Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11

Internationales

11.1

Flugdatenaffäre: Überzogene Datenwünsche der USA

Seit März 2003 haben US-Behörden Zugriff auf die Buchungsdatenbanken europäischer Airlines bei transatlantischen Flügen, obwohl dies im Widerspruch zu europäischen und nationalen Datenschutzbestimmungen steht. Während die Europäische Kommission in Verhandlungen mit den USA den Grundstein für dieses zweifelhafte Vorgehen gelegt hatte, bemühen sich das Europäische Parlament und andere Gremien um eine datenschutzgerechte Lösung, die aber zurzeit noch nicht in Sicht ist.

Unter dem Eindruck der Terroranschläge vom 11. September 2001 ist in den USA ein Gesetz verabschiedet worden, welches allen ausländischen Fluglinien für Flüge in bzw. aus den USA vorschreibt, ihre Buchungssysteme für die US-Zollbehörden zu öffnen. Bis zu diesem Zeitpunkt erhielten US-Behörden von jedem Flug aus einem EU-Land in die Vereinigten Staaten lediglich die Passagierlisten nach Abschluss des Checkin. Bereits vor dem In-Kraft-Treten des Gesetzes gab es eine Absprache zwischen den USA und der Europäischen Kommission, in welcher die Einzelheiten des Datenzugriffs der USA festgelegt wurden. Die Öffentlichkeit erfuhr erst im Nachhinein von dieser Vereinbarung. Allem Anschein nach wurden die Vorschriften der EG-Datenschutzrichtlinie 95/46/EG, die bei Datentransfers in Länder außerhalb der EU hohe Voraussetzungen vorschreiben, beim Abschluss dieser Vereinbarung nicht beachtet. Einige europäische Fluggesellschaften haben trotzdem ihre Buchungssysteme für den Zugriff durch den US-Zoll geöffnet. Die Passagiere werden allenfalls über den Umstand informiert, dass etwa 40 Einzelinformationen von Personen durch den US-Zoll abgerufen werden; sie können die Übermittlung jedoch nicht beeinflussen oder gar untersagen.

Die Übermittlung ist aus folgenden Gründen nicht mit den geltenden europäischen und nationalen Datenschutzbestimmungen vereinbar:

• Pull-Verfahren statt Push-Verfahren

Momentan "ziehen” US-Zollbehörden im Wege eines Vollzugriffs etwa 40 Daten je Fluggast (so genanntes "Pull-System”) aus den IT-Systemen der Airlines. Dieser uneingeschränkte Vollzugriff auf die Buchungsdatenbanken müsste zumindest durch ein "Push-Verfahren” ersetzt werden: Dies hätte zur Folge, dass nur diejenigen Datenfelder pro Passagier von den Fluggesellschaften bereitgestellt werden, die Europa liefern will bzw. muss. Das technische Konzept für ein entsprechendes Verfahren wurde bereits entwickelt und sowohl von der Artikel 29-Gruppe als auch von den betroffenen europäischen Fluglinien begrüßt.

• Fehlende Einhaltung des Zweckbindungsprinzips

Da sich die US-Zollbehörden ausdrücklich vorbehalten haben, auch sensible Daten der Passagiere an andere US-Sicherheitsbehörden weiterzugeben, und es in den Vereinigten Staaten keine Datenschutzvorschriften nach europäischem Standard gibt, ist die Einhaltung der Zweckbindung äußerst fraglich. Zwar wurde vom US-Department of Homeland Security versichert, dass kommerzielle Datenfirmen keinen Zugriff auf die personenbezogenen Passagierdaten erhalten würden. Nichtsdestotrotz wurden die Daten bereits für das Data-Mining-Programm CAPPS II verwendet. Auch räumte die US-Airline JetBlue die zweckentfremdete Weitergabe von Passagierdaten an eine US-Rüstungsfirma ein. Eine Beschwerdeinstanz für Unionsbürger fehlt bei den verantwortlichen US-Behörden, sodass sie gegen eine Weitergabe sensibler Daten machtlos sind.

