Eingelangt am 31.08.2004
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

 

ANFRAGE

 

 

der Abgeordneten Dr Gabriela Moser, Freundinnen und Freunde

 

an den Bundesminister für soziale Sicherheit, Generationen und Konsumentenschutz

 

betreffend eindeutige Kennzeichnung und automatisierte Erkennung von Produkten mittels RFID-Systemen (Radio Frequency Identification)

 

 

 

 

RFID-Systeme bestehen aus Transpondern, Lesegeräten und Datenbanken.

 

Die Transponder – auch RFID-Tags genannt – sind  mit einer Antenne zum Empfangen und Senden von Informationen ausgestattete, wenige Zehntelmillimeter große Mikrochips. Transponder können auf beliebigen (zB einer Identifikationsnummer). Es werden aktive (mit eigener Stromversorgung) und passive RFID-Tags (ohne eigene Stromversorgung unterschieden.

 

RFID-Lesegeräte senden elektromagnetische Wellen aus und empfangen als Reaktion darauf die Daten der in ihrer Reichweite befindlichen RFID-Tags. Passive RFID-Tags werden über die elektromagnetischen Wellen der Lesegeräte mit Energie versorgt.

 

Die von den Lesegeräten empfangenen Informationen werden in Datenbanken gespeichert und dienen meist als Identifikationsmerkmal (eindeutiger Schlüssel) zum Auffinden bzw Speichern von Daten.

 

Zur Kennzeichnung und automatisierten Erkennung von Produkten mittels RFID-Systemen wird von EPCglobal.Inc, einem Joint Venture der Standardisierungsgremien EAN International und Uniform Code Council, Inc, der Electronic Product Code (EPC) verwaltet. Dieser EPC soll die bisher eingesetzten EAN.UCC Identifikationsnummern ersetzen und im Gegensatz zur bisherigen Kennzeichnung von Produktgruppen jedes einzelne Produkt mit einer weltweit eindeutigen Nummer versehen.

 

Um Informationen zu einem bestimmten Produkt abzufragen wird der EPC des Produktes an das Objekt Name Service (ONS) (ein System vergleichbar dem Domain Name Service zur Zuordnung von Internetadressen) im Internett übermittelt, das eine oder mehrere Internetadressen zu diesem EPC zurückliefert, unter denen Informationen zu diesem Produkt abrufbar sind. Diese Informationen werden unter Verwendung der Physical Markup Language (PML), einer auf XML basierenden „Standardsprache“ in maschinen- und menschenlesbarer Form bereitgehalten. Systemteilnehmer können ihnen bekannte Sachverhalte zu einem Produkt in dieser Form bereitstellen und mit einer Registrierung im ONS den anderen Teilnehmern zugänglich machen.

 

Daraus ergeben sich folgende mögliche Gefahren:

 

Durch die Kennzeichnung mit RFID-Tags können Produkte auch ohne direkte Sichtverbindung zum Lesegerät erkannt werden, womit eine eindeutige Identifikation des Gegenstandes auch ohne dem Wissen und Zutun des Besitzers möglich ist. Auf Basis der eindeutigen Identifikationsnummer des EPC und der Datenzuordnung mittels ONS ist somit die Verfolgung eines Produktes von Lesegerät zu Lesegerät möglich. Somit kann ein umfangreiches Bewegungsprofil mit genauer Zeit- und Ortsangabe zu einem Produkt erstellt werden, dem zusätzliche Daten über das Produkt selbst aber auch Umweltzustände, benachbarte Produkte, sowie handelnde Personen hinzugefügt werden können. Diese Informationen können in weiterer Folge von jedem Systemteilnehmer abgerufen werden.

 

Auf Basis dieser Möglichkeiten ist es denkbar, beispielsweise den Weg von KonsumentInnen durch ein Geschäft mitzuprotokollieren und somit festzuhalten, welche Produkte auf besonderes Interesse gestoßen sind. Ebenso könnte bereits am Eingang festgestellt werden, welche Produkte KonsumentInnen mit sich führen. Diese Information kann dann in weiterer Folge zur Einschätzung der Kaufkraft herangezogen werden.

 

Werden RFID-Tags in Produkte des täglichen Gebrauchs, wie beispielsweise Kleidungsstücke, integriert kann anhand der eindeutigen Produktkennzeichnung das Einkaufsverhalten von KonsumentInnen auch über mehrere Einkäufe hinweg mitprotokolliert werden, da eine Zuordnung der Einkäufe zu den mitgeführten Produktnummern ausreichend ist um eine Verbindung zwischen mehreren Einkäufen herzustellen.

 

Da passive RFID-Tags über keine ausreichende Rechenleistung verfügen um die auf ihnen gespeicherten Daten gegen unbefugten Zugriff zu schützen, können diese Informationen von jedem Betreiber eines geeigneten Lesegerätes abgerufen und zur Erstellung von Datensammlungen verwendet werden. Dabei kann einerseits auf die im Internet abgelegten Informationen zu den Produkten zugegriffen werden, andererseits können die eindeutigen Kennzeichen der Produkte aber auch als Zuordnungskriterium für beliebige weitere Datensammlungen herangezogen werden. Eine Zuordnung dieser Datensammlungen zu einer bestimmten Person ist zum Zeitpunkt des Abrufs der Produktnummer vom RFID-Tag leicht möglich.

 

Verfügbarkeit und Anwendungen derartiger Systeme in Österreich:

-        Die EAN Austria GmbH ist nach eigenen Angaben die offizielle Vertretung von EPCglobal in Österreich und bietet heimischen Unternehmen den Zugang zu EPC, ONS und PML an.

