 Mein Name ist Grena Tangens vom Fürgut aus Bielefeld. Ich werde heute eine super kurze Einführung darin geben, wie RFID überhaupt zum Thema wurde im Kontext von Datenschutz. Und danach werden wir Andreas Krisch hören, der dann die Folgen im europäischen Kontext und nicht nur in Bezug auf RFID, sondern vielleicht auch die weiterführenden EU-Richtlinien, die daraus folgen können, dann vortragen wird. Am Ende haben wir eine Frage-Antwort-Diskussionsrunde. Okay, der Fürgut, den gibt es schon seit 1987 und seit dem Jahr 2000 verleihen wir die Big Brother Awards, einen Datenschutz-Negativpreis. Apropos bis 31. Dezember können noch Vorschläge für die nächsten Big Brother Awards eingereicht werden. Wir freuen uns über Vorschläge. Die Big Brother Awards haben tatsächlich die RFID-Technologie das erste Mal in die Schlagzeilen gebracht, nämlich 2003 hat der Future Store in Rheinberg, das war oder ist ein Supermarkt, ein ganz normaler Supermarkt, der RFID zum ersten Mal in freier Wildbahn im Einsatz hatte. Der gehört der Metro AG. Und wir haben damals den Preis quasi präventiv verdient. Es gab noch kein konkretes Datenvergehen dabei. Wir haben nur gesagt, diese Technologie hat so viel Potenzial für Kontrolle, Überwachung und Manipulation, Tracking von Menschen und so weiter, dass wir diesen Preis präventiv vergeben. Das war im Oktober 2003. Da hat es zum ersten Mal Aufmerksamkeit gegeben. Im Februar 2004 haben wir dann einen Vortrag in Bielefeld organisiert mit der amerikanischen Verbraucheraktivistin Kerstin Olbrecht. Die haben wir dann gelockt mit einem Besuch im Future Store, wo sie sich das dann mal live angucken konnte. Hier sehen wir, wie diese Chips in Freier Wildbahn aussehen auf einem Frischkäse. Die waren unter dem Strichgout drunter. Und bei dieser Gelegenheit haben wir also einen Rundgang gemacht in dem Future Store. Uns wurden dreieinhalb Stunden lang von der Crew der Metro dann erklärt, wie das alles funktioniert. Und wie berechtigt unser Preis 2003 gewesen war, der Big Brother Award, haben wir allerdings erst anschließend tatsächlich verstanden. Nämlich, als Kerstin ihren Vortrag gehalten hat und wir in der Pause gezeigt haben, wie funktioniert das denn so in der Praxis. Wir hatten, man sieht, das ist ziemlich gebastelt, hatten da so ein RFID-Lesegerät am Rechner. Und haben dann, wir hatten natürlich auch eingekauft, in einem Supermarkt haben da gezeigt hier so Scantman. Und das sagt dann blieb und dann kommt der Nummer. Und irgendwann sagte jemand aus dem Publikum, hey, und was ist mit der Kundenkarte? Nee, nee, wir hatten jetzt gerade drei Stunden Führung. Die haben nichts gesagt von wegen Kundenkarte mit RFID, aber wir können es ja mal ausprobieren. Bettina, du hast doch so eine Karte von dort mitgenommen, gib mal her. Karte genommen, drüber gehalten, man sieht es dort wirklich live. Und es sagt blieb und es kam eine Nummer. Zehntausend Kundinnen und Kunden von diesem Supermarkt sind mit so einer Wanzener Tasche rumgelaufen, hatten keine Ahnung davon. Und wir hätten es nicht schauspielern können, es ist live on stage passiert, dass wir es überhaupt entdeckt haben. Wir haben am nächsten Tag die Karte zu einem Röntgenarzt unseres Vertrauens gebracht, die Diagnose war eindeutig. Ihr seht selber die Antennen und der Chip da drin. Und dann haben wir bei der Metro angerufen und der Presse-Morgens und der Presse-Sprecher sagte, oh, ich habe gerade gar keine Zeit. Ich melde mich später bei Ihnen. Später war 17.30 Uhr und wir bekamen Fotos zugeschickt als Antwort. Und mit der Erklärung am DVD-Regal weisen wir die Kunden darauf hin, dass ein Chip in der Karte ist. Abgesehen davon, dass wir das nicht für den richtigen Ort halten. Denn eigentlich sollte man das erfahren, wenn man so eine Karte beantragt, war auch das noch eine Lüge. Wir sehen hier das Foto, was uns Metro geschickt hat vom Montag, 2. Februar. Und hier, glücklicherweise waren wir viele Föhrbots in diesem Laden unterwegs, hatte jemand auch ein Foto gemacht. Und da sieht man, am Samstag gab es da noch ein paar Schildchen weniger. Auf denen stand nur, dass man sich den Trailer freischalten kann von dem Film, wenn man die entsprechend gechippte Kassette halt davor hält. Das fanden wir dann ein bisschen zu viel von Verarsche und dann haben wir das veröffentlicht. Und außerdem haben wir der Metro mitgeteilt, dass wir denken, dass ihr Feldversuch da gerade außer Kontrolle gerät und haben gesagt, das sollten Sie jetzt mal einstellen. Die Metro hat natürlich gesagt, ihr könnt uns mal. Und daraufhin haben wir zu einer Demo aufgerufen. Da hat sich dann auch ganz schnell der Chaos Computer Club angeschlossen. Die direkte Aktion, die Grüne Jugend, die Attack AG Wissensalmende und dann wurde der Metro langsam mulmig. Und einen Tag vor der Demo haben sie uns seine Fax geschickt, dass sie die Karte zurückziehen. Natürlich nicht aus sachlichen Gründen, sondern wegen der emotional aufgeladenen Stimmung. Nun war es aber schon zu spät. Die Demo ist gelaufen. Die Bilder sind um die Welt gegangen. Wir sehen hier, Frankfurter Rundschau war halt nur eine von vielen. Es stand auch in der Financial Times und das wiederum hatte durchschlagenden Erfolg. Denn damit landete es dann auch in den Börsen Nachrichten der ARD, um den sinkenden Kurs der Metro zu begründen. Wenn wir damals schon gewusst hätten, was Put-Optionen sind, hätten wir einen Weg zur Clubfinanzierung gehabt. Die Lobby, die RFID-Lobby hat allerdings schon recht relativ heftig reagiert. Die Presse ist uns in vielen Fällen zugetragen worden, ist mit Klageandrohungen überzogen worden, auch mit informellem Druck wie Anzeigenstornierung und Ähnliches. Veranstalter, die Fachkongresse zu RFID gemacht haben, sind unter Druck gesetzt worden, dass sie Kritiker vom Fürwut nicht einladen, bis hin zu Bundestagsfraktionen, die uns für Anhörungen einladen wollten. Diese Sendung, die man da gerade sieht von Frontal 21, zum Beispiel ist aus dem Internetangebot vom ZDF zurückgezogen worden, obwohl das ZDF dem Prozess gewonnen hat in allen Punkten