• Unverhältnismäßigkeit der Datensammlung, insbesondere der Datenmenge und Speicherfrist

Zudem behalten sich die US-Behörden vor, die Liste der übertragungspflichtigen Daten von derzeit etwa 40 Angaben beliebig zu erweitern. Während die Kommission die Verkürzung der ursprünglichen Speicherfrist von 50 (!) Jahren auf sieben Jahre als Fortschritt in den Verhandlungen mit den USA verbucht, fordert das Europäische Parlament die Beschränkung der Speicherfrist auf die Aufenthaltsdauer des jeweiligen Passagiers in den USA. Dass die praktizierte Übermittlung nicht dem Verhältnismäßigkeitsgrundsatz genügte, wird auch von der Europäischen Kommission nicht infrage gestellt.

Die Internationale Konferenz der Datenschutzbeauftragten in Sydney hat die Flugdatenaffäre aufgegriffen. In einer Entschließung vom September 2003 wurde bekräftigt, dass regelmäßige internationale Transfers von Passagierdaten nur innerhalb eines bestimmten datenschutzrechtlichen Rahmens erfolgen dürfen. Dieser könnte z. B. in einem internationalen Abkommen festgelegt werden, das den Zweck der Übermittlung klar definieren sowie die Verhältnismäßigkeit und zeitliche Begrenzung der Datenverarbeitung, die Gewährleistung der Rechte betroffener Passagiere und eine unabhängige Aufsicht gewährleisten müsse.

Die Europäische Kommission räumt ein, dass die mit den USA getroffene Abmachung keine Rechtsgrundlage für Datenübermittlungen darstellt. Sie geht aber davon aus, dass die europäischen Airlines auf Anfrage der US-Behörden ihre Buchungsdatenbanken ohnehin geöffnet hätten. Die USA hatten in Aussicht gestellt, im Falle der Verweigerung der Datenübermittlung den europäischen Fluggesellschaften die Landerechte zu entziehen. Dass dieses Argument nicht wirklich durchgreift, zeigt sich nicht zuletzt daran, dass kleinere Fluggesellschaften wie Austrian Airlines und Alitalia bis zuletzt beharrlich die Übermittlung der geforderten Daten verweigerten - ohne negative Konsequenzen. Zumindest muss sich die EU-Kommission vorhalten lassen, dass sie mit der Abmachung die Datenweitergabe vereinfacht hat - auf Kosten der Freiheitsrechte der Unionsbürger.

Nachdem bekannt wurde, dass die US-Zollbehörden tatsächlich einen Zugriff auf die Reservierungsdatenbanken europäischer Airlines haben, regte sich Widerstand von verschiedenen Seiten. Bereits im März 2003 übte die Artikel 29-Datenschutzgruppe der EU deutliche Kritik an der vereinbarten Weitergabe der Passagierdaten und forderte, die Umsetzung der Vereinbarung aufzuschieben, bis eine den Rechten der Betroffenen angemessene, rechtlich sichere Lösung gefunden ist. Das Europäische Parlament hat sich ebenfalls gegen die Datenübermittlung in der von der Kommission und der USA vereinbarten Art und Weise ausgesprochen. Im Oktober 2003 hat es in einem mit breiter Mehrheit angenommenen Entschließungsantrag die Kommission aufgefordert, innerhalb von zwei Monaten die Abmachungen mit den US-Behörden zur Flugdatenweitergabe an das geltende EU-Datenschutzrecht anzupassen. Andernfalls hat das Europäische Parlament die Anstrengung eines Vertragsverletzungsverfahrens gegen die Europäische Kommission gemäß Artikel 232 EGV vor dem Europäischen Gerichtshof (EuGH) in Aussicht gestellt.

Rechtzeitig zum Fristablauf legte EU-Kommissar Frits Bolkestein im Dezember 2003 eine mit den USA erzielte Einigung vor. Dabei handelt es sich um ein so genanntes sektorübergreifendes Konzept, welches einen zeitlich auf dreieinhalb Jahre befristeten Rechtsrahmen für die Übermittlung der Passagierdaten an die USA beinhaltet. Dafür wurde die Angemessenheit des Datenschutzstandards in den USA durch ein bilaterales Abkommen als gegeben unterstellt.