-        Die Infineon Technologies AG betreibt RFID-Entwicklung am Standort Graz, zahlreiche andere Unternehmen bieten RFID-Tags und zugehörige Dienstleistungen an.

-        Die Hauptbibliothek Wien verwendet RFID-Tags zur Kennzeichnung ihres Medienbestandes

-        Die Handelskette Spar beginnt Medienberichten zufolge im Herbst 2004 mit einem RFID-Feldversuch in Oberösterreich (Kennzeichnung von Rollwagen zur Produktverteilung an die Filialbetriebe)

-        Rewe (in Österreich als Eigentümer der Handelskette Billa bekannt) testet RFID-Technologie in Deutschland

-        Der Metro Konzern (in Österreich unter anderem mit der Elektrohandelskette Saturn vertreten) evaluiert in Deutschland RFID-Technologie im eigens dafür geschaffenen „Future Store“

 

Weitere mögliche Anwendungsbereiche neben der Produktkennzeichnung sind unter anderem:

-             Zugangskontrollsysteme

-             Tierkennzeichnungssysteme

-             Dokumentenmanagementsysteme

-             Kreditsysteme in Freizeitparks, Schwimmbädern und an Tankstellen

-             Diebstahlsicherungssysteme in Kraftfahrzeugen

-             Speichersysteme für biometrische Daten in Identifikationsdokumenten (z.B. Reisepässen)

-           Systeme zur Einhebung von Straßenmaut

-           Systeme zur Überwachung von Strafgefangenen

-           div. Logistikanwendungen

-           Systeme zur Kennzeichnung von Fluggepäck

 

Die unterfertigten Abgeordneten stellen daher folgende

 

 

ANFRAGE:

1.             Wie beurteilen Sie die Einführung von RFID-Systemen aus datenschutzrechtlicher Sicht, welche Missbrauchsgefahren sind diesbezüglich denkbar?

2.             Wie bewerten Sie das Recht der KonsumentInnen auf Anonymität beim Einkauf und in welcher Weise sehen sie dieses durch den Einsatz von RFID-Systemen gefährdet?

3.             In welchem Umfang und auf welcher Rechtsgrundlage können nach Ihren Erkenntnissen mit RFID-Systemen Daten gesammelt werden, die zu einem Bewegungsprofil der betroffenen KonsumentInnen zusammensetzbar sind?

4.             Sehen Sie durch die Ermöglichung von Bewegungsprofilen besondere Missbrauchsgefahren, und wenn ja, wie beabsichtigen Sie diesen Gefahren zu begegnen?

5.             Welche Maßnahmen wurden ergriffen, um einer möglichen Überwachung von KonsumentInnen entgegenzuwirken?

6.             Verfügen Sie über Informationen wo und in welchem Umfang bereits RFID-Systeme im Einsatz sind und wenn ja, welche?

7.             Werden RFID-Systeme bereits von Behörden eingesetzt oder ist ein Einsatz durch Behörden geplant (z.B. in Reisepässen oder im Rahmen der Strafverfolgung)?

8.             In welchem Umfang und auf welcher Rechtsgrundlage können nach Ihren Erkenntnissen RFID-Systeme zur Überwachung von ArbeitnehmerInnen am Arbeitsplatz eingesetzt werden?

9.             Sind vor Inbetriebnahme von RFID-Systemen Zulassungsverfahren zu absolvieren und wenn ja, welche Kriterien müssen zur Zulassung erfüllt werden?

10.         Planen Sie eine gesetzliche Reglementierung des Einsatzes von RFID-Systemen?

11.         Sind österreichische Behörden in nationalen oder internationalen Verfahren zur Standardisierung von RFID-Systemen involviert und wenn ja, im Rahmen welcher Organisationen finden diese Verfahren statt und welche konkreten Positionen werden dabei durch die österreichischen Behörden vertreten?

12.         Welche Initiativen wurden bisher durch österreichische Behörden auf europäischer Ebene ergriffen um einer möglichen Überwachung der KonsumentInnen durch RFID-Systeme entgegenzuwirken?

13.         Welche Initiativen planen Sie auf europäischer Ebene zu ergreifen um einer derartigen Überwachungsmöglichkeit entgegenzuwirken?

14.         Welche Positionen werden durch österreichische Vertreter in der gem. Artikel 29 der Richtlinie 95/46/EG eingesetzten Artikel-29-Datenschutzgruppe vertreten, die gem. veröffentlichtem Arbeitsprogramm noch 2004 die Beratungen zu RFID-Funkanwendungen abschließen möchte?

15.         Welche Maßnahmen wurden ergriffen um die Auswirkungen von RFID-Systemen auf die Privatsphäre der Betroffenen zu erforschen?

16.         Wie hoch sind die Ausgaben für die Erforschung der Auswirkungen von RFID-Systemen auf die Privatsphäre der Betroffenen?

17.         Verfügen Sie über Informationen bezüglich gesundheitlicher Risiken durch die elektromagnetischen Strahlung von RFID-Lesegeräten und wenn ja, welche?

18.         Welche Maßnahmen wurden ergriffen um die gesundheitlichen Risiken für KonsumentInnen und ArbeitnehmerInnen durch die elektromagnetische Strahlung von RFID-Lesegeräten zu erforschen?

19.         Wie hoch sind die Ausgaben für die Erforschung der gesundheitlichen Auswirkungen von RFID-Systemen?