bis auf einen. Wir haben uns den Spaß trotzdem nicht nehmen lassen. Hier haben wir dann die Metro auf der CWIT besucht und waren eine dreiverte Stunde mit diesem Transparent in der Halle unterwegs. Wir dachten, die Security kommt noch fünf Minuten, aber das hätte so unschöne Bilder gegeben. Deswegen sind die nicht gekommen, dann sind wir eine dreiverte Stunde rumgewandert, haben Infos verteilt und dann kam jemand von der Deutschen Messe AG und sagte, halt, sie müssen dieses Schild entfernen. Es überschreitet die Verwerbeschilder in Hallen zulässigen Maße. Ich kann mir lebhaft vorstellen, wie ein Justizjahr im Hinterzimmer gesessen hat und geblättert hat, bis er etwas gefunden hat, warum wir jetzt da entfernt werden müssen. Was ich einen schönen Erfolg finde, GS1 ist eine der Organisationen, mit denen Andreas auch zu tun hat. Und die haben selber diese Befragung durchgeführt. Wir können hier zwei interessante Punkte sehen. Das eine ist, in Deutschland ist der größte Prozentsatz von Leuten, die überhaupt wissen, was RFID ist. Also ich glaube, wir haben gut für Informationen gesorgt. Also die 26 Prozent, wie habe ich noch nie gehört, sind in Deutschland am geringsten. Und dann sehen wir oben diesen Ausreißer. Also bei der Balkengrafik, das längste Teil da, das ist Deutschland. Was muss sein, welche Voraussetzungen müssen erfüllt sein, damit sie ein Produkt, das mit einem Funkchip ausgestattet ist, bedenkenlos kaufen und dann im Ranking Datensicherheit, Datenschutz muss gewährleistet sein. Das wird sagen, da haben wir ganz gute Arbeit geleistet. Das Informationsforum RFID, eine Lobbyorganisation in Deutschland, hat dann einen Wettbewerb für ein Design, für ein Logo, ein Hinweislogo ausgerufen. Und das war natürlich dafür da, um der EU-Kommission, die möglicherweise eine Pflicht zur Kennzeichnung veranlasst, hätte zuvor zu kommen, um ein nettes, harmloses, freundliches Logo zu finden. Das ist da der Gewinner des Industriewettbewerbs. Wir haben uns dann den Spaß gemacht und haben selber auch einen Wettbewerb ausgerufen. Und das ist das Logo, was bei uns gewonnen hat. Jo, dann, es ist aber nicht vorbei. Der große Rollout ist erstmal nicht gelaufen, aber es laufen neue Dinge. Und eins davon oder zwei Anwendungen wollte ich euch kurz noch vorstellen. Das hat auch einen aktuellen Big Brother Award, also in diesem Jahr, bekommen. Die Mode Marke Peter Ray, ich kannte sie vorher nicht, aber die nähen RFID-Chips ein, und zwar gegen Produktpiraterie. Und deswegen steht da auch dabei, do not remove this label. Das heißt, das soll da drin bleiben. Das trägt man in der Jacke dann mit sich herum. Und auch Gary Weber, eine andere Textilfirma, die baut, die hat die RFID-Chips in die Textivpflegeetiketten mit integriert. Das erleichtert die Inventur, ist gleichzeitig das Warnsicherungsetikett. Und diese Teile können über 8 Meter Entfernung ausgelesen werden. Und wenn man dann mal darüber nachdenkt, dass diese Daten, die zwar zu dem Produkt gehören, aber durchaus einfach personenbeziehbar sind, dann sehen wir, dass noch große Aufgaben vor uns stehen. Und zu denen kommen wir gleich. Vielen Dank. Und jetzt wechseln wir zu Andreas Grisch. Ja, also Renner hat es gerade wunderbar erklärt. Die RFID-Technologie ist in der Gesellschaft angekommen und zwar relativ lautstark. Umgefähr zu der Zeit, wo sie der Föhrput mit der Metro-Gruppe auseinandergesetzt hat, mit den durchaus mächtigen Gegner, habe ich mich in Wien mit RFID beschäftigt und vor allem RFID und Datenschutz. Was sind die Problemstellungen? Was ist die Problemlage? Wie könnte man sowas lösen? Und was man dazusagen muss noch als Hintergrund, es ist nicht nur der Föhrput und meine Organisation Weiberty in Österreich, sondern wir gemeinsam mit dem Chaos-Computer-Gruppe, mit etlichen anderen Organisationen, insgesamt 28 in Europa, aus 18 unterschiedlichen Ländern, sind die European Digital Rights, der Dachverband, der sich auf Europaebene für den Schutz der Menschenrechte, für den Datenschutz in der digitalen Gesellschaft einsetzt und durch die Aufmerksamkeit, die durch diese Aktionen eben entstanden ist, ist auch bei der EU-Kommission klar geworden, da muss man irgendwas tun. Es ist ihnen bewusst geworden, es wird RFID-Technologie nicht flächendeckend in Europa anwendbar sein, wenn man das Thema Datenschutz nicht bearbeitet. Aus dem Grund hat die EU-Kommission dann im Jahr 2007 eine Expertengruppe ins Leben gerufen, die sich mit Datenschutz und Sicherheit in Bezug zur RFID auseinandersetzen sollte und hat eingeladen jede Menge Industrievertreter, natürlich Gewerkschaften, Verbraucherorganisationen, dann die Vertreter von Datenschutzaufsichtsbehörden als Beobachter, damit die auch aus Datenschutz sich was sagen können, Vertreter von Standardisierungsgremien wie EZI, W10 und unter anderem auch E-Dreher. Wir kriegen eines Tages eine E-Mail von der Europäischen Kommission, ob wir nicht jemanden entsehnten wollen in diese Expertengruppe. Das hat sich gut ergeben. Ich war inhaltlich ausreichend vorbereitet und dort auch wirklich kompetent, was dazu zu sagen zu können. Wir haben diese Einladung angenommen und sind in diesen Diskussionsprozesse eingestiegen. Das muss man sich ungefähr so vorstellen, als würden Gladiatorenkämpfe jetzt nicht mehr in der Arena, sondern am Tisch stattfinden, also total verherrte Defronten, zuerst mit die Industrie, nein, und im Gotteswillen der Datenschutz bringt unsere Technologie um und alles ist ganz schrecklich. Auf der anderen Seite der Datenschutz, natürlich, wo die RFID ist, nein, das ist ganz schlimm und überhaupt unser Datenschutz ist so gefährdet, was ja auch tatsächlich der Fall ist. Ja, das heißt, wir haben dort einmal in ersten halben Jahren so ungefähr unsere Zeit damit verbracht, die Argumente auf den Tisch zu legen, und zwar jeder seine mit möglichst guten Formulierungen und möglichst schlüssig. Und es hat sich herauskristallisiert, dass eigentlich Datenschutz durchaus eine Anforderung ist, auch wenn man das Ganze nüchtern betrachtet, wenn man die Emotionen