Positionspapier über den Gebrauch von RFID auf und in Konsumgütern
20. November 2003
EinführungRadio Frequency Identification (RFID) ist eine Warenmarkierungstechnologie mit gravierenden gesellschaftlichen Folgen. Missbräuchlich genutzt, haben RFIDs ein großes Potential zur Gefährdung der Privatsphäre von Konsumenten, zur Verringerung oder bis hin zum Verlust der Käuferanonymität und zur Bedrohung bürgerlicher Freiheiten. Als Organisationen und Einzelpersonen, die sich dem Schutz von Privatsphäre und Bürgerrechten verschrieben haben, haben wir uns abgestimmt, um dieses Statement über die Anwendung von RFIDs im Konsumentenumfeld herauszugeben. Im Folgenden beschreiben wir die Technologie und ihre Anwendungsmöglichkeiten, benennen die Risiken und besprechen mögliche politische Reaktionen, mit denen die angesprochenen Probleme vermieden oder verringert werden können. RFID-Etiketten sind winzige Computerchips die, mit Miniaturantennen versehen, an physischen Objekten angebracht werden können. Bei den am meisten beworbenen Anwendungen von RFIDs enthält der Mikrochip einen elektronischen Produktcode (Electronic Product Code, EPC), der aussagekräftig genug ist, jedes weltweit hergestellte Produkt eindeutig zu identifizieren. Wenn ein RFID-Lesegerät ein Funksignal abgibt, antworten in der Nähe befindliche Chips, indem sie die auf ihnen gespeicherten Daten an das Lesegerät übermitteln. Bei passiven (batterielosen) RFID-Etiketten kann die Leseentfernung von ca. einem Zentimeter bis ungefähr fünf oder zehn Meter variieren, während aktive, mit einer eigenen Energiequelle ausgerüstete Etiketten eine weit größere Leseentfernung ermöglichen können. Typischerweise werden die Daten an ein System von vernetzten Computern gesandt, die zum Beispiel im Management von Versorgungsketten oder bei der Inventarkontrolle eines Lagers eingesetzt werden. Gefahren für Privatsphäre und BürgerrechteObwohl es sinnvolle Einsatzmöglichkeiten für RFID gibt, können Eigenschaften dieser Technologie so genutzt werden, dass sie Privatsphäre, Bürgerrechte und Datenschutz gefährden:
Leitlinien für Rechte und Pflichten im Zusammenhang mit RFIDDiese Leitlinien berücksichtigen das Interesse der Wirtschaft, Objekte innerhalb der Logistikkette verfolgen zu können, betonen aber das Recht der Konsumenten, innerhalb von Geschäften und nach dem Erwerb von Gegenständen nicht verfolgt zu werden. Um die potentiellen Gefahren von RFID für die Bürger und die Gesellschaft auf ein Minimum zu reduzieren, empfehlen wir drei Leitlinien. Erstens muss RFID einer formalen Technikfolgen-Abschätzung unterzogen werden und RFID-Etiketten sollen nicht an Konsumgütern angebracht werden, bevor eine derartige Abschätzung durchgeführt worden ist. Zweitens muss die Anwendung von RFID von einem Prinzip der fairen Informationspraxis geleitet sein. Drittens sollten bestimmte Anwendungsmöglichkeiten von RFID gesetzlich verboten werden. Technikfolgenabschätzung: RFID muss einem formellen Technologiebeurteilungsprozess unterworfen werden, der von einer neutralen Instanz geleitet wird, etwa ähnlich dem Modell, das durch das mittlerweile aufgelöste Büro für Technikfolgen-Abschätzung des US-amerikanischen Parlaments (Congressional Office of Technology Assessment) etabliert wurde. Dieser Prozess muss multidisziplinär sein und es müssen alle Interessensgruppen, einschließlich der Verbraucher, beteiligt sein. Prinzip der fairen Informationspraxis: RFID-Technologie und ihre Anwendungen müssen geleitet sein von strengen Prinzipien fairer Informationspraxis (Principles of Fair Information Practice, FIPs). Die achtteiligen Privacy-Richtlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) geben ein brauchbares Modell vor (www.oecd.org). Wir stimmen darin überein, dass die folgenden Minimalrichtlinien, die teilweise auf diesen Prinzipen basieren, befolgt werden müssen, während die umfassende Beurteilung der gesellschaftlichen Implikationen von RFID durchgeführt wird:
RFID-Anwendungen, die gesetzlich verboten sein müssen:
Akzeptabler Gebrauch von RFIDWir haben mehrere Beispiele "akzeptabler" Anwendungen von RFID zusammengetragen, bei denen Konsumenten und Bürger keinen "aktiven" RFID-Etiketten und den daraus resultierenden Risiken ausgesetzt sind.