Die in den Verhandlungen mit dem US-Heimatschutzministerium von der EU-Kommission gesetzte "clear deadline” bewirkte, dass die US-Seite ihre starre Haltung aufgab und zu Zugeständnissen bereit war: Die Frist für die Speicherung der Passagierdaten soll nunmehr dreieinhalb Jahre betragen; die Zahl der übertragungspflichtigen Dateneinheiten wurde auf 34 reduziert. Diese sollen zukünftig nach einem Push-Verfahren übermittelt werden. Die Flugdaten sollen nicht zur allgemeinen innerstaatlichen Verbrechensbekämpfung, sondern ausschließlich zu Zwecken der Terrorismusbekämpfung und gegen organisierte Kriminalität verwendet werden. Die amerikanische Zoll- und Grenzschutzbehörde hat sich zudem bereit erklärt, sich an einer jährlichen Überprüfung der Umsetzung der festgelegten Verpflichtungen durch die EU-Kommission zu beteiligen.

Im Virtuellen Datenschutzbüro ist die US/EU-Flugdatenaffäre dokumentiert. Die Informationen sind in einem Dossier zusammengetragen unter

www.datenschutz.de/feature/flugdaten

11.2

Trusted Computing

Hersteller von EDV-Produkten kämpfen auf dem Markt zunehmend mit Viren, Würmern und Sicherheitslöchern in Betriebssystemen und Internet-Programmen. "Trusted Computing” soll insofern für mehr Sicherheit sorgen. Hinterfragt man die Konzepte, stellt sich aber die Frage, wer hier vor wem geschützt wird.

Der Begriff "Trusted Computing” wurde von der Trusted Computing Platform Alliance (TCPA) kreiert. Dabei handelte es sich um einen Zusammenschluss von EDV-Firmen, in dem Spezifikationen standardisiert werden, um eine Interoperabilität von vertrauenswürdigen Systemen verschiedener Hersteller zu gewährleisten. Gegründet wurde die TCPA im Jahre 2002 von den Firmen Compaq, Hewlett-Packard, Intel, IBM und Microsoft. Die TCPA hat derzeit ca. 200 Mitglieder. Im Sommer 2003 übernahm die Trusted Computing Group (TCG) die Weiterentwicklung der Spezifikationen und trat die Nachfolge der TCPA an. Ein "trusted” System im Sinne der TCG ist im Vergleich zu einem herkömmlichen System um ein so genanntes Trusted Platform Module (TPM) erweitert. Dabei ist der Einsatzbereich eines TPM nicht auf Personal Computer beschränkt, sondern z. B. auch für Mobiltelefone geplant.

Microsoft beabsichtigt, in die zukünftigen Versionen seines Betriebssystems Windows ein darüber hinausgehendes Sicherheitskonzept (NGSCB) zu integrieren, und benutzt hierfür den Begriff Trustworthy Computing (als TC abgekürzt; deutsch: vertrauenswürdige Datenverarbeitung). Kritiker interpretieren das Kürzel TC dagegen mit Treacherous Computing (engl: heimtückische Datenverarbeitung), um auf das von dieser Technologie ausgehende Gefahrenpotenzial hinzuweisen.

Ein System, das über ein TPM verfügt, kann als so genannte Trusted Platform agieren. Im Unterschied zu vielen Veröffentlichungen, insbesondere aus der Anfangsphase der TC-Diskussion, handelt es sich beim TPM nicht um eine Komponente, die aktiv bestimmte Aktionen des Nutzers einfordert oder verhindert. Ein TPM kann lediglich das Betriebssystem bei kryptographischen Funktionen unterstützen, einen abgesicherten Speicherbereich für kryptographische Schlüssel zur Verfügung stellen und den Betriebszustand eines Rechners messen sowie Änderungen des Zustandes feststellen. Damit wäre eine Trusted Platform unanfällig gegen Manipulationsversuche, da eine Modifikation des Systems bzw. seiner Komponenten mithilfe des TPM vom Betriebssystem erkannt und gegebenenfalls blockiert werden kann.

Eine solche Technologie kann durchaus datenschutzgerecht gestaltet und eingesetzt werden. Wir stehen daher in Kontakt mit der TCG, um frühzeitig von neuen Entwicklungen zu erfahren und gegebenenfalls beratend tätig zu sein. In der Ende 2003 verabschiedeten TPM-Spezifikation 1.2 ist mit "Direct Anonymous Attestation” (DAA) nun ein Mechanismus in den Standard eingeflossen, der es Trusted Platforms erlaubt, sich gegenseitig verlässlich ihre Integrität zu bestätigen, ohne dafür eine so genannte Trusted Third Party (deutsch: zuverlässige dritte Partei) in Anspruch nehmen zu müssen. Dies hat den deutlichen Vorteil, dass damit keine Datenspuren über die Kommunikation zwischen den beiden Systemen an einer zentralen Stelle anfallen.