einmal zurücknimmt und rein nur die Fakten auf den Tisch legt. Das heißt, ohne Datenschutz wird es nicht geben, ohne dass man da irgendwelche Maßnahmen setzt. Da sind wir dann in die Gegend gekommen, wo dann auch diskutiert werden ist, na ja, mit der Videoüberwachung kann man ja zum Beispiel so, dass man irgendwelche Hinweisschilder aufhängen muss. Hier wird Videoüberwachung des jeden bewusst ist. Und das war absehbar, es wird fix so etwas kommen, etwa nur die Frage, wie wird das aussehen. Und da, der berühmte Logo-Wetzbewerb zwischen Informationsforum AFRD und dem Föhrboot, wirklich ganz ein geniales Timing, diese Geschichte. Wir haben das, also Föhrboot hat das in Deutschland gemacht, Informationsforum ist auch in Deutschland angesiedelt. Ich war in Wien und in der EU-Kommission, in dieser Expertengruppe, und haben das ein bisschen aus der Distanz angesehen. Und eines Tages sitze ich wieder in Brüssel in dieser Kommission und jemand fangt hektisch im CD zu Blättern an und reicht dann genau diese beiden Logos, die dort abgedruckt waren durch die Gegend. Und Farbwechsel bei den Gesichtern der Industrievertreter, dass jetzt ihr wunderschöner Logofrohrschlag eins zu eins auf der selben Seite abgeschossen worden ist von diesem AFRD-Logo vom Föhrboot. Das ist ein besser Teil, man hätte das wirklich nicht können. Uns kurz zu machen, das Ergebnis von dieser Sache ist, es wird keines von diesen beiden Logos, sondern es sind derzeit die europäischen Standardisierungsgremien damit beauftragt, ein neutrales Logo zu entwickeln, das dann tatsächlich über AFRD informiert oder auf AFRD hinweist. Wird also weder so noch so aussehen, aber hoffentlich durchaus trotzdem brauchbar sein. Das Ergebnis von dieser Arbeit in der Expertengruppe war dann 2009, dass die EU-Kommission eine Empfehlung zu AFRD abgegeben hat. Das ist so ziemlich der schwächste Mittel, dass die EU-Kommission anwenden kann, ist nicht rechtsverbindlich, sondern es wird den Mitgliedstaaten eben vorgeschlagen, worauf man bei AFRD aufpassen sollte und welche Maßnahmen man die Mitgliedstaaten setzen sollte und auch die Industrie natürlich um den Datenschutz und die Sicherheit in Bezug auf dieses Thema zu gewährleisten. Drei wichtige Punkte dabei sind, die Kommission sagt, wer AFRD einsetzt, soll vorher auf jeden Fall sogenanntes Privacy Impact Assessment machen, also Erfolgenabschätzung, welche Auswirkungen hat es auf den Datenschutz für die Betroffenen. Der zweite Punkt im Retail-Bereich, also im Einzelhandel, soll verpflichtend eine Deaktivierung der AFRD-Tags am Verkaufspunkt, also bei der Kassastart, finden, wenn dieses Privacy Impact Assessment, das davor gemacht wurde, nicht zu dem Ergebnis kommt, dass es keine negativen Auswirkungen auf den Datenschutz geben soll. Das heißt, verpflichtende Deaktivierung beim Verkauf und es ist Transparenz zu gewährleisten. Das heißt, es muss Hinweise geben, dass AFRD-Lesegeräte montiert sind, dass die Produkte mit AFRDs ausgestattet sind, dafür braucht man eben diese Logos und man muss Informationen bereitstellen, wer betreibt diese Applikation, wofür ist sie gut, wie kann man sich informieren, wie kann man seine Rechte als Betroffener wahrnehmen, etc., etc. Da war großes Zähneknieschen bei der Industrie natürlich, weil irgendwie zu was verpflichtet werden ist, immer nicht so toll, aber es war am Schluss eigentlich ein ziemlich guter Kompromiss. Es war nicht der reine Datenschutz zu 100%, das was die Datenschützer meinen, dass das notwendig ist und es war nicht, wir machen überhaupt keinen Datenschutz, sondern es war der Kompromiss in der Mitte, das war der klaren Aussage der Kommission, die auch da drinnen steht, dass nach drei Jahren das Ganze evaluiert wird und man sich ansieht, ob das was gebracht hat oder nicht und wenn nicht, dann wird die Kommission auch härtere Maßnahmen ergreifen. Die drei Jahre sind demnächst um, es wird die Kommission im nächsten Frühjahr die Maßnahmen evaluieren und schauen, was dabei rauskommt. Mein persönliches Gefühl ist, wir werden über strengere Maßnahmen reden müssen, weil wie man mit Wettere und anderen sieht, es ist nicht wirklich viel Datenschutz zu merken. Die Entwicklung geht aber in die richtige Richtung. Wir haben einerseits diese Privacy Impact Assessment festgeschrieben, da ist die Industrie dann auch noch dazu verpflichtet worden, die auszuarbeiten, also sprich, einen Vorschlag zu machen, beziehungsweise ein Framework vorzulegen, die Privacy Impact Assessment. Wie stellen wir fest, ob etwas datenschutzfreundlich ist? Das haben Sie zuerst einmal so versucht, dass wir machen ein bisschen viel Papier mit schwarzem Text drauf und dann ist wieder gut und das ist dann schon in Ordnung und haben gedacht, dass sie damit durchkommen, sind sie aber nicht aus dem einfachen Grund, weil die Kommission auch wollte, dass dieses Papier vorher der Artikel 912 Datenschutzgruppe vorgelegt wird. Das ist das europäische Gremium der Nationalen Datenschutzaufsichtsbehörden und die haben dann gesagt, na ja, netter Anfang, aber fertig, kann das noch nicht sein, bitte wieder zurück. Die Enise der europäische Netzwerksicherheitsagentur ist auch gefragt worden, die haben gesagt, ja, also wirklich ganz tolle Ansätze sind da drin, aber wie gesagt, ein bisschen was fehlt, dann noch, tut es noch ein bisschen weiter, wodurch das Ganze sich ein Jahr verzögert hat. Also statt im Jahr 2010 ist jetzt erst im Jahr 2011 dieses Privacy Impact Assessment Framework tatsächlich fertig geworden, das durchaus ganz brauchbar ist. Also es nimmt praktisch den europäischen Datenschutzrahmen als Anforderungsdefinition, also was muss IT leisten, um datenschutzkonform zu sein, stellt den bekannten Risiken von RFID-Technologie gegenüber und macht dann Vorschläge, wie man diese Risiken minimieren kann bzw. ganz ausschließen kann. Das hat das im Rahmen von einem klassischen Risikomanagement Zugang, also durchaus eine brauchbare Sache, wenn man es ernsthaft betreibt. Dieses ernsthafte Betreiben ist auch der Punkt, an dem die ganze Sache hängt. Wenn