AIM unterstützt RFID-Industrie und -Anwender im PIA-Prozess
Der Industrieverband AIM engagiert sich für die Steuerung des „Privacy Impact Assessment“-Prozesses (PIA). Ziel ist es, die europäische RFID-Industrie zu fördern und RFID-Anwender nicht durch einen unverhältnismäßigen PIA-Aufwand zu beeinträchtigen. Der „PIA-Aufwand“ umfasst die Folgen, die eventuell aus der EU Recommendation für die Durchführung von Privacy Impact Assessments sowie deren Dokumentation und Übergabe an staatliche Stellen entstehen könnten.

In diesem Rahmen arbeitet AIM mit der „RFID Informal Work Group“ bei der EU-Kommission in Brüssel, dem Dialogkreis RFID beim Bundeswirtschaftsministerium, dem Branchenverband BITKOM, den Standardsorganisationen wie DIN, CEN, CENELEC und ETSI sowie dem EU-geförderten Forschungsprojekt RACE zusammen. Diskussionen mit AIM-Mitgliedern finden im Rahmen des Arbeitskreises „European RFID Expert Group“ (EREG), der auf dem kommenden AIM-Frühjahrsforum vom 3. bis 5. Februar 2010 tagt, statt. 

EU Recommendation für RFID Privacy
Im Winter 2008 führte die Brüsseler EU-Kommission über das Internet eine öffentliche Konsultation zu der beabsichtigten Empfehlung zur Privatsphäre, zum Datenschutz und zur Datensicherheit beim RFID-Einsatz durch. Jeder europäische Staatsbürger war aufgerufen, sich hier zu äußern. Die Empfehlung ist seit 12. Mai 2009 erhältich und wurde an die EU-Länder versandt. Der Originaltitel lautet: Commission Recommendation on the implementation of privacy and data protection principles in applications supported by RFID. Diese Empfehlung richtet sich nicht an die Hersteller der RFID-Technologie, sondern an die Betreiber von RFID-Anwendungen (Operator). Beispielhaft seien die großen Handelsunternehmen mit Supermärkten wie Metro Group, Carrefour, Tesco und andere genannt. Die Empfehlung zielt sich jedoch nicht ausschließlich auf diesen Sektor, sondern adressiert jede RFID-Anwendung in allen denkbaren Branchenn.

Anstoß zur transeuropäischen Diskussion
Diese Empfehlung ist ein Basisdokument, auf dessen Grundlage ein „Framework“ für die Durchführung von „Privacy Impact Assessments“ (PIA) erstellt werden soll. Das Assessment soll vom Operator dokumentiert und sechs Wochen vor dem Start einer RFID-Anwendung an eine verantwortliche staatliche Instanz zur Prüfung des Datenschutzes übergeben werden. Ist der Datenschutz nicht gewährleistet, muss nachgebessert werden, beispielsweise mit „Privacy Enhancement Technologies“ (PET). Für den Konsumgütersektor steht die Frage „Opt-in“ oder „Opt-out“ im Vordergrund. Würde die EU-Kommission generell „Opt-in“ fordern, dürfen am Point of Sale RFID-Tags nur an den Produkten verbleiben, wenn der Konsument das explizit verlangt.  Der Handel kann jedoch RFID zur Optimierung konsumentenorientierter After-Sales-Services nur einsetzen, wenn die Tags an den Produkten verbleiben. Die Dokumentierung des Assessment dient laut der Empfehlung zum Schutz vor Missbrauch. Mithilfe dieser Assessments wird in Zukunft für Konsumtenten eine höhere und transparentere Sicherheit beim Kauf von Produkten mit RFID-Tags entstehen. Der Aufwand für die Assessments ist für die großen Handelsunternehmen überschaubar, da die Kassenanwendungen  weltweit gleichartig strukturiert sind. Betrieber kleinerer Anwendungen, wie der RFID-Einsatz in Smartcards für Skipässe, in der  Fernbedienung für die Zentralverriegelung in Autos und der Wegfahrsperre oder im Bereich der Produktionssteuerung in Fertigungsunternehmen, müssen mehr Aufwand betreiben. Die Frage nach einer möglichen nachträglichen Dokumentation von Anwendungen, die sich seit den 1980er Jahren etabliert haben, ist noch offen. In der Recommendation steckt die Gefahr der Überregulierung und eine Behinderung der RFID-Ausbreitung.