Die weitverbreitete Nutzung der RFID-Technologie kann zu vermehrten Datenschutzproblemen führen, wenn nicht umgehend geeignete technische und organisatorische Maßnahmen ergriffen werden. Nicht nur die RFID-Tags selbst müssen geschützt werden, sondern das gesamte RFID-System, einschließlich Datenbanken, Servern und Kommunikationsverbindungen.

RFID (Radio Frequency Identification) ist eine automatische Identifikationstechnologie, die mit 424 kbit/s (M2M) und einem breiten Frequenzbereich arbeitet (passive Tags: 135 kHz, 13,56 MHz, 866–930 MHz, 2,45 GHz, ISO 15693, ISO 18000, ISO 14223; aktive Tags: 868/915 MHz, 2,45 GHz, ISO 18000; kontaktlose Smartcards (13,56 MHz) nach ISO 14443; Smartcards mit Dual-Interface (13,56 MHz) nach ISO 14443). Neben RFID-Systemen mit passiven, semi-passiven und aktiven Tags gibt es weitere automatische Identifikationstechnologien wie: 1D-Barcodes, 2D-Symbole (z. B. für elektronische Rechnungen), optische Speicherkarten (OMC), Satellitenortungssysteme (STS), Smartcards/CAC (z. B. in Reisepässen) und Kontaktspeichertasten (CMB). RFID ermöglicht die Identifizierung von Objekten (Personen, Tieren, Gegenständen, Fahrzeugen) mithilfe von RFID-Tags, die in diese eingebracht oder angebracht werden. Diese Tags werden von einem Lesegerät erfasst, das die Daten kontaktlos und aus der Ferne auslesen kann und auch mehrere Tags gleichzeitig, selbst in Bewegung, erfassen kann. Moderne Tags können mit Mikrosensoren integriert werden und/oder mit diesen kommunizieren, um Daten wie Standort und Status des zugehörigen Produkts, Temperaturzyklen, Lichteinfall, Magnetfelder, Luftfeuchtigkeit und G-Sensor-Messwerte (Schwerkraftsensoren, die aktuell verwendet werden, um das Bild relativ zum Boden auf dem Bildschirm zu halten) zu erfassen. Passive RFID-Tags wurden ursprünglich zunächst an Paletten, dann an Verpackungen und schließlich direkt am Produkt selbst angebracht. Es besteht ein Unterschied zwischen dem Diebstahl personenbezogener Daten und Identitätsdiebstahl. Der Diebstahl oder die illegale Aneignung von Daten, die eine Person identifizieren, liegt vor, wenn jemand identifizierbare Informationen wie Name, Adresse, Geburtsdatum, Telefonnummern, Sozialversicherungsnummer usw. erlangt. Identitätsdiebstahl liegt vor, wenn die genannten Informationen für betrügerische oder illegale Zwecke verwendet werden. Es ist daher wichtig zu unterscheiden, dass Datendiebstahl vorkommen kann, ohne zwangsläufig zu Identitätsdiebstahl zu führen.


Identifikation2Datenschutzrisiken. Perspektive.
Die RFID-Technologie wirft mehrere bedeutende Datenschutzbedenken auf: (1) Organisationen können personenbezogene Daten für einen bestimmten Zweck erheben, beispielsweise zur Abwicklung einer Finanztransaktion oder zur Gewährung des Zugangs zu einer Einrichtung, und diese Daten anschließend für verschiedene, für die betroffene Person unerwünschte Zwecke verwenden, etwa für Direktmarketingkampagnen. (2) Organisationen, die RFID-Systeme zur Unterstützung eines bestimmten Geschäftsprozesses einsetzen, sind sich möglicherweise nicht bewusst, wie RFID-Informationen für unbeabsichtigte Zwecke genutzt werden können, beispielsweise zur Analyse oder Verfolgung von Personen oder zur Offenlegung persönlicher Gewohnheiten oder Präferenzen gegenüber unbefugten Dritten (einer Vielzahl von Unternehmen, einschließlich Spammern). 