man das nichts tut, dann ist es viel Papier, das man produziert, das wenig bringt. Wenn man es allerdings ernst nimmt, dann kann das durchaus gute Ergebnisse bringen. Die Artikel 29 Arbeitsgruppe hat bei der Gelegenheit eine ganz wichtige Klarstellung getroffen, nämlich was sind in Bezug auf RFID überhaupt personenbezogene Daten. Glastischerweise denkt man immer so an Name, Adresse, Telefonnummer, keine Ahnung, bis zur Schuhgröße oder sonst wohin. Die Artikel 29-Gruppe sagt, und zwar auf Basis der aktuellen EU-Rechtslage, der Datenschutzrichtlinie, dass, wenn ein RFID-Tec eine eindeutige Nummer enthält und der Tec wahrscheinlich von einer Person getragen oder mitgeführt wird, dass dann diese Nummer ein personenbezogenes Datum ist. Das heißt, die ist ganz genauso zu schützen wie alle anderen personenbezogenen Daten. Begründet wird es einfach mit der Tatsache, dass man auf dieser Nummer und dieser Funkübertragung, dieser Unsichtbaren jederzeit der Datensammlung darauf aufbauen kann. Weil alles, was man dazu braucht, dieser ID, und damit kann man jeden trecken, alles nachverfolgen. Man kann anhand der ID feststellen, welches Produkt das ist, wo es ein Produktcode gibt, der das Bisausprodukt zu einzelne ganz genau festlegt und so weiter. Das heißt, es ist aus der Sicht klar, wenn diese RFIDs nicht irgendwie zu schützt sind und jeder auf diese Daten zugreifen kann, dann ist es automatisch ein personenbezogenes Datum und damit sind die RFIDs auch am Point of Sale tatsächlich zu deaktivieren oder eben zu entfernen. Das war ein super Erfolg dort, weit mehr, als man von Anfang an erwarten hätte können. Aber natürlich muss das jetzt richtig implementiert werden. Das heißt, wir sind jetzt sehr aktiv, noch mit dabei darauf zu schauen, dass wenn die Industrie sagt, bitte, wir sind so toll, wir haben da jetzt wieder was ganz was Tolles errungen und jetzt brav unsere Impligt Assessments gemacht, dass wir dann noch darauf schauen, wie sind denn die tatsächlich gemacht worden? Es gibt zum Beispiel große Handelskette, die im Beginn und mit O endet, die Saktie deaktivieren ihre RFIDs auf den Produkten nicht, weil ihr Impact Assessment hätte ergeben, dass keine Gefahr für den Datenschutz oder für die Privatsführer der Betroffenen besteht. Anhand der Definition von personenbezogenen Daten fragt man sich, wie kann es da zu kommen und offenbar dürfte Fehler beim Impact Assessment passiert sein. Das heißt, auch das wird im nächsten Jahr bei der Evaluierung durch die Kommission mitspielen müssen und von uns ganz starkes Thema gebracht werden, dass genau da die Qualität sichergestellt werden muss und man darauf schaut, wird es wirklich so gehandhabt, wie es gedacht ist. Was in der Zwischenzeit seit dieser Empfehlung 2009 basiert, ist, dass die Kommission jetzt schon ein Schritt weitergeht. Die sagen, RFID ist gut und schön, bringt wirtschaftlich auch was, aber ist ein bisschen am Motto auch für die IT-Industrie, aber wo die ganze Reise eigentlich hingeht, ist das Internet der Dinge. Das heißt, nicht nur ein dummer RFID-Tag, der gerade einmal seine Nummer irgendwie mitteilen kann und nicht mehr, sondern eigentlich autonome Datenverarbeitung eingebettet in Objekte, auf Objekten vernetzte Sensorsysteme und ähnliche Dinge. Aus dem Grund gibt es jetzt eine weitere Expertengruppe, die Internet of Sins Expert Group, die voriges Jahr gegründet worden ist mit ähnlichen Stakeholden wie vorher und sich mit dem Thema auseinandersetzt. Anwendungsbeispiele Internet der Dinge klingt immer so komisch, was könnte es sein? Das wäre zum Beispiel Smart Mittering. Wenn unsere Elektrizitäts- und Gas- und sonstige Zähler anfangen, unsere Verbrauchsdaten und der Miet eigentlich Informationen darüber, was in unseren Wohnungen basiert, an die Energielieferanten zu übermitteln. Ein weiteres Beispiel wären die intelligenten Transportsysteme, wo der Straßenverkehr, der Bahnverkehr, Flugverkehr alle möglichen Arten von Transport miteinander informationstechnisch vernetzt werden sollen, wo ein Fahrzeug dem anderen mitteilt, wie gerade die Straßen oder die Witterungsverhältnisse sind, ob es weiter vorne ein Unfall gegeben hat, dort Gata es ist oder wie auch immer, all diese Kommunikationen, die dann zwischen den einzelnen Fahrzeugen stattfinden, wären ein klassisches Anwendungsbeispiel für Internet der Dinge Anwendung. Das heißt, wir haben sehr starke automatisierte Identifikation von Objekten, die natürlich genauso wie bei AFD relativ leicht wieder zur Identifikation von Personen führen kann. Und darüber dann natürlich auch zur Identifikation von Verhaltensweisen, von Vorlieben, von den geografischen Positionen und so weiter. Das heißt, wir haben wieder die gleiche Tracability, wir haben Profilbildungsmöglichkeiten, wir haben natürlich das Risiko, dass das für andere Zwecke als eigentlich vereinbart verwendet wird und so weiter. Und wir kriegen ein relativ großes Risiko, dass die Kombination all dieser Daten, die da anfallen, dann zu weiteren Erkenntnissen führen kann und damit eigentlich uns ziemlich transparent machen, wenn man sich das flächendeckendes Ding vorstellt, wo dann auch die Gebäudesteuerung zum Beispiel mitintegriert ist und diverse andere Dinge auch. Das heißt, wir sind eigentlich in der Situation, wo wir aktuell mit einer Datenschutzrichtlinie inzwischen 15 Jahre alt ist, ohnehin schon einiges an Datenschutzproblemen im normalen Leben haben, mit normaler IT haben, die Probleme werden dadurch sicherlich verstärkt werden. Das heißt, man muss sich grundsätzlich überlegen, wie kann man Datenschutz insgesamt besser machen, wie kann man Datenschutz sozusagen fit für das Internet der Dinge machen, damit wir da weitere Entwicklungsschritte geben können. Der Punkt ist ganz klar, wir können nicht anfangen und versuchen, Technologie zu verhindern, das wäre auch völlig der falsche Ansatz. Wir müssen schauen, wie kriegen wir den Datenschutz in die Technologie rein, so wie man eben zuerst Autos ohne Sicherheitsquote gebraut hat und dann irgendwann doch zur Überzeugung