SchlussfolgerungenWir fordern Hersteller und Händler auf, sich auf ein freiwilliges Moratorium bezüglich des Einsatzes von RFID-Etikettierung von Konsumgütern zu einigen, bis ein formeller technologischer Beurteilungsprozess stattfinden kann, an dem alle Interessengruppen, einschließlich der Verbraucher, beteiligt sind. Darüber hinaus muss die Entwicklung dieser Technologie von einer Reihe strenger Prinzipien der fairen Informationspraxis geleitet sein, die sicherstellen, dass für die Konsumenten sinnvolle Kontrollmöglichkeiten der RFID-Anwendungen vorgesehen sind. Schließlich sind einige Anwendungsmöglichkeiten von RFID für eine freie Gesellschaftsordnung inakzeptabel und sollten ausdrücklich gesetzlich verboten werden. Öffentlichkeit und Gesellschaft sollten nicht auf eine durch RFID ausgelöste Krise warten, bis Kontrollen eingeführt werden. Obwohl darauf in diesem Positionspapier nicht eingegangen wird, müssen wir uns auch mit den Folgen für die Bürgerrechte beschäftigen, die von einer regierungsseitigen Anwendung von RFID ausgeht. Das US-amerikanische Verteidigungsministerium hat ein RFID-Mandat an seine Zulieferer ausgegeben, Schulen und Bibliotheken in den USA haben angefangen, RFID einzusetzen, die EU und die japanische Regierung haben schon über die Einbettung von RFID in ihre Zahlungsmittel nachgedacht, und die britischen Strafverfolgungsbehörden haben Interesse an RFID als Werkzeug der polizeilichen Ermittlung angemeldet. Als eine offene demokratische Gesellschaft müssen wir einen strengen Regelkatalog etablieren, der auf den Prinzipien fairer Informationspraxis beruht, um die Anwendung von RFID durch Regierungen zu leiten. RFID-Positionspapier, 1. Anlage Grenzen der RFID-Technologie: Mythen werden entlarvtDie folgenden technischen Grenzen von RFID sind als Gründe angeführt worden, warum sich Verbraucher zum jetzigen Zeitpunkt keine Sorgen über den Einsatz von RFID zu machen bräuchten. Wir betrachten jede dieser scheinbaren Grenzen einzeln und erklären, warum diese Beschränkungen nicht als verlässlicher Schutz der Verbraucher gegen die oben beschriebenen Risiken angesehen werden können. 1. Leseentfernungen reichen für Konsumentenüberwachung nicht ausRFID-Etiketten können über verschieden große Entfernungen ausgelesen werden, diese hängen ab von der Größe ihrer Antenne, ihrer Sendefrequenz und davon, ob sie eine eigene Energieversorgung (aktiv) haben oder nicht (passiv). Manche passiven RFID-Etiketten haben eine maximale Leseentfernung von weniger als 2 cm. Andere passive RFID-Etiketten können noch aus Entfernungen von 5 Metern oder mehr ausgelesen werden. Aktive RFID-Etiketten haben theoretisch sehr große Leseentfernungen. Zur Zeit sind die meisten RFID-Etiketten, die bei Konsumgütern zum Einsatz kommen sollen, passiv und können auf eine Entfernung von maximal 1,5 Metern ausgelesen werden. Entgegen einiger Beteuerungen sind Etiketten mit niedriger Leseentfernung nicht notwendigerweise weniger effektiv bei der Verfolgung von Menschen oder mit ihnen verbundenen Gegenständen. Tatsächlich kann eine kürzere Lesedistanz in einigen Fällen sogar effektiver sein. Wenn zum Beispiel ein Interesse daran besteht, Individuen durch ihre Schuhe zu identifizieren, wenn sie in den Bereich eines im Fußboden eingebauten Lesegeräts kommen, wäre eine Lesedistanz von 2-3 Zentimetern einer Distanz von einem halben bis einem Meter vorzuziehen. Die Auslesung auf kurze Distanz würde Interferenzen durch andere in der Nähe befindliche Etiketten minimieren und es ermöglichen, dass wirklich nur das