Die Implementierung von RFID-Technologie birgt sowohl für Einzelpersonen als auch für Organisationen Datenschutzrisiken. Zu den Datenschutzrisiken für Einzelpersonen zählen die unbefugte Weitergabe personenbezogener Daten, Profiling, Tracking und die persönlichen Folgen solcher Datenschutzverletzungen. Für Organisationen ergeben sich bei der Implementierung von RFID folgende Datenschutzrisiken: (i) Strafen und Bußgelder bei Nichteinhaltung von Datenschutzgesetzen und -vorschriften (z. B. DSGVO, HIPAA, GLP, COPPA, OECD, FTC usw.). (ii) Abwanderung oder Boykott des Unternehmens durch Kunden aufgrund tatsächlicher oder vermeintlicher Datenschutzbedenken im Zusammenhang mit RFID-Technologie. (iii) Haftung für alle Folgen unzureichenden oder mangelhaften Datenschutzes. (iv) Mitarbeiter, Aktionäre und andere Stakeholder (Sozialpartner usw.) könnten sich aufgrund von Bedenken hinsichtlich der sozialen Verantwortung des Unternehmens vom Unternehmen distanzieren. Geschäftsziele stehen oft im Konflikt mit Datenschutzzielen. Organisationen können von der Analyse und Weitergabe personenbezogener Daten, die mithilfe von RFID-Technologie gewonnen werden, profitieren. Diese Aktivitäten können jedoch potenziell die Datenschutzrechte oder -erwartungen von Bürgern und Verbrauchern verletzen. Ebenso können Methoden zum Schutz der Privatsphäre ein Risiko für Geschäftsprozesse darstellen. Beispielsweise möchten Verbraucher RFID-Tags möglicherweise direkt am Verkaufsort deaktivieren lassen, um eine spätere Rückverfolgung zu verhindern. Lässt sich ein RFID-Tag jedoch leicht am Verkaufsort deaktivieren, können Angreifer dies unter Umständen auch vor dem Verkauf tun und so Geschäftsprozesse stören. Darüber hinaus möchten Unternehmen RFID-Tags möglicherweise nach dem Verkauf nutzen, um Kundendienst zu leisten, Reklamationen zu bearbeiten und für andere Zwecke. Die Datenschutzrisiken steigen, wenn eine Person RFID-Tags von mehreren Organisationen besitzt. Denn durch das Auslesen der Tags können die Informationen kombiniert und verknüpft werden, um Profile von Personen zu erstellen, die für einzelne Organisationen nicht vorhersehbar waren. Kauft ein Verbraucher beispielsweise ein Produkt mit einem RFID-Tag, der nicht deaktiviert oder entfernt wurde, könnte der Verkäufer oder eine andere Person den RFID-Tag später nutzen, um die Anwesenheit dieser Person an einem anderen Ort zu einem bestimmten Zeitpunkt zu ermitteln. Der Verbraucher hat das Produkt möglicherweise bar bezahlt und wollte bei der Transaktion anonym bleiben.

 

Identifikation3Trägt der Verbraucher jedoch ein weiteres Etikett, das seine Identität preisgibt, wie beispielsweise einen RFID-fähigen Ausweis, könnte jemand unbemerkt beide RFID-Etiketten auslesen und so eine Verbindung zwischen dem gekauften Produkt und seiner Identität herstellen, die zuvor nicht bestand. Da immer mehr Menschen täglich Produkte mit RFID-Etiketten besitzen und RFID-Lesegeräte im Alltag immer häufiger anzutreffen sind, steigt das Potenzial für komplexere Verknüpfungen erheblich. Weitere Faktoren, die das Datenschutzrisiko beeinflussen, sind: (1) Ob personenbezogene Daten auf den RFID-Etiketten gespeichert sind. (2) Ob die mit RFID-Etiketten versehenen Produkte als persönlich gelten (z. B. Arzneimittel oder Geräte, die einen Gesundheitszustand offenbaren könnten, oder ein Buch, das eine politische oder religiöse Zugehörigkeit erkennen lässt). (3) Die Wahrscheinlichkeit, dass sich das RFID-Etikett in der Nähe kompatibler RFID-Lesegeräte befindet. (4) Die Dauer der Speicherung von Datensätzen in Archivierungs- oder Analysesystemen. (5) Die Wirksamkeit der RFID-Sicherheitsmaßnahmen, insbesondere: (i) Die Wirksamkeit der Zugriffskontroll- und Authentifizierungsmechanismen für den RFID-Etikettenspeicher. (ii) Die Möglichkeit, RFID-Tags nach Abschluss des Geschäftsprozesses zu deaktivieren. (iii) Die Möglichkeit für Benutzer, RFID-Tags effektiv elektromagnetisch abzuschirmen, um unautorisierte Lesevorgänge zu verhindern.