gekommen ist. Vielleicht wäre es nicht schlecht, den einen einbauen. Und diverse weitere Sicherheitsmechanismen, genauso müssen wir in dem Bereich jetzt auch lernen, wie wir die Art und Weise, wie wir Software, wie wir Applikationen, wie wir IT bauen, so ändern, dass wir den Datenschutz gleich mit drinnen haben und nicht dann hinten drum, uns irgendwelche rechtlichen Konstrukte überlegen müssen, wie wir den dann trotzdem noch sicherstellen können. Und das Ganze, und das ist eines der technischen Probleme, müssen wir machen mit Objekten, mit IT, die relativ knappe Ressourcen hat. Da gibt es kaum Prozesserleistung, da gibt es kaum Speicherkapazität, natürlich auch wenig Datenübertragungskapazität, aber in Summe reicht es halt doch, um schädlich zu sein. Man hat auch vom technischen her gewisse Hürde, die man da überwinden muss. Ein nächster Punkt ist, wie kann ich als Betroffener erstens einmal überhaupt feststellen, dass ich betroffen bin? Nur her weiß ich, dass umdrund um mich jetzt gerade ein Internet der Dinge tätig ist. Das ist jetzt zum Beispiel diesen Raum steuern anhand diversester Faktoren, wie zum Beispiel auch der Wärme, die ich abstrei, zum Beispiel. Wie komme zu der Information überhaupt, dass das da stattfindet? Wie kann ich sicherstellen, dass da nicht Sachen mit meinen sonnenbezogenen Daten passieren, die ich überhaupt nicht will und denen ich nicht zustimme? Wie kann man sicherstellen, dass da auch die Datenschutzprinzipien, wie Datenminimierung, die Zweckbindung, wie die weiteren Dinge sichergestellt werden, ohne dass man jetzt den direkten Einblick in die Applikation hat? Ein weiteres Problem ist auch, dass die diversen Applikationen natürlich auch zusammenarbeiten sollen. Wo sich dann schon wieder die Frage stellt, wer ist dann am Schluss eigentlich noch der Betreiber von dem Ding, wenn eins mit dem anderen kommuniziert, Daten austauscht, Daten und Informationen hinzuzieht, die es gerade braucht und das auf eine autonome Art und Weise, wo man auch als Betreiber und Umständen schon gar keine genaue Information mehr drüber hat, wie die Kooperation genau funktioniert. Ja, das heißt, was wollen wir erreichen? Wir brauchen dafür die Möglichkeit, die rechtlichen Prinzipien, die wir jetzt schon haben, die ja gar nicht so schlecht sind, wenn man sie ganz neutral und jetzt damit unabhängig von der Umsetzung in der Praxis anschaut, die müssen wir da reinkriegen. Wir brauchen größere Verantwortlichkeit der Betreiber. Das heißt, es muss mehr Verantwortungsgefühl für die Applikationen, für die IT geben, die man selbst in die Welt setzt. Und es braucht eine Rechtsdurchsetzung. Wir sehen das sehr oft, weil in der Rechtsdurchsetzung da ziemlich mangelt. Und dafür brauchen wir Möglichkeiten, wie wir das technisch umsetzen können. Das heißt, Grundpfeiler ist, die Menschen müssen die Kontrolle drüber behalten, was mit ihren Daten basiert. Es muss möglich sein, denen das so rüberzubringen, dass auch diejenigen, die keine Spezialisten in Internet der Dinge sind, das verstehen. Und dass sie eine informierte Entscheidung treffen können, ob sie da mitmachen wollen oder nicht. Und wir brauchen natürlich eine stärkere Harmonisierung des Datenschutzstandards generell. Wir haben derzeit einen sehr fragmentierten Zustand und müssen schauen, wie wir da einheitliche Regelungen kriegen. Das heißt, wir wollen da sehen eine generelle Anwendung von Privacy Impact Assessment. Wir hätten gerne ein Katalog von Best Practices und allgemein erkannten Risiken, die es zu beantworten gibt und den uns zu entgegnen gibt. Wir würden gerne sehen, dass Datenschutz als Designziel von aus aus in die Applikationen eingebaut wird. Und brauchen deswegen auch eine bessere Harmonisierung, einheitliche Anwendung und eine bessere Durchsetzung von Datenschutzrecht. Das heißt, wir müssen nicht nur darüber reden, dass wir Privacy by Design brauchen und dass Privacy by Default eine gute Sache ist. Und wir müssen diesen einen nächsten Schritt schaffen, dass wir diese Konzepte tatsächlich in die IT hinein kriegen. Das ist, glaube ich, der große Punkt und das ist in erster Linie eine technische Herausforderung, aber natürlich auch eine Herausforderung der Konzepte und es braucht Anreize dazu. Wenn ihr als Unternehmer kein Anreiz habt, in solche Dinge zu investieren, dann wird es in den meisten Fällen nicht stattfinden und insofern ist Rechtsdurchsetzung natürlich auch ein großer Punkt bei der ganzen Sache. Das heißt, wir brauchen Stärkung der Datenschutzaufsichtsbehörden. Wir brauchen zu einem gewissen Grad auch stärkere Sanktionen, was die Datenschutzverstößen, die bei Datenschutzverstößen zum Einsatz kommen. Wir brauchen die Verpflichtung, dass bei Datenschutzverletzungen die Betroffenen auch informiert werden, wie das im Telekombereich bereits vorgeschrieben ist. Und es wäre aus unserer Sicht relativ sinnvoll, Datenschutzbeauftragte verpflichtend einzuführen. In Deutschland ist das ohne Hinterfall. Wir halten das gerne EU-weit. Und außerdem braucht es ein gewisses Set von rechtlichen Klarstellungen. Also, wann ist zum Beispiel informierte Zustimmung tatsächlich gültig? Also, wann bin ich ausreichend informiert worden, um wirklich sagen zu können, okay, das Risiko, nämlich auf mich, ich würde da gern drehen, nehmen wir ihn dran. Ähnliche Dinge. Ja, Bridge Notifications lassen wir aus. Und zur Datenschutzreform, sage ich jetzt vielleicht bei den Quetschen was dazu, dann kann man direkt auch schon auf die aktuell gelegten Pläne der EU-Kommission eingehen, wie Sie sich Datenschutz in Zukunft in Europa verstellen. Wird man mich? Ja. Applaus bitte mal für Andreas Frisch und Reena Tangens. Wir haben jetzt noch ungefähr 13 Minuten Zeit für Q&A. Ich würde alle Anwesenden bitten, bis zum Ende zu bleiben, denn die Ruhe im Saal ist für alle schlecht. Wir haben auch einen Signalangel im Raum, der Fragen aus dem IRC-Channel entgegennimmt. Das ist der Rudi da vorne. Gibt es im Publikum mal Fragen, bitte. Also, es ist ja so, dass wir gar nicht mehr sagen können, welche Geräte alle