Etikett, das sich direkt am Lesegerät befindet, erfasst wird. 2. Lesegeräte sind nicht weit genug verbreitet, um eine nahtlose Verfolgung von Menschen zu ermöglichenDie Entwickler von RFID-Technologie haben eine Welt vor Augen, in der RFID-Lesegeräte ein "umfassendes globales Netzwerk" aufbauen. Es bedarf keines allumfassenden Netzwerks von Lesegeräten, um Objekte oder die Menschen, die mit ihnen zu tun haben, zu verfolgen. Zum Beispiel können Autos auf einer Autobahn verfolgt werden, ohne dass alle paar Meter ein RFID-Lesegerät angebracht wird. Sie brauchen nur jeweils an den Auf- und Abfahrten installiert zu werden. In gleicher Weise ist es nicht nötig, in den Städten alle 3 Meter ein Lesegerät zu positionieren, um eine Person zu verfolgen, solange Lesegeräte an strategischen Punkten angebracht sind, wie zum Beispiel Hauseingängen. 3. Begrenzte Informationsmengen auf den EtikettenManche RFID-Befürworter verteidigen diese Technologie mit dem Hinweis, dass die Etiketten auf den meisten Konsumgütern nur eine Seriennummer beinhalten werden. Diese Nummer kann allerdings als eine Referenznummer genutzt werden, die mit Informationen auf einer oder mehreren vernetzten Datenbanken korrespondiert. Das bedeutet, dass die Datenmenge, die mit dieser Nummer in Verbindung gebracht werden kann, theoretisch unbegrenzt ist und aufgefüllt und vervollständigt werden kann, sobald neue Informationen gesammelt wurden. Wenn ein Verbraucher zum Beispiel ein Produkt kauft, das ein RFID-Etikett mit einer standardisierten Warennummer enthält, könnten Informationen über den Verbraucher, der es gekauft hat, dieser Datenbank automatisch hinzugefügt werden. Weitere Informationen können in die Datei eingetragen werden, während der Konsument seiner Arbeit nachgeht. "Betritt Gerichtsgebäude in Atlanta um 12:32 mittags", "Auf einer ‚Mobil'-Tankstelle um 14:14", und so weiter. Solche Daten sind für jeden verfügbar, der Zugriff auf so eine Datenbank hat, ob er nun dazu autorisiert ist oder nicht. 4. Passive Etiketten können nicht durch Satelliten geortet werdenDie passiven RFID-Etiketten, die man sich für die Kennzeichnung der meisten Konsumgüter vorstellt, haben keine eigene Energieversorgung, das heißt, dass sie erst von in der Nähe befindlichen Lesegeräten kontaktiert und aktiviert werden müssen. Daher haben passive Etiketten selbst keine Möglichkeit, mit und durch Satelliten zu kommunizieren. Die Informationen, die ein passives RFID-Etikett trägt, können aber von in der Nähe befindlichen Lesegeräten aufgenommen werden, die dann ihrerseits ihre Anwesenheit und Position an Satelliten senden können. Diese Technologie wurde bereits benutzt, um Güter in Echtzeit zu orten, die auf sich bewegenden Fahrzeugen durch die nordamerikanischen Versorgungswege transportiert wurden. Darüber hinaus können aktive RFID-Etiketten, die über eine eigene Energieversorgung verfügen, für den direkten Satellitenkontakt ausgerüstet werden. Derzeit sind solche Etiketten viel zu teuer, um sie an den meisten Konsumgütern anzubringen, aber diese Nutzung ist nicht unvorstellbar, wenn man im Auge behält, dass sich die Technologie weiterentwickelt und die Preise fallen. 