PDF | Drucken | E-Mail  |  Teilen  | 

amb-prorfid-datenschutz

 

RFID und das Recht auf informationelle Selbstbestimmung

Stellungnahme der RFID Konsortium GmbH zum PIA-Framework

Mit Hilfe der RFID Technologie lassen sich Objekte mühelos identifizieren, verfolgen und damit auch kontrollieren. Durch den Electronic Product Code ist jedes Objekt einzigartig und kann beliebig auf der ganzen Welt verfolgt werden. Was für die Produktion von Gütern und deren Distribution von großem Vorteil ist; denn so lassen sich Warenströme und Lieferketten genauestens steuern.

Aber RFID ist auch eine Technologie, die zunehmend neue Einsatzfelder erschließt und deren enorme Anwendungspotenziale sich mittlerweile auf alle Bereiche des Lebens erstrecken.

RFID-gestützte Wegfahrsperren im Auto verhindern Diebstahl, Flug- und Bahntickets mit RFID-Chips ermöglichen ein bequemes Buchen per Telefon, entlaufende, getagte Tiere können problemlos gefunden und Plagiate sicher erkannt werden – um nur einige Beispiele zu nennen.

Aber: für diese Identifikation ist die Aufnahme, Speicherung und Verwaltung von Daten erforderlich. Und die Grenzen zwischen Produktkennzeichnung und Sammlung personenbezogener Daten sind fließend. Jede Wegfahrsperre mit RFID-Chip kann auch gleichzeitig Auskunft über den Aufenthaltsort des Fahrers machen, eine Ticketbuchung per Telefon ist ohne Speicherung der persönlichen Daten im Zentralsystem nicht möglich, die Informationen des im Tier implantierten Chip führen zu den Daten des Besitzers und durch die Plagiaterkennung kann man Aufschlüsse über den Käufer gewinnen.

RFID ist allgegenwärtig – besonders im Handel. Und so ist es praktisch möglich, dass die gebündelten Informationen der Transponder in Elektronik, Taschen, Schuhen u.a. Konsumgütern zu einem fast vollständigen Bild von einer Person zusammengesetzt werden können – vom Kaufverhalten, Fortbewegung bis hin zum Verhaltensprofil. Theoretisch könnten Personen so überwacht werden.

Auch der Datenmissbrauch ist nicht auszuschließen, da Funkübertragung jedem offensteht.

Hinzu kommt: RFID-Technologie ist unauffällig. Sie ist aufgrund der winzigen Transponder überall einsetzbar, egal, ob an Objekten und Personen. Auch das Auslesen der Chips kann unbemerkt erfolgen.

Kein Wunder also, dass die Besorgnis vor dem „gläsernen Menschen“ nicht nur unter Datenschützern, sondern auch unter Verbrauchern wächst. Nun ist Datenschutz in der deutschen Rechtssprechung als Grundrecht, als „Recht auf informationelle Selbstbestimmung“ verankert, aber die geltenden Datenschutzgesetze, die auch mehr auf Landesebenen eine Rolle spielen, sind nicht umfassend und können mit der sich rasant entwickelnden RFID-Technologie nicht mithalten. Auch europaweit gab es lediglich Datenschutzrichtlinien, die den Mindeststandard für Datenschutz der Mitgliedstaaten definierten. Eine Regelung, die für ein ausgewogenes Verhältnis zwischen Verbraucherschutz einerseits und der Anwendung innovativer Technologien in der Wirtschaft andererseits sorgt, war überfällig, um das Vertrauen in RFID zu stärken.

Daher begrüßt das RFID Konsortium ausdrücklich den am 06. April 2011 europaweit verabschiedeten Regelungsrahmen zur Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA), der die Selbstverpflichtung von RFID-Anwendern zur Gewährleistung des Datenschutzes beinhaltet. Mit diesem Werk, das von RFID-Lösungsanbietern, Anwenderunternehmen, der GS1 und Datenschützern erarbeitet wurde, konnten erstmalig die Grundlagen für den sicheren Einsatz von RFID in ganz Europa geschaffen werden. Das PIA-Framework ist als durchgängiges Schema in Form von Checklisten aufgebaut und erfasst Bereiche wie Funktionssicherheit, Informationssicherheit und Datenschutz. Jede RFID-Anwendung, die personenbezogene Daten erfasst bzw. tangiert, ist demnach sechs Wochen vor Inbetriebnahme mit einer Datenschutz-Folgenabschätzung der zuständigen Datenschutzbehörde zu melden.

Diese Folgenabschätzung besteht aus vier Schwerpunkten:

  • Beschreibung der RFID-Anwendung
  • Auflistung möglicher Risiken für den Datenschutz sowie Ausmaß und Wahrscheinlichkeit des Eintretens
  • Festlegung geplanter und laufender Kontrollen
  • Dokumentation der Ergebnisse dieser Analysen

Wir als RFID Konsortium befürworten dieses Regelwerk, das zu einem transparenten Umgang mit der RFID-Technologie führt und damit Vertrauen beim Verbraucher aufbaut. Als ein Unternehmen, das komplette RFID-Lösungen beim Kunden implementiert, haben wir es uns zur Aufgabe gemacht, auch unsere Kunden, die Anwender der RFID-Lösungen, dementsprechend zu beraten und sie bei der Einhaltung der PIA-Regelungen zu unterstützen. Wichtig ist uns dabei, die Ausführung so einfach, bürokratiearm und damit so mittelstandsfreundlich wie möglich zu gestalten. Vorgesehen sind Templates, die als Dokumentvorlagen alle relevanten Informationen und Maßnahmen erfassen und gleichzeitig als Zertifikat für die Vorlage bei der zuständigen Datenschutzbehörde dienen.