/rfid/documents/infso-2011-00068.pdf

 

(1515 mal gelesen)