5. Hohe Kosten der Etiketten verbieten weitverbreitete AnwendungRFID-Entwickler weisen auf die "hohen Kosten" von RFID-Etiketten hin, um auf diese Weise die Befürchtungen von Konsumenten bezüglich der Verwendungsmöglichkeiten dieser Etiketten zu zerstreuen. Wir sagen jedoch voraus, dass mit der Weiterentwicklung der Technologie und dem Fallen der Preise mehr und mehr Konsumgüter RFID-Etiketten tragen werden und dass diese Etiketten mit der Zeit immer kleiner und leistungsfähiger werden. Wir sagen voraus, dass diese Entwicklung den Trends anderer technischer Produkte wie Computer oder Taschenrechner folgen wird. RFID-Positionspapier, 2. Anlage Eine Kritik der von der Industrie vorgeschlagenen LösungenDie RFID-Industrie hat eine Reihe von Vorschlägen gemacht, um den Gefahren die von der RFID-Etikettierung von Konsumgütern ausgehen zu begegnen. Dazu gehören Ideen wie die Zerstörung der Etiketten zum Zeitpunkt des Verkaufs, der Gebrauch von "Blocker-Etiketten", sowie das "Geschlossene System (closed system)". Wir betrachten diese Strategien im folgenden.Zerstörung der Etiketten beim VerkaufEs wurde vorgeschlagen, dass man das Problem der RFID-Etiketten lösen könnte, indem man sie zum Zeitpunkt des Verkaufs einer Ware außer Funktion setzt. Es gibt eine Reihe von Gründe, warum wir nicht der Ansicht sind, dass diese Maßnahme allein und ohne weitere Schutzmaßnahmen die Privatsphäre von Konsumenten ausreichend schützen könnte. Die Zerstörung von RFID-Etiketten nach dem Einkauf löst nicht das Problem der Verfolgung eines Kunden innerhalb des Geschäfts. Bisher hat nahezu jede Verletzung der Privatsphäre, die mit RFID-Etikettierung von Konsumgütern in Zusammenhang stand, innerhalb der Verkaufsräume stattgefunden, lange bevor die Konsumenten die Kassenschalter erreicht hatten, wo die Chips zerstört würden. Einige Beispiele:
Wir erkennen das Bedürfnis der Händler an, Ladendiebstahl zu verhindern und allgemeine Beurteilungen zu erstellen, um z.B. Arbeitsabläufe zu verbessern. Doch eine detaillierte Überwachung und Aufnahme des Kundenverhaltens ohne deren Zustimmung, auch wenn sie "lediglich" innerhalb des Geschäfts erfolgt, verstößt gegen die Prinzipien der fairen Informationspraxis. Etiketten können nur scheinbar zerstört worden sein, während sie in Wirklichkeit nur "schlafen" und reaktiviert werden können. Manche RFID-Etiketten besitzen einen "Schlummer-" oder "Schlaf-Zustand", der für den durchschnittlichen Konsumenten den Eindruck erweckt, als sei das Etikett zerstört worden. Es wäre Händlern und anderen möglich zu behaupten, sie hätten ein Etikett zerstört, während sie es tatsächlich nur auf den "Schlaf-Modus" gesetzt haben. Damit bestünde später die Möglichkeit, ein "schlummerndes" Etikett zu reaktivieren und auszulesen. Die Option der Etiketten-Zerstörung könnte von Regierungsseite unterbunden werden. Es wäre ein leichtes, aufgrund eines geringen Sicherheitsrisikos oder einer Änderung in der Regierungspolitik die Option der Zerstörung der Etiketten außer Kraft zu setzen. Wenn man zulässt, dass RFID-Etiketten überall in und auf Konsumgütern verwendet werden, könnte die Aussetzung einer Verpflichtung zum Zerstören der Etiketten direkt in die Errichtung eines Überwachungsstaats führen. Der Einzelhandel könnte Hürden oder Anreize einführen, um Verbraucher von der Zerstörung von RFID-Etiketten abzuhalten. Verbrauchern, die eine Zerstörung der Etiketten wünschen, könnten zu diesem Zweck umständliche oder lästigen Verfahren auferlegt werden - wie zum Beispiel das Anstellen vor einem sogenannten "killer kiosk" [4], also einem Extraschalter, wo die Etiketten zerstört werden. Es könnte weiter von ihnen verlangt werden, dass sie die Zerstörung selbst vornehmen müssen. Kunden, die sich dafür entscheiden, die Etiketten zu zerstören, könnten möglicherweise nicht dieselben Rabatte oder Sonderangebote wie andere Kunden erhalten, oder es werden ihnen nicht dieselben