Identifizierung4Datenschutzprobleme im Zusammenhang mit der RFID-Nutzung:
Umfang und Art der Datenschutzprobleme hängen von der konkreten geplanten Anwendung ab. Beispielsweise sollte die Nutzung von RFID-Technologie zur allgemeinen Bestandskontrolle keine wesentlichen Datenschutzbedenken hervorrufen. Die Nutzung von RFID zur Verfolgung von Personenbewegungen innerhalb eines Landes kann jedoch bei den Betroffenen Bedenken auslösen. Die wichtigsten identifizierbaren Datenschutzprobleme sind: (1) Benachrichtigung. Personen wissen möglicherweise nicht, dass RFID-Technologie eingesetzt wird, sofern sie nicht darüber informiert werden. Daher können Verbraucher ohne Benachrichtigung nicht wissen, ob RFID-Tags an Produkten angebracht oder in diese eingebettet sind, die sie ansehen oder kaufen, oder dass gekaufte Produkte von versteckten RFID-Lesegeräten elektromagnetisch gescannt werden. (2) Rückverfolgbarkeit. Dies stellt einen Angriff auf die Anonymität im öffentlichen und privaten Raum dar. Es handelt sich um eine Echtzeit- oder nahezu Echtzeit-Überwachung, bei der die Bewegungen einer Person mittels RFID-Scanning verfolgt werden. Die Bewegungen von Mitarbeitern in einem Unternehmen oder von Bürgern in einer Stadt oder einem Land können nachverfolgt werden. (3) Profiling. Dies beinhaltet die Rekonstruktion der Bewegungen oder Transaktionen einer Person (z. B. beim Surfen im Internet) über einen bestimmten Zeitraum, typischerweise um mehr über ihre Gewohnheiten, Vorlieben oder Interessen zu erfahren. Da RFID-Tags eindeutige Kennungen enthalten, können, sobald ein mit einem RFID-Tag versehenes Objekt einer bestimmten Person zugeordnet ist, personenbezogene Daten gewonnen und zu einem Profil dieser Person zusammengeführt werden. Die Erstellung von Profilen auf Basis von Rasse, ethnischer Zugehörigkeit oder Herkunftsland hat in letzter Zeit erhebliche öffentliche Debatten ausgelöst. Sowohl Tracking als auch Profiling können die Privatsphäre und Anonymität einer Person gefährden. (4) Sekundäre Verwendungen. Neben Fragen zum beabsichtigten Verwendungszweck solcher Informationen besteht auch die Sorge, dass Organisationen diese Informationen über Einzelpersonen für weitere Zwecke nutzen könnten; das heißt, Informationen, die für einen bestimmten Zweck gesammelt wurden, werden im Laufe der Zeit tendenziell auch für andere Zwecke verwendet. Dies wird als „Ausweitung des Verwendungszwecks“ oder „Funktionsausweitung“ bezeichnet. Die Sozialversicherungsnummer beispielsweise zeigt, wie eine für einen bestimmten Zweck entwickelte Kennung zu einem Eckpfeiler der Identifizierung für viele andere Zwecke geworden ist, sowohl staatliche als auch nichtstaatliche. Die sekundären Verwendungen der Sozialversicherungsnummer waren weniger eine Frage technischer Kontrollen als vielmehr sich ändernder administrativer und politischer Prioritäten.


Schlussbetrachtungen
Unsere Forschungsgruppe arbeitet seit über fünfzehn Jahren im Bereich Datenschutz, bewertet Datenschutzrisiken im Allgemeinen und RFID-Risiken im Besonderen und entwickelt Gegenmaßnahmen für alle technischen, menschlichen und organisatorischen Aspekte.
Dieser Artikel ist Teil der Aktivitäten im Rahmen des LEFIS-APTICE Socrates der Europäischen Kommission).

Literatur

- Areitio, J. „Informationssicherheit: Netzwerke, Computer und Informationssysteme“. Cengage Learning-Paraninfo. 2009.
- Areitio, J. „Analyse von Selbstidentifizierungs- und Zwei-Faktor-Authentifizierungssystemen: RFID und Biometrie“. Conectrónica Magazine. Nr. 127. Mai 2009.
- Areitio, J. „Analyse von RFID-Systemen zur automatischen Identifizierung“. Gigatronic Magazine. Nr. 49. Januar 2008.
- Areitio, J. „Sicherheitsaspekte der RFID-Technologie“. Conectrónica Magazine. Nr. 105. März 2007.
- Cole, PH und Ranasinghe, DC „Vernetzte RFID-Systeme und ressourcenschonende Kryptographie: Erhöhung der Hürden für Produktfälschungen“. Springer. 2007.
- Thornton, F. und Lathem, C. „RFID-Sicherheit“. Syngress. 2006.
- Finkenzeller, K. „RFID-Handbuch: Radiofrequenzidentifikation. Grundlagen und Anwendungen.“ John Wiley & Sons. UK. 1999.

Autor:

Prof. Dr. Javier Areitio Bertolín

Professor an der Fakultät für Ingenieurwissenschaften, ESIDE.
Direktor der Forschungsgruppe Netzwerke und Systeme an
der Universität Deusto.

Weitere Informationen oder ein Angebot