Die Einführung von DAA ist ein Schritt in die richtige Richtung; allerdings leistet auch die neue Spezifikation noch immer nicht, dass der Eigentümer eines Systems die vollständige Kontrolle über sämtliche in einem TPM enthaltenen kryptographischen Schlüssel erhält. Da das grundlegende Schlüsselpaar eines TPM, der so genannte Endorsement Key (deutsch: Bestätigungsschlüssel), im Herstellerwerk erzeugt wird, kann dort theoretisch auch ein "Nachschlüssel” gespeichert werden. Hier ist eine Weiterentwicklung seitens der TCG noch dringend erforderlich.

Die Firma Microsoft plant, in der nächsten Version von Windows (Arbeitstitel "Longhorn”) Trustworthy Computing intensiv zu nutzen, um zum einen die Sicherheit der Systeme zu erhöhen und zum anderen die Grundlage für ein umfangreiches Digital Rights Management (deutsch: digitale Rechteverwaltung) zu bieten (vgl. Tz. 11.3). Dieses Projekt wurde unter dem Namen Palladium bekannt und von Microsoft inzwischen in Next Generation Secure Computing Base (NGSCB) umbenannt.

Um die genannten Ziele zu erreichen, sollen mittelfristig die TC-Funktionen eines TPM in entsprechende CPUs integriert (z. B. Intel LaGrande CPU) und seitens der Hardware getrennte Speicherbereiche für Programmcode und Arbeitsdaten zur Verfügung gestellt werden. Damit soll sichergestellt werden, dass Prozesse und deren Daten voneinander abgeschottet sind, sodass eine gegenseitige Beeinträchtigung ausgeschlossen wird. Durch den Einsatz von Kryptographie soll weiterhin gesichert werden, dass nur entsprechend autorisierte Applikationen bestimmte Daten lesen oder schreiben können.

Während der Einsatz von TC durchaus geeignet sein kann, datenschutzgerechte Systeme zu erstellen, kann man mit dieser Technologie auch sehr eingriffsintensive Systeme gestalten. In den TPM-Spezifikationen sowie den Veröffentlichungen zu NGSCB ist deutlich zu erkennen, dass die Entwicklung vor allem den Interessen großer Unternehmen entspricht, während Privatanwender nicht zu Unrecht fürchten, die Hoheit über ihre Daten und Systeme an die Hersteller von Hard- und Software zu verlieren. Ein "trusted” System schützt nicht mehr den Besitzer vor Angriffen von außen, sondern in erster Linie das System vor dem Besitzer, der nicht mehr allein entscheidet, was wie auf seinem System geschieht.

Dies hat gleichermaßen Auswirkungen auf öffentliche wie nichtöffentliche Daten verarbeitende Stellen, die die Verantwortung für die Datenverarbeitung nur dann wirklich wahrnehmen können, wenn eine Kontrolle ihres Systems nicht von außen stattfindet (vgl. Tz. 6.4).

11.3

Digital Rights Management

Digital Rights Management (DRM) ermöglicht es, vor der Übertragung von Daten festzulegen, was der Empfänger mit diesen anstellen darf. So kann beispielsweise festgelegt werden, dass ein Film nur innerhalb eines bestimmten Zeitraumes abgespielt werden kann oder dass ein Musikstück sich nicht auf CD brennen lässt. Um die Einhaltung dieser Restriktionen zu sichern, nehmen viele dieser DRM-Mechanismen per Internet Kontakt mit einem zentralen Server auf. Dass dort dabei aussagekräftige personenbezogene Daten anfallen, ist den Nutzern meist nicht bewusst.