Umtauschkonditionen zugestanden. In vielen Bereichen der Datenschutz-Gesetzgebung wird diesen Anreizen durch den Einzelhandel begegnet, und es gibt gesetzliche Verbote dagegen, die Kunden zur Aufgabe ihrer Privatsphäre zu verführen. [5] Die Schaffung von zwei Klassen von Konsumenten Wenn die Zerstörung von RFID-Etiketten eine bewusste Anstrengung auf Seiten der Konsumenten erfordert, werden viele davon keinen Gebrauch machen, sei es aus Furcht, Unwissenheit oder Zeitmangel. Viele werden sich dafür entscheiden, die Etiketten nicht zu zerstören, wenn dies unbequem ist. (In den momentan gängigen "killer kiosks" muss jedes Stück einzeln aufgelegt werden, ein langwieriger und zeitraubender Vorgang.) Dies würde zwei Klassen von Konsumenten hervorbringen, die einen, die sich "genug kümmern", um RFID-Etiketten in ihren Waren zu zerstören, und die andern, die das nicht tun. Die Zugehörigkeit zu einer, egal welcher, dieser Gruppen könnte negative Folgen haben. Blocker Tags"RFID blocker tags" sind elektronische Geräte, welche die Übermittlung von allen oder einigen Informationen auf RFID-Etiketten stören sollen. So ein Blocker-Tag könnte in eine Einkaufstasche eingebaut sein, in eine Geldbörse, oder auch eine Armbanduhr, und wird dann in die Nähe von Etiketten gehalten, deren Informationen der Kunde blockieren möchte. [6] Blocker-Tags sind bisher nur Theorie Soviel wir wissen, existieren Blocker-Tags noch nicht. Bis ein Blocker-Tag entwickelt und getestet worden ist, gibt es keine Möglichkeit zu wissen, wie effektiv er sein wird und ob er technisch außer Kraft gesetzt werden kann. Blocker-Tags fördern den Einsatz von RFID-Etiketten Ein Blocker-Tag könnte die Verbreitung der RFID-Technik fördern, indem er den Konsumenten ein falsches Gefühl der Sicherheit vermittelt. Obwohl diese Erfindung eine ziemlich beeindruckende Idee ist, ist sie doch auch eine, deren Nutzung verboten oder mit zunehmender Trägheit vernachlässigt werden könnte. Es ist außerdem möglich, dass solch ein elektronisches Gerät seinen Wirkung einbüßen könnte, sei es durch absichtliche Einwirkung von außen oder weil es einfach defekt wird. Blocker-Tags könnten verboten werden, durch Gesetze oder Geschäftspolitik des Handels Die Konsumenten könnten das Recht auf Gebrauch von Blocker-Tags verlieren, wenn die Regierung befindet, dass es für die nationale Sicherheit notwendig ist zu wissen, welche Kleidung die Leute tragen oder was sie sonst bei sich haben. Sie könnte solche Geräte grundsätzlich verbieten oder einzelne Orte auswählen, an denen sie nicht benutzt werden dürfen. Man kann sich zum Beispiel leicht ein Verbot solcher Geräte auf Flughäfen oder in öffentlichen Gebäuden vorstellen. Einzelhandelsunternehmen könnten Blocker-Tags verbieten, wenn sie glauben, dass die Geräte dazu benutzt werden könnten, Sicherheitsmaßnahmen zu umgehen, oder wenn sie davon ausgehen, dass Detailwissen über ihre Kunden für ihre Marketingbemühungen wertvoll ist. Wenn RFID-Etiketten erst einmal allgegenwärtig sind, würde ein generelles oder teilweises Verbot eines "Datenschutzgeräts" wie dem Blocker-Tag die Konsumenten schutzlos einem Eindringen in ihre Privatsphäre ausliefern. Blocker-Tags bürden den Verbrauchern die Initiative auf Ein Blocker-Tag verlagert die Last des Schutzes der Privatsphäre weg von den Herstellern und dem Handel, und legt sie auf die Schultern der Konsumenten. Außerdem könnten vielbeschäftigte Verbraucher einfach vergessen, das Blocker-Gerät mit sich zu führen oder es einzusetzen, besonders wenn es noch weiterer Handlungsschritte