1868/A(E) XXIV. GP
Eingebracht am
08.03.2012
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
ENTSCHLIESSUNGSANTRAG
der Abgeordneten Birgit Schatz, Freundinnen und Freunde
BEGRÜNDUNG
RFID-Chips steht für „radio-frequency identification“, was zu Deutsch etwa mit „Identifizierung mit Hilfe elektromagnetischer Wellen“ übersetzt werden kann. Diese Technologie ist heute weit verbreitet und findet in einer Vielzahl von Gebrauchsgegenständen und Konsumgütern des täglichen Bedarfs Verwendung. Durch diese Technologie können die Chips, wenn sie in die Nähe von Lesegeräten gebracht und durch deren Funksignale aktiviert werden, automatisch Daten an diese Geräte übertragen.
Mit dem Einsatz von RFID-Chips entstehen eine Reihe von datenschutz- und persönlichkeitsrechtlichen Fragestellungen. So ist es mit Hilfe der Technologie etwa möglich das Einkaufsverhalten von KundInnen zu analysieren oder auch Personen zu lokalisieren. Die EU-Kommission hat deshalb am 12. Mai 2009 die Empfehlung IP/09/740 erlassen, um „um dafür zu sorgen, dass alle, die an der Entwicklung oder Verwendung der RFID-Technik beteiligt sind, das Grundrecht des Einzelnen auf Schutz der Privatsphäre und Datenschutz achten, das in der am 14. Dezember 2007 verkündeten Charta der Grundrechte der Europäischen Union festgelegt ist.“
Die Empfehlungen beinhalten eine Reihe von Grundsätzen:
· Den Verbrauchern sollte bekannt sein, welche Artikel in den Geschäften mit RFID-Chips ausgestattet sind. Beim Kauf solcher Artikel sollten die Chips noch im Geschäft automatisch, umgehend und kostenfrei deaktiviert werden, es sei denn, sie sollen auf ausdrücklichen Wunsch des Käufers entsprechend dem Opt-in-Prinzip funktionsfähig bleiben. Ausnahmen sind zulässig, etwa um unnötige Belastungen der Einzelhändler zu vermeiden, wenngleich zuvor mögliche Beeinträchtigungen der Privatsphäre zu untersuchen sind.
· Unternehmen und Behörden, die RFID-Chips verwenden, sollten den Verbrauchern einfache und klare Informationen bereitstellen, damit sie verstehen, wann welche personenbezogenen Daten (z. B. Name, Adresse, Geburtsdatum) zu welchem Zweck verwendet werden. Zudem sollten die Geräte, mit denen die Daten aus den RFID-Chips ausgelesen werden, klar gekennzeichnet sowie Anlaufstellen genannt werden, bei denen die Bürger nähere Informationen erhalten können.
· Einzelhandelsverbände und -organisationen sollten die Verbraucher durch ein europaweit einheitliches Zeichen über die Präsenz von RFID-Chips an Produkten informieren.
· Unternehmen und Behörden sollten vor der Verwendung von RFID-Chips Folgenabschätzungen zum Datenschutz durchführen. Diese werden von den nationalen Datenschutzbehörden überprüft und sollen die Sicherheit und den Schutz personenbezogener Daten gewährleisten.
In Umsetzung dieser Empfehlungen hat die Kommission am 6. April 2011 eine neue Datenschutzleitlinie verabschiedet, die gemeinsam mit Vertretern der Industrie, der Zivilgesellschaft, der ENISA (Europäische Agentur für Netz- und Informationssicherheit) sowie den für den Schutz der Privatsphäre und den Datenschutz zuständigen europäischen Aufsichtsbehörden, entwickelt wurde.
Diese freiwillige Vereinbarung über einen Rahmen für die Datenschutz-Folgenabschätzung bei RFID-Anwendungen („Privacy and Data Protection Impact Assessment Framework for RFID Applications“) kurz PIA soll gewährleisten, dass die Privatsphäre der Verbraucher geschützt wird, bevor RFID in großem Maßstab eingeführt werden. Im derzeit laufenden PIA-Prozess sollen Unternehmen eine umfassende Bewertung der Datenschutzrisiken bei der Verwendung von RFID-Chips durchführen und Maßnahmen zur Bewältigung der ermittelten Risiken ergreifen. Dadurch soll laut EU-Kommission eine klare Vorgehensweise für die Bewertung und Eindämmung der Datenschutzrisiken von RFID festgelegt werden.
Ob dieser europäische PIA-Rahmen tatsächlich in der Lage ist, geeignete Antworten für die Fragen des Datenschutzes, des Persönlichkeitsschutzes und des Konsumentenschutzes zu finden, muss bezweifelt werden. In erster Linie scheint er vor allem den europäischen Unternehmen eine Leitlinie zu bieten, wie sie ihre Funketiketten im Einklang mit den EU-Vorschriften zum Schutz der Privatsphäre und zum Datenschutz einsetzen können. Da die oben zitierten Empfehlungen aus 2009 aber noch immer dem Prinzip der Freiwilligkeit folgen, kann bezweifelt werden, dass der PIA-Rahmen tatsächlich einen greifbaren Mehrwert für die Schutzinteressen der BürgerInnen hat.
Noch immer geben große Handelsunternehmen freimütig zu, dass man sich entschlossen habe, RFID-Chips auf den Produkten an der Kassa nicht zu deaktivieren und es den Konsumenten zu überlassen, eine Deaktivierung zu verlangen. Die Erfahrung zeige, dass Konsumenten eine Deaktivierung so gut wie nie verlangen würden. Dass diese Praxis eindeutig den EU-Empfehlungen widerspricht, die eine automatische Deaktivierung und ein bloßes Opt-In-Prinzip (Ausdrückliches Verlangen auf Nicht-Deaktivierung) vorsehen, scheint die Konzerne nicht weiter zu kümmern. (Beispiel: Christian Plenge, Leiter der Abteilung Architektur, Frameworks & Innovation bei METRO Systems GmbH anlässlich der IoT-Konferenz 2011 in Budapest vom 16.-20. Mai 2011.)
Wie bei anderen Selbstregulierungsmechanismen dürfte somit auch beim PIA-Rahmen der praktische Schutzwert eher gering ausfallen. Es liegt deshalb am nationalen Gesetzgeber, die geeigneten Schutzmaßnahmen für die Bürgerinnen und Bürger im Sinne der Empfehlungen der EU-Kommission vom 12. Mai 2009 umzusetzen.
Die unterfertigenden Abgeordneten stellen daher folgenden
ENTSCHLIESSUNGSANTRAG
Der Nationalrat wolle beschließen:
Der Bundesminister für Arbeit, Soziales und Konsumentenschutz wird ersucht, in Zusammenarbeit mit den zuständigen Ressorts Gesetzesvorschläge zu initiieren, die
· eine verpflichtende Kennzeichnung von Konsumartikeln mit RFID-Chips,
· eine verpflichtende umgehende und kostenfreie Deaktivierung von RFID-Chips nach dem Kauf von Konsumartikel mit RFID-Chips, sowie
· eine klare Informationspflicht über die von den verschiedenen Unternehmen und Behörden mittels RFID-Chips gewonnen personenbezogenen Verbraucherdaten,
vorsehen.
In formeller Hinsicht wird die Zuweisung an den Ausschuss für Konsumentenschutz vorgeschlagen.