Datensicherheit von RFID-Systemen
Der Datenschutz spielt beim Einsatz von RFID-Systemen eine wichtige Rolle. Ziel und Zweck des Datenschutzes ist es, solche Daten, die in RFID-Systemen erfasst, gespeichert und weiterverarbeitet werden, vor Manipulationen und unberechtigten Zugriffen durch andere Personen zu schützen. Fungieren RFID-Transponder als Träger von vertraulichen Daten, so gilt es, dem Verbraucher die Sicherheit des eingesetzten RFID-Systems zu gewährleisten.
Aspekte der Datensicherheit und des Datenschutzes
Wenn RFID eingesetzt wird, ist es für jedes Unternehmen unerlässlich, Aspekte der Datensicherheit und des Datenschutzes zu berücksichtigen. Beide sind zwingende Voraussetzung dafür, dass eine neue technische Lösung Akzeptanz im Betrieb und beim breiten Publikum findet. Dies gilt z.B. dann, wenn Fertigungs- und Produktionsprozesse oder betriebliche Interna geschützt werden müssen bzw. verbraucherschutzrelevante Fragen im Vordergrund stehen.
Datensicherheit
Wenn RFID-Systeme zum Einsatz kommen, ist die Datensicherheit durch folgende Eingriffsmöglichkeiten gefährdet:
- Auf dem Transponder gespeicherte Daten können ausgelesen und kopiert werden. Dadurch können Transponder mit gleichen oder gefälschten Dateninformationen hergestellt werden.
- Der Transponder wird vom originären Identifikationsobjekt entfernt und auf einem anderen Objekt aufgebracht.
- Die Kommunikation zwischen Transponder und Lesegerät wird abgehört, blockiert oder anderweitig gestört.
Schutz ist u.a. möglich durch Verschlüsselung oder durch physische Deaktivierung.
Datenschutz
Überall dort, wo personenbezogene Daten erhoben oder solche durch Verknüpfung von Datensätzen entstehen, gelten die gesetzlichen Datenschutzbestimmungen. Dies betrifft z.B. die Anwendung von RFID sowohl im Handel (z.B. Kundenkarten) als auch zur Zeiterfassung und zur Zutrittskontrolle.
Aktueller Diskurs
Der Umgang mit personenbezogenen Daten durch RFID wird in der Öffentlichkeit kontrovers und prominent diskutiert. Dabei beziehen sich die Befürchtungen schwerpunktmäßig auf das unbefugte Auslesen von RFID-Transpondern und auf den Missbrauch von Daten, die mit Hilfe der RFID-Technologie erhoben werden. Der aktuelle Diskurs betrifft vor allem zukünftige Anwendungen der RFID-Transponder auf der Produktebene im Handel, die bis zum jetzigen Zeitpunkt aber noch nicht realisiert wurden.
Szenario 1:
Der Transponder speichert und verarbeitet keine personenbezogenen Daten und fällt damit nicht in die Regelungen des Bundesdatenschutzgesetzes. Auf dem Transponder wird lediglich ein Produktcode gespeichert, der ausschließlich zur Produkt- oder Herstelleridentifizierung dient. Bekanntestes Beispiel ist der vom Handel und der Konsumgüterindustrie eingesetzte Elektronische Produktcode (EPC). Der Hauptteil der RFID-Anwendungen gehört zu dieser Gruppe.
Szenario 2:
Wie in Szenario 1 ist auf dem Transponder ebenfalls nur ein Produktcode gespeichert, dieser jedoch mit personenbezogenen Daten verknüpft. Bekannteste Anwendung ist die RFID-Kundenkarte, die damit in den Wirkungsbereich des Bundesdatenschutzgesetzes über die Erhebung und Verarbeitung personenbezogener Daten fällt. So verlangt der Gesetzgeber die Grundsätze der Datenvermeidung und -sparsamkeit (§ 3a BDSG) einzuhalten und darüber hinaus auch eine schriftliche, informierte Einwilligung der Betroffenen (§ 4 BDSG) einzuholen.
Szenario 3:
Die personenbezogenen Daten werden auf dem Transponder selbst gespeichert. Ein mögliches Einsatzgebiet könnte beispielsweise der ePass bieten, bei dem die sensiblen Daten jedoch besonders gut gegen fremdes Auslesen gesichert und die Vorschriften des Bundesdatenschutzgesetzes eingehalten werden müssen. Anwender müssen über den Inhalt informiert werden.
Quelle: EC-Ruhr und ECC Stuttgart-Heilbronn (Hrsg.): Leitfaden RFID - eine Chance für kleine und mittlere Unternehmen, 2007.
Druckansicht