jetzt Daten über uns verbreiten. Das kann ja der Fernseher sein, der Internetanschluss hat, der dann auch unsere Programmvorliebender weitergibt und das kann auch jedes andere Gerät sein, wie du auch gesagt hast, die Heizung. Also, ich denke, es wäre ein leichtes von Seiten der Schnittstelle her von der EU-Kommission, das insofern vorzugeben, dass jedes Gerät, das personenbezogene Daten weitergibt, die komplette Schnittstelle Open Source machen müsste. Das heißt, man müsste genau sehen, was hier passiert, was transportiert wird und auch den Bestimmungsort dieser Source an die EU-Kommission melden müsste, dass man dort, sozusagen, immer wieder Audits machen kann, wie mit den Daten umgegangen wird. Und wenn man also da dieses Tool, dieses Open Source-Tool nutzen kann, dann kann jetzt nicht nur der einfache User, der keine Ahnung hat, das kontrollieren, sondern dann können auch Experten, die hier auch sitzen, sich einmal jetzt die Open Source-Schnittstellen von Sony, von Apple, beim iPhone zum Beispiel, alle anschauen, das müsste dann alles offen liegen. Und ich glaube, das wäre eine einfache Möglichkeit, die alle Hersteller akzeptieren müssten. Wo man sagt, das ist das gleiche Recht für alle, und wo wir die Möglichkeit hätten, das zu sehen, was mit unseren Daten passiert. Das Teile zu sehr großen Teilen, ich denke, von der praktischen Durchsetzbarerzigkeit jetzt in den EU-Gremien her, dass wir alles Open Source kriegen, habe meine Zweifel, dass man aber sehr wohl kriegen kann, denke, sind offene Standards. Das heißt, dass man ganz klar in die Standardisierungsmandate, die die Kommission ja auch vergeben kann, in gewissen Bereichen, dass die offen sein müssen und dass es da einheitliche Regeln gibt, wie diese Schnittstellen ausschaut. Was nämlich abgesehen von Datenschutz für die EU-Kommission auch ein ganz großes Thema ist, ist Governance. Die wollen nach Möglichkeit Internet der Dinge nicht noch einmal so eine Konstellation haben, bis jetzt mit ICANN ist, was mit den Machtverhältnissen jetzt vielleicht nicht ganz so ist, bis Europa das wünschen würde. Und insofern ist es da eines der Interessen, sicherlich der Kommission, da im Fahrersitz zu sitzen und da die Regeln vorzugeben, was aber Europa klarerweise nicht alleine macht. Die Japaner sind relativ weit, zum Beispiel mit denen gibt es aber auch Kooperationen. Aber vom Grundprinzip her absolut offene Standards sind erschlüsselt. Und einer der Punkte in dem Vorschlag, in dem kommenden Vorschlag der EU-Kommission zum Review des Datenschutzrechtsrahmens, ist zum Beispiel Recht auf Datenportabilität. Das spricht, dass ich von einem Anwender meine Daten nehmen kann, mit denen zum anderen gehe und dass es da Schnittstellen gibt, dass das interoperabel ist. Also in einem vernünftigen Format und dass du ans Bustig bist oder so in der Richtung. Mir wäre wichtig, dass es nicht nur offen liegt, sondern dass es auch nach richtigen Standards überhaupt hergestellt ist. Und das heißt, dass Privacy by default ein ernsthaftes Design-Kriterium wird. Und dass schon bei der Entwicklung der Technik auch nachgedacht wird, ob die Daten überhaupt gebraucht werden. Wir haben gerade hier eine Diskussion mit jemandem gehabt über die Steuerung von Autoverkehr oder auch anderen, wenn man dann eine Fahrkarte jetzt von Kiel nach München lösen würde und dabei verschiedene Verkehrsmittel benutzen würde und dass alles mit einer Karte bezahlen kann. Wie funktioniert das dann mit der Datenübertragung und die Gegenseite sagt, dafür braucht man das dann ja mit den Daten. Das lässt sich gar nicht verhindern. Ich bin sicher, dass es sich verhindern lässt, wenn man halt nur über ein Modell nachdenkt. Ich glaube, das ist der Punkt, dass wir unsere technische Kreativität da einsetzen sollten, dort Lösungen uns auszudenken und zu entwickeln. Und ich glaube, die andere Aufgabe, die wir hier haben, ist, den öffentlichen Kreativität zu entwickeln. Ich glaube, das ist der Punkt, dass wir unsere technische Kreativität da einsetzen sollten, dort Lösungen uns auszudenken und zu entwickeln. Das ist der Punkt, das wir hier haben, ist, den öffentlichen Druck zu machen, damit das passiert. Diese ganze Privacy-Impact-Assessment-Geschichte wird als Risiko-Analyse gehandhabt. In dem Sinne sehe ich unsere Arbeit im Moment als Risikofaktor für Unternehmen an und wenn wir schaffen, genügend Risiko darzustellen, nur dann wird sich etwas bewegen und dann wird es auch im Design der Zeit. Und wenn wir überall Sensoren haben an Geräten, die wir benutzen, an Gegenständen, die wir mit uns tragen, dann werden wir nicht mehr viel ändern können, wenn Privacy-Datenschutz nur noch etwas, was dran geklatscht wird und gesetzlich reguliert wird. Ja, vielen Dank. Datenschutz durch Technik ist ja keine ganz neue Idee. Willst du es halten? Okay, Sparschkraft. Datenschutz durch Technik spielt das eine Rolle im Moment in der EU bei den gegenwärtigen Reformüberlegungen. Denn wie gesagt, Datenschutz durch Technik ist natürlich intelligent als immer komplizierter und immer der Technik in der herr hinkende gesetzgeberische akrobatische Leistung mit Juristendeutsch. Zweite Frage wäre das Internet der Dinge unabhängig. Daraufhin ist ja natürlich ein bisschen mehr als RFID logisch. Das Problem sehe ich vor allem in der Vergnüpfung zu den personenbezogenen Daten. Das war ja auch immer die Diskussion. Ich habe immer gesagt, mir ist es relativ vorst, ob jetzt die Palette beim Metro gekennzeichnet ist. Mein Problem ist der Rückschluss auf meine Person. Wie ist denn die Entwicklung jetzt eigentlich im Zusammenhang mit RFID und Internet der Dinge personenbezogen oder zu sagen, wir lösen es von der personenbezogenheit. Das Problem ist natürlich, mit dem Personal-Eusweis entstanden, wo man plötzlich dann diese Personenbezogen hat und das Personal-Eusweis hat, gibt es Geschäftsmodelle, die darauf aufbauen, also dass man sagt, sehr stark personenbezogen oder geht es wirklich wie ja die Befürworter immer sagen, mehr um Logistik und wo ist die Palette und wo ist mein Paket