Musik- und Filmindustrie jammern über schwindende Umsätze. Schuld daran seien nicht mangelnde Originalität oder zu hohe Preise ihrer Produkte, sondern vielmehr die Massen unberechtigt angefertigter Kopien. Durch Einsaz von Digital Rights Management (digitale Rechteverwaltung) soll hier Abhilfe geschaffen werden, denn dann entscheidet nicht mehr der Eigentümer bzw. Nutzer eines Rechners, was mit eingehenden Daten geschehen soll, sondern diejenigen, die die Daten bereitstellen, können festlegen, welche Art der Verarbeitung erlaubt und welche verboten ist. Das Gleiche gilt für Software, die dann "selbst entscheidet”, ob sie ihre Funktion ausführt oder nicht.

Damit wird es möglich, Beschränkungen für die Nutzung von Software und Daten auch dann technisch durchzusetzen, wenn dies auf juristischem Wege nicht durchsetzbar wäre. Exemplarisch sind hier zunächst die Lizenzbedingungen anzuführen, denen man bei der Installation von Software oft per Mausklick zustimmen muss. Während diese in Deutschland oftmals keine rechtliche Bindung des Nutzers bewirken, können die darin enthaltenen Bestimmungen mittels DRM dennoch durchgesetzt werden. Festgesetzt werden kann unter anderem, dass die zum Abspielen eines Musikstückes eingesetzte Software vor der Wiedergabe einen Server per Internet kontaktiert, um zu prüfen, ob die entsprechende Berechtigung noch gültig ist. Dabei fallen auf dem kontaktierten Server zwangsläufig Daten an, die zur Bildung eines Nutzungs- und Interessenprofils geeignet sind.

Bereits seit einiger Zeit enthalten viele Mediaplayer Funktionen, um auch bei nicht DRM-beschränkten Medieninhalten die Konsumgewohnheiten der Nutzer auszuforschen und an einen zentralen Server zu melden. Wenn man Glück hat, findet sich in den Tiefen der Konfigurationsdialoge eine entsprechende Option oder irgendwo im Internet ein Hilfsprogramm eines Drittanbieters, um der Software das Spionieren zu verbieten. Dazu muss man aber zunächst um diese Funktionen und die entsprechende Abhilfe wissen. Positiv fallen einige Open-Source-Player auf - den Datensammelteil sucht man bei ihnen vergeblich.

In Verbindung mit spezieller Hardware, die ein System vor Manipulationsversuchen schützt (vgl. Tz. 11.2), können Datensammler zukünftig ihre Interessen durchsetzen - selbst wenn sie dabei gegen Datenschutzbestimmungen verstoßen. Ein Nutzer, der gegebenenfalls vor der Wahl steht, einen bereits bezahlten Film nicht sehen zu können oder mit einem Mausklick doch seine "freiwillige” Einwilligung in unüberprüfbare Datenübermittlungen und -speicherungen zu geben, hat nicht mehr die Möglichkeit, ohne Preisgabe seiner Privatsphäre zu seinem Recht zu kommen.

Es lassen sich prinzipiell alle Daten per DRM in ihrer Verwendung einschränken. Für neuere Versionen von Office-Paketen ist die Einführung bereits angekündigt, um so den Schutz eigener Dokumente zu ermöglichen. Man darf sich allerdings nicht wundern, wenn man demnächst von seinen Textverarbeitungsprogrammen freundlich darauf hingewiesen wird, dass man zwar im Besitz guter und ausgereifter Software sei, die Lizenz aber abgelaufen und nun ein kostenpflichtiges Update erforderlich sei, ohne das man leider auch keinen weiteren Zugriff auf die eigenen Dokumente mehr habe. Auch mit DRM ist bisher allerdings eine Lizenzbestimmung nicht durchsetzbar, die unlängst in einem neuen E-Book-Shop die potenziellen Käufer verwunderte: Neben dem Drucken, Kopieren und Verleihen des E-Books war dort explizit auch das laute Vorlesen verboten.

Durch den Einsatz von DRM werden zahlreiche datenschutzrechtliche Fragen aufgeworfen. Gesetzlich sind die aktuellen Bestrebungen, das DRM zum Schutz urheberrechtlich geschützter Werke im digitalen Kontext auch technisch zu gewährleisten, auf die EU-Richtlinie 2001/29/EG zurückzuführen. Deren Umsetzung in nationales Recht innerhalb der Umsetzungsfrist zur "Harmonisierung bestimmter Aspekte des Urheberrechts” wurde zunächst von nahezu allen Mitgliedstaaten versäumt. Inzwischen ist mit Gesetz vom 15. September 2003 in Deutschland zumindest das neue Urheberrecht in Kraft getreten und damit auch der neue § 95 a UrhG, der sich mit der Zulässigkeit des DRM und dem Verbot der Umgehung entsprechender Schutzvorrichtungen befasst.