bedarf, um sie wirksam zu machen. Blocker-Tags schützen Verbraucher nicht mehr, sobald die Produkte vom Blocker-Tag entfernt werden Blocker-Tags funktionieren theoretisch nur dann, wenn sie sich in der Nähe der Gegenstände befinden, die sie vor den RFID-Lesegeräten "verstecken" sollen. Sobald Gegenstände sich außerhalb der Reichweite des Blockier-Geräts befinden, wären die Konsumenten dem Eindringen in ihre Privatsphäre schutzlos ausgesetzt. Eine Konsumentin könnte beispielsweise einen Pullover kaufen und annehmen, dass die Information auf dem eingearbeiteten RFID-Etikett geschützt wäre, weil sie ihn in einer Einkauftasche nach Hause trägt, die mit einem Blocker-Tag ausgestattet ist. Sobald sie allerdings den Pullover aus der Tasche nimmt und ihn anzieht können Informationen aus dem Etikett gelesen werden sobald sie den Pullover in der Nähe eines Lesegeräts trägt. Die Schaffung von zwei Klassen von Konsumenten Genauso wie im Falle der Zerstörung von Etiketten beim Erwerb der Produkte wird ein Blocker-Tag wahrscheinlich zwei Klassen von Konsumenten schaffen: die einen, die Etiketten blockieren, und die, die das nicht tun. Geschlossenes SystemIndustrievertreter argumentieren, dass RFID-Applikationen sich auf geschlossene Systeme beschränken könnten, dann wären die Daten nur für diejenigen zugänglich, die sich innerhalb dieses Systems befinden, und für Leute die mit einem entsprechenden Regierungsmandat ausgestattet sind (beispielsweise durch ein Gesetz ähnlich dem US-amerikanischen Communications Access to Law Enforcement Act, CALEA). Damit, so sagen sie, wäre eine Profilerstellung und Verfolgung durch den gesamtgesellschaftlichen Raum unwahrscheinlich. Ein Beispiel für den schon stattfindenden Einsatz von RFID in geschlossenen Systemen ist die Nutzung in Bibliotheken. "Die Früchte des Zorns" in Bibliothek X hat einen anderen Code als derselbe Titel in Bibliothek Y. Obwohl RFID-Applikationen heute auf geschlossene Systeme beschränkt sind, wird es große Nachfrage nach standardisierter Etikettierung geben. Verleger zum Beispiel könnten eines Tages Bücher an Bibliotheken und Buchhandlungen ausliefern, die beschreibbare Etiketten haben. Jedes Exemplar von "Die Früchte des Zorns" würde dann einen Teil seines Standard-Warencodes tragen, der mit dem auf jedem anderen Exemplar identisch ist. Die Bibliothek wird in der Lage sein, den restlichen Code anzupassen, so dass er ihren Anforderungen der Inventarkontrolle gerecht wird. Selbst wenn geschlossene Systeme geschlossen bleiben, macht ihr Mangel an Transparenz sie beunruhigend vom Standpunkt der Privatsphäre aus. Weil bestimmte Details über geschlossene Systeme möglicherweise nicht leicht erhältlich sind, hätten Konsumenten große Schwierigkeiten bei der Beschaffung der Informationen, die sie benötigen, um Gefährdungen ihrer Privatsphäre einschätzen und sich schützen zu können. SchlussfolgerungWir begrüßen es, dass sich die Industrie mit der Sorge um die Privatsphäre von Konsumenten und die Bürgerrechte im Zusammenhang mit der RFID-Technologie auseinandersetzt. Während wir davon überzeugt sind, dass die vorgeschlagenen Lösungen dem ehrlichen Bemühen um eine positive Lösung entspringen, bieten diese Lösungsvorschläge jedoch einen nur ungenügenden Schutz. Bis angemessene Lösungen entwickelt und allgemein anerkannt wurden, denken wir, dass es falsch ist, Konsumenten den Gefahren der RFID-Technologie durch Etikettierung auf dem Objekt-Niveau auszusetzen. Referenzen: Übersetzung:
Harald Manninga, Sebastian Lisken, FoeBuD
|
2007-07-02 16:24