und die Waschmaschine soll piepsen, wenn ich, was ist ich, mein 60 Grad Pullover zu 90 Grad reinlege, das wäre nun eine sinnlose Datenschutzrechtliche Auseinandersetzung dieses zu verhindern. Aber wenn ich identifiziert werde anhand meines Pullovers, wenn ich durch die Straßen gehe, ist es natürlich eine völlig andere Situation. Also diese Trennung, glaube ich, ist klar geworden, personenbezogen, Internet der Dinge und Datenschutz-Technik war ein kurzes Fahrt, meine Frage. Zum... Zum... Vielleicht zum zweiten Punkt zuerst. Es ist seit 10 Jahren wird über den intelligenten Kühlschrank oder die intelligente Waschmaschine geredet. Ich habe persönlich noch keine gesehen. Ich habe gehört, im Labor gibt es eine, angeblich ein Stück, irgendwo, jeweils. Es gibt bis heute, nach meinem Wissen, kein einziges Business-Modell das AfD-Nutzung nach dem Verkaufspunkt irgendwie realistisch darstellt. Was man in der Praxis sieht, ist, dass Logistik wirklich bis zum Ausgang der Filiale geht, also dass man die Warnsicherung noch damit macht und uns da noch deutlich Geld sparen kann, wenn man das noch mit integriert, aber dann fürs Mit nach Hause geben und dort irgendwas tun, kein einziges Business-Planter des Bienenheit. Also insofern denke ich, ist es eine Frage der Bequemlichkeit, aber es ist natürlich eine Frage der Marktdurchdringung. Weil wenn ich keine AfDs draußen habe, dann ist es auch schwer, ein Business-Plan darauf aufzubauen. Wenn ich die ohnehin lustig in der Gegend verbreit, dann kann ich mich spielen und dann kann ich das nicht mehr kosten. Also von dem her steht es wahrscheinlich ein bisschen im Weg, wo man nach meiner Überzeugung technisch hinmüssen ist, dass der Einzelne über seine AfDs bestimmen kann. Wenn ich sagen kann, ich schalte jetzt den einen AfD ein für genau die Anwendung, dann sind wir irgendwo in der Nähe von einer Lösung, nämlich auch datenschutzmäßig und solange es so was in der Richtung nicht gibt, ist relativ schwarz für solche Dinge. Wie anbelangt seht ihr den sehr stark in der Datenschutzreform drinnen. Das geht deutlich in die Richtung und es geht auch ganz deutlich darin, die Verantwortlichkeit der Betreiber deutlich zu erhöhen. Das heißt, es sind heute deutlich höhere Strafen angedacht, das geht bis zu 5 % des globalen Umsatzes eines Unternehmens, was bei größeren Unternehmern sehr interessante Summe ergibt. Das heißt, es gibt von den Strafen her Ansätze, wie man es machen möchte. Die Unternehmen werden aber auch selber stärker in die Pflicht genommen und müssen stärker demonstrieren, dass sie ihre Datenschutzverpflichtungen ernst nehmen und die Aufsichtsbehörden werden gestärkt. Die Kommission ist dabei, an sich alle drei Pfeiler dieser Gleichung stärken. Das ist jetzt allerdings ein erster gelegter Entwurf, der noch durch den ganzen Verhandlungsprozess durch ist, durch muss und erst am Ende und es wird frühestens in zwei Jahren sein, werden wir wissen, was dann wirklich drinnen entsteht. Der Entwurf findet sich bei State Watch. Ja, ich habe ihn auf meiner Folie in der Versorte für Sorgen, dass der neue Netz kommt und dort gibt es dann die Links auch drinnen. Es gibt Fragen über IRC? Ja, wir haben ja mehrere Fragen. Das wäre erstmal braucht mal diese Datenschutzmantren aus den 80ern noch, um heute die technische Entwicklung auszugleichen? Ich glaube, diese Post Privacy Sachen aus den 90ern brauchen wir auch nicht unbedingt. Ich denke, es ist eines, ein ganz wesentlicher Kernpunkt bei dieser Sache und das ist, dass jeder Einzelne von uns weiterhin die Wahl hat. Ob er seine Daten völlig öffentlich haben möchte und alles mit jedem schert oder ob es bei ihm oder ihr Aspekte gibt, die er nicht oder sie nicht scheren möchte und genau um diese Wahlmöglichkeit gibt und ich glaube nicht, dass wir die aufgeben dürfen. Ja, die nächste Frage ist, gibt es aktuell Mark verfügbare Beispiele für die Vorbildliche implementiertes Privacy bei Design oder ist es heute nur ein theoretisches Konstrukt? Wie kann sich Anreiz bei den Herstellern schaffen? Die Formulierung oder der Begriff ist relativ stark strapaziert. Es gibt aber, denke jede Menge Technik die Datenschutz freundlich agiert und Datenschutz integriert ohne, dass jetzt groß draufstreben da ist Privacy bei Design drinnen. Man kann sich zum Beispiel ansehen die Produkte die Datenschutzgütersiegel bekommen haben. Sei es das Schleswig-Holsteinische Datenschutzgütersiegel oder das European Privacy-Siegel die werden dafür ausgezeichnet, dass sie besonders guten Datenschutz machen. Also nicht, dass sie das Recht erfüllen sondern, dass sie darüber hinausgehen und besonders gut sind. Und die würde ich auf jeden Fall unter dem Begriff Privacy bei Design fassen und das als Beispiel nennen. Ich wollte noch hinzufügen zu der Sache mit dem, dass man die Wahl haben muss ob man die Daten veröffentlicht oder nicht. Es ist dabei noch total wichtig dass ich mich nicht verdächtig mache, allein dadurch, dass ich meine Daten nicht veröffentlichen möchte. Es wird langsam auch schon von der Kultur aufgegriffen. Die Hauer MeteorMother hatte da kürzlich genau die Szene, wo einer fragt, hey, wir wollen uns treffen, wir machen ein Date und wie wäre es wenn wir uns vorher nicht gegenseitig googeln dann, weil das wirkt natürlich unglaublich verdächtig und genau darauf weiß er dann auch hin und sagt, ja, ich habe nichts zu verbergen und genau diese Situation, dass es sozial ein Druck entsteht bzw. dass ich mich verdächtig mache in dem Moment, wo ich sage, ich möchte nicht, dass alle jederzeit meine Daten sehen können das muss eben auch vermieden werden und es muss also sowohl technisch als auch sozial weiterhin ermöglicht werden. Absolut, deswegen bin ich auch der Meinung dass es ganz wichtig ist die Aufsichtsbehörden zu stärken. Wir haben in Europa die Situation, dass wir in praktischem keinem landengleichen Standard haben was Datenschutzaufsichts betrifft. Die europäische Grundrechtsagentur hat im Vorjahr glaube ich war in der Studie gemacht und ist zum Ergebnis gekommen, dass die allermeisten