PDF | Drucken | E-Mail  |  Teilen  | 

amb-prorfid-datenschutz

 

Datenschutz: Die Privatsphäre ist sicher

Wie bei fast allen neuen Kommunikationstechnologien ist es der Schutz der Privatsphäre, der für kontroverse Diskussionen sorgt. Selbstverständlich ist Datenschutz auch in RFID-Umgebungen eine lösbare Aufgabe. Die Grundregeln für den Umgang mit personenbezogenen Daten sind in Deutschland und Europa ausführlich gesetzlich geregelt. Im Fall von RFID betrifft dies zum Beispiel Anwendungen im Handel (z.B. Kundenkarten), Zeiterfassungssysteme und Zutrittskontrollen.

Die Tücken liegen – wie so oft – nicht in der Technologie selbst, sondern in den Prinzipien des Umgangs mit den entstehenden Daten (die in der Regel außerhalb des eigentlichen RFID-Equipments anfallen).

Die folgenden grundlegenden Sicherheitsszenarien sorgen für ein verantwortungsbewusstes Handling von persönlichen Daten:

  • Szenario 1: Der Transponder speichert und verarbeitet keine personenbezogenen Daten und fällt damit nicht in die Regelungen des Bundesdatenschutzgesetzes. Auf dem Transponder wird lediglich ein Produktcode gespeichert, der ausschließlich zur Produkt- oder Herstelleridentifizierung dient. Bekanntestes Beispiel ist der vom Handel und der Konsumgüterindustrie eingesetzte Elektronische Produktcode (EPC). Der Hauptteil der RFID-Anwendungen gehört zu dieser Gruppe.
  • Szenario 2: Wie in Szenario 1 ist auf dem Transponder ebenfalls nur ein Produktcode gespeichert, dieser jedoch mit personenbezogenen Daten verknüpft. Bekannteste Anwendung ist die RFID-Kundenkarte, die damit in den Wirkungsbereich des Bundesdatenschutzgesetzes über die Erhebung und Verarbeitung personenbezogener Daten fällt. So verlangt der Gesