Eingebracht am 26.03.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ENTSCHLIESSUNGSANTRAG

der Abgeordneten Ing. Dietrich

Kolleginnen und Kollegen

betreffend „Evaluierung der Sicherheitslücken von RFID-Systemen“

 

Unter RFID (Radio Frequency Identification auf Deutsch so viel wie Funkerkennung) versteht man ein technisches System, das ermöglicht Daten ohne Berührung lesen und speichern zu können. Eingesetzt werden können solche Systeme zum Beispiel an Waren, Tieren und sogar Menschen, in der Logistik, im Gesundheitswesen, im Handel, in der Tierhaltung, in Öffentlichen Einrichtungen und im Öffentlichen Verkehr, etc.

Vor- und Nachteile der neuen Technologie liegen nah beieinander: Einerseits profitieren Wirtschaft wie auch Verbraucherinnen und Verbraucher von verbesserter Warenkontrolle und sinkenden Produktionskosten oder aber von schnelleren Bezahlsystemen. Andererseits kann RFID ein Risiko bedeuten, wenn persönlich mitgeführte Gegenstände oder Kleidung unbemerkt ausgelesen und zu Konsum-, Verhaltens- oder Bewegungsprofilen zusammengeführt würden. Dies ist datenschutzrechtlich unzulässig. Der Konsument wird so schnell zum „gläsernen Kunden“. Die Problematik verschärft sich noch dadurch, dass der Konsument dies überhaupt nicht bemerken muss, weil die RFID-Systeme so unauffällig arbeiten.

So wurde unlängst bekannt, dass auch die Zentralschließanlagen, die immer mehr durch RFID-Lösungen BEGEH ersetzt werden, um ein berührungsloses Öffnen der Haustüren ermöglichen, leicht umgangen werden können. Der Sicherheitsforscher Adrian Dabrowski referierte am Chaos Computer Congress 2013, wie man RFID-Schlüssel kopieren und selbst eine Zugangskarte zum BEGEH-System erstellen könne. Der Hersteller BEGEH warb auf seiner Homepage damit, dass das Kopieren von Schlüsseln praktisch unmöglich sei, während auf er auf Facebook eingestand, über Schwächen des Systems Bescheid zu wissen.

Bisher ist der Einsatz von RFID in weiten Bereichen gesetzlich nicht genau geregelt. Eine EU-Empfehlung von Mai 2009 enthält Grundsätze zur Wahrung der Privatsphäre und des Datenschutzes bei RFID-gestützten Anwendungen, wonach Datenschutzfolgenabschätzung für jede RFID-Anwendung erfolgen soll. Weiter sollen KonsumentInnen informiert werden, welche Daten zu welchem Zweck verwendet werden, wo Lesegeräte vorhanden sind und welche Artikel in einem Geschäft mit RFID ausgestattet sind. Nach dem Kauf sollen die Chips im Regelfall automatisch, sofort und kostenfrei deaktiviert werden. Eine Produktkennzeichnung ist jedoch nicht vorgesehen. Als wesentlicher Bestandteil der Umsetzung dieser Empfehlung unterzeichnete die EU-Kommission im April 2011 eine freiwillige Vereinbarung mit Vertretern der Industrie, Zivilgesellschaft und des Datenschutzes, um für die europäischen Unternehmen Leitlinien zur Berücksichtigung von Datenschutzaspekten bei Funketiketten vor deren Inverkehrbringen festzulegen (sogenannter PIA-Framework).

Laut Bundesministerium für Arbeit, Soziales und Konsumentenschutz stellt in Österreich das Datenschutzgesetz „ein sicherlich brauchbares Grundgerüst zur Vermeidung von Missbrauchsmöglichkeiten; im Hinblick auf die geringe Größe der tags (Transponder, Anm.) und der damit verbundenen Gefahr des für VerbraucherInnen nicht erkennbaren Einsatzes könnte jedoch auch legistischer Bedarf gegeben sein.“

Da viele Konsumentinnen und Konsumenten weder über diese Technologie, noch über die damit verbundenen datenschutzrechtlichen Risiken bzw. das Mißbrauchspotential Bescheid wissen, ist ein Handlungsbedarf zumindest im Sinne einer verstärkten Aufklärung und Information gegeben.

 

Die unterfertigten Abgeordneten stellen nachstehenden

 

Entschließungsantrag:

 

Der Nationalrat wolle beschließen:

„Die verantwortlichen Mitglieder der Bundesregierung werden ersucht, eine Evaluierung der Sicherheitslücken in der Verwendung von RFID-Systemen im Sinne des Verbraucherschutzes zu veranlassen und allenfalls gesetzliche Maßnahmen zu ergreifen bzw. anzuregen, um diese zu schließen.“

 

 

 

 

 

 

 

 

 

In formeller Hinsicht wird eine Zuweisung an den Ausschuss für Konsumentenschutz vorgeschlagen.