Aus Datenschutzsicht besonders interessant ist, ob unter die "technischen Maßnahmen zum Schutz eines [...] geschützten Werkes” auch technische Verfahren zur Registrierung des Nutzerverhaltens fallen. Es zeichnet sich ab, dass hier zu differenzieren ist. Ist eine Maßnahme in erster Linie für die Durchsetzung der Urheberrechte notwendig, so dürfte sie zulässig sein. Zielt sie hingegen auf Direktmarketing ab, und ist der Schutz vor Urheberverletzungen nur von zweitrangiger Bedeutung, so sind unter Umständen die Datenschutzrechte der Nutzer verletzt.

Aber auch ganz allgemeine datenschutzrechtliche Fragen stellen sich je nach Ausgestaltung des Digital Rights Managements. Wird der Nutzer rechtzeitig vor der Erhebung von Daten über dessen genauen Inhalt und Zweck aufgeklärt? Hat er noch die freie Möglichkeit, seine Einwilligung zur Verarbeitung der Daten zu verweigern oder später zurückzuziehen? Werden die Daten tatsächlich nur zur Durchsetzung des Urheberrechts benutzt, oder besteht die Gefahr, dass andere Ziele (wie z. B. Direktmarketing) (mit-)verfolgt werden? Wird auf die Grundsätze der Datenvermeidung und der Datensparsamkeit Rücksicht genommen, sodass auch z. B. die Nutzung des urheberrechtlich geschützten Werkes anonym bzw. pseudonym möglich ist? Wird bei den Speicherfristen je nach Dienst und Zweck (Abrechnungsdaten, Nutzungsdaten, HGB-Aufbewahrungsfristen usw.) differenziert? Werden sie eingehalten?

Das durchaus berechtigte Interesse von Herstellern und Vertreibern von urheberrechtlich geschützten Werken am Schutz ihrer Rechte darf nicht dazu missbraucht werden, personenbezogene Daten bzw. das Nutzungsverhalten des Kunden auszuspionieren. Die Verlockung hierzu bei der Industrie dürfte jedoch groß sein. Die Anwendung unterschiedlicher Rechtssysteme im Bereich des Datenschutzes (z. B. USA - EU) erschwert die Transparenz bei der Datenverarbeitung für Kunden wie auch Datenschutzbehörden.

11.4

RFID und allgegenwärtiges Computing

In fast jedem Alltagsgegenstand steckt bald ein kleiner Chip. Nicht immer wird man ihn sehen können, aber stets ist es möglich, mit ihm per Funk zu kommunizieren. Neuere Chipgenerationen reden nicht mehr nur mit speziellen Lesegeräten, sondern auch miteinander.

Radio Frequency Identification (RFID, deutsch: Identifizierung per Funk) dient dem kontaktlosen Speichern und Auslesen von Daten. Die Daten werden auf so genannten RFID-Tags (kleine Etiketten) gespeichert, die nahezu überall befestigt werden können. Diese Systeme sollen die heute üblichen Barcodes ablösen, die zwar ebenfalls maschinenlesbar sind, dazu aber eine Sichtverbindung benötigen, während RFID-Tags je nach Modell Distanzen von wenigen Zentimetern bis ca. 30 Metern überbrücken können.

Ein Barcode identifiziert in der Regel ein Objekt lediglich als zu einer bestimmten Kategorie gehörend - RFID-Tags hingegen können jedes Objekt mit einer eindeutigen Kennung versehen, anhand derer sich Informationen zu diesem Gegenstand mit einer Datenbank abgleichen lassen. Dies bietet im Logistikbereich viele Vorteile, ist aber nicht ohne Folgen für die Privatsphäre: Da für das Lesen der Kennung kein Sichtkontakt erforderlich ist, ist es für eine Person nicht bemerkbar, wenn ein RFID-Tag gescannt wird, von dem man vielleicht gar nicht weiß, dass man ihn mit sich führt.