Datenschutzaufsichtsbehörden überhaupt nicht alle ihre Rechte ausüben können bei ihnen die nationalen Gesetze diese erst gar nicht zugestehen. Das heißt, wir haben auch völlig andere Wahrnehmungen völlig anderen Zugang zu Datenschutz wo Deutschland noch ein sehr leichtendes Beispiel ist wenn ich nach Hause fahre nach Österreich schauen wir da schon nicht mehr ganz so gut aus es wird hoffentlich besser. Der Punkt absolut die Frage ist nicht, hat ihr was zum Verbergen sondern warum wollen sie die anderen wissen? Ja. Da nicht direkt im Anschluss ein nächster Vortrag ist glaube ich können wir vielleicht wenn es okay ist noch ein paar Fragen dran nehmen? Ja, ein Punkt der in eine ganz ähnliche Richtung geht nämlich wo es um die Aushöhlung dieser eingeförderten Wahlfreiheit geht das eine ist der soziale Druck und das andere ist der ökonomische Druck also wenn ich vorderes muss eine Wahlfreiheit geben und die dann aber so aussieht dass ich einen ökonomischen Nachteil in Kauf nehmen muss um mein Datenschutzrecht wahrzunehmen dann kann das ja schnell ins Leere laufen also Rabattsysteme sind da ein Beispiel wo Leute ja für relativ geringe Beträge doch relativ viel von sich preisgeben oder wenn man wenn man dann den nächsten Schritt sich anguckt zum Beispiel was ja durchaus inzwischen im Kommen ist Elektronik Ticketing im öffentlichen Personenverkehr und man sagt natürlich kannst du auch weiterhin mit uns fahren ohne an den Elektronik Ticketing teilzunehmen wenn du halt irgendwie die Einzelfahrscheine kaufst und entsprechend das Geld hinlegst aber wenn du irgendwie die Zeitkarte haben willst oder Westpreisabrechnung oder so und dann ist das halt so und dann ist natürlich die Wahlfreiheit im wahrsten Sinne nicht mehr viel wert da gibt es einen Punkt nämlich das Koppelungsverbot das heißt die Preiskabe von Daten, davon darf eine Leistung nicht abhängig gemacht werden wenn sie auch ohne zu erbringen wäre also es werden oft Zusammenhänge konstruiert weshalb das jetzt irgendwie notwendig sei aber in der Regel geht es eigentlich nur darum dass das bezahlt wird was man da in Anspruch nimmt und wenn man anderweitig sicherstellen kann dass eine Leistung verlässlich bezahlt wird gibt es eigentlich keinen Grund die Identität zu erfassen wenn man die Daten und an der Stelle also gerade mit dem Ticketing für Nahverkehr da gibt es ein Konzept was genau das Anonym ermöglicht und zwar bundesweit also bundesweit überall Nahverkehr benutzen ohne dass deine Identität erfasst wird und ohne dass das verfolgt wird und an der Stelle liegt es aber eben auch an uns als Kundinnen und Kunden entsprechend das zu fordern und das müssen wir uns anhören die Kunden wollen das nicht die wollen es irgendwie bequem haben und das passt ja schon so wie es da ist und dafür müssen wir eben auch das Bewusstsein schaffen dass diese Wahlfreiheit überhaupt geschaffen wird und in einem Bund haben wir es schon jetzt in der Empfehlung der EU-Kommission zur AfD-Datenschutz drinnen und zwar ist dort explizit erwähnt dass Konsumenten keinen Nachteil haben sollen wenn sie darauf bestehen dass die AfDs deaktiviert werden also zum Beispiel Garantieleistungen daran zu knüpfen und ähnliche Dinge wird da ausdrücklich ausgeschlossen wie gesagt es ist eine Empfehlung und nichts Rechtsverbindliches aber immerhin es ist ein Radar und es ist in der Wahrnehmung der Kommission und damit zumindest schon einen Eilenschritt in der richtigen Richtung eine letzte Frage über IRC ja gibt es schon Ansätze für Gegenaktionen also Protestformen ist so in der übertriebenen Art von wir laufen jetzt mal mit dem Mikrowell an einem LKW vorbei Protestformen gibt's aktuell gibt's kenn ich keine geplanten Proteste gegen AfD oder Internet der Dinge abgesehen von denen die es ohnehin schon gibt aber ich möchte dazu eines sagen und auch die Einleitung der Rena der Norma darauf verweisen ich bin felsenfest davon überzeugt dass es auf EU-Ebene diese ganze Diskussion diese Expertengruppen die Empfehlung der EU-Kommission und überhaupt die Wahrnehmung dieses Themas nicht gegeben hätte hätt es in Deutschland nicht an vehementen Widerstand gegen diese Technologie gegeben der auch öffentlich wahrgenommen worden ist ich bin mir ganz sicher dass das einer der wesentlichen Punkte war warum das in die Richtung geht und aus dem Grund bin ich mir ganz sicher dass wir aktiv bleiben müssen und wahrnehmbar bleiben müssen und auch durchaus wahrnehmbar attikulieren müssen wenn es aus unserer Sicht in die falsche Richtung läuft das ist ganz essentiell diese Geschichte mit den RFID-Chips in der Kundenkarte also in der Payback-Karte die wir entdeckt haben und wo wir die Metro dazu gezwungen haben die Karte zurückzuziehen wir haben uns nicht träumen lassen dass wir das schaffen das war für uns wirklich so hey man kann ja doch was erreichen der Föhrbott hatte zu der Zeit 60 Mitglieder und Metro ist der drittgrößte Handelskonzern weltweit das heißt wenn wir an der richtigen Stelle etwas tun dann können wir durchaus was erreichen und das können wir mit Aufklärung das können wir mit eigener kreativer Intelligenz auch bei der technischen Entwicklung und wir können es auch mit der Arbeit in der EU-Kommission in entsprechenden Arbeitsgruppen und wenn alle an ihren Lieblingsplätzen sich dafür einsetzen können wir auch gemeinsam was erreichen vielen Dank, Irina, Tanya und Andreas Grisch ganz zum Schluss bevor jetzt alle davonlaufen habe ich noch eine Ankündigung und zwar für alle Österreicherinnen und Österreicher da im Saal wir sind gerade dabei eine Bürgerinitiative gegen die Vorratsdaten bitte die ist überrollt richtig um Aufklärung zu machen wir haben seit einer Woche die Möglichkeit das online zu tun vorher haben wir 4.471 Unterschriften auf Papier gesammelt wir haben unser Ziel gesteckt bis Mitte März 10.000 online zu sammeln das haben wir am ersten Tag geschafft jetzt ist er Woche vergangen wir stehen mittlerweile bei über 21.000 alle Österreicherinnen und Österreicher über 16 Jahre bitte www.mit.at unterschreiben gegen die Vorratsdaten