Sind solche RFID-Tags zum Beispiel in Schuhsohlen eingegossen, kann man davon ausgehen, dass jedes Mal, wenn die eindeutige Kennung irgendwo ausgelesen wird, sich die gleiche Person dort befindet, denn der Tausch von Schuhen mit anderen Personen ist äußerst ungewöhnlich. RFID-Tags werden schon heute für Zugangskontrollen, Wegfahrsperren, Lagerverwaltung, Tierkennzeichnung oder Mautsysteme eingesetzt. Diskutiert wird derzeit auch der Einsatz in Euro-Banknoten. Es handelt sich nicht um eine Zukunftsvision, sondern um eine ausgereifte und allgemein verfügbare Technologie.

Die zunehmende Verbreitung von RFID-Tags birgt z. B. das Risiko der Erstellung personalisierter Einkaufs- und Nutzungsprofile. In Verbindung mit Informationen aus anderen Datenbanken, geographischen Ortungssystemen oder mit Lokalisationsdaten etwa aus dem Mobilfunk kann sich dies leicht vom allgegenwärtigen Computing zu einer allgegenwärtigen Überwachung ausdehnen.

Es läuft der informationellen Selbstbestimmung zuwider, wenn nicht erkennbar ist, wo RFID-Tags sind und wann und welche Daten sie an wen übertragen. Die Betroffenen können sich kaum gegen eine versteckte Datenerhebung schützen. Die Internationale Konferenz der Datenschutzbeauftragten hielt 2003 in einer von uns mitgestalteten Resolution fest, dass personenbezogene Daten aus RFID-Tags nur in einer offenen und transparenten Weise erhoben werden dürfen, um einen ungerechtfertigten Eingriff in die Privatsphäre zu verhindern.

Auch andernorts äußert man sich skeptisch: Das US-amerikanische Auto-ID Center des MIT fordert "the right to know whether a product contains an EPC (Electronic Product Code) tag, and whether a public place is using public readers”, Wissenschaftler der RSAlabs entwarfen einen RFID-Blocker, der den Datenaustausch zwischen Etikett und Lesegerät behindert, und der deutsche Verein zur Förderung des bewegten und unbewegten Datenverkehrs (FoeBuD) arbeitet zur verbesserten Wahrnehmung und Sensibilisierung an der Entwicklung eines Warnsensors, der u. a. akustisch meldet, wenn sich RFID-Tags oder Lesegeräte in der Nähe befinden.

Aufgrund der Datenschutzvorbehalte gegen den RFID-Einsatz seitens der Verbraucher sehen die Spezifikationen inzwischen auch Mechanismen vor, um RFID-Tags unbrauchbar zu machen, indem z. B. der Speicherinhalt gelöscht oder durch ein spezielles Kommando eine Sicherung im Tag durchgebrannt wird. Um hier einen Missbrauch zu verhindern, bedarf es allerdings der Implementierung geeigneter Protokolle zur Authentisierung.

Damit nicht genug: Die Beratende Gruppe für Technologie der Informationsgesellschaft (ISTAG) der EU zeichnet mit "Ambient Intelligence Landscape” eine Welt vor, in der alle möglichen Alltagsgegenstände miteinander kommunizieren und auf die Anwesenheit von bestimmten Personen mit spezifischen Verhaltensweisen reagieren. Dies wird in den entsprechenden Aufsätzen als bequem und komfortabel dargestellt, beinhaltet aber das Risiko, dass Dritte sich die leicht erfassbaren Verhaltensmuster einer Person zugänglich machen und die informationelle Selbstbestimmung ausgehebelt wird.

Smart Dust ist eine weitere Anwendung für allgegenwärtige Datenverarbeitung. Es handelt sich dabei um winzige Chips, die in großen Mengen eingesetzt werden, sich miteinander vernetzen, ihre Umgebung überwachen und die dabei anfallenden Daten an eine Basisstation übermitteln. Für diese extrem unauffällige Überwachung gibt es zahlreiche zivile und militärische Einsatzszenarien. Die Privatsphäre der Menschen kann dabei allerdings auf der Strecke bleiben. Wir empfehlen daher den regelmäßigen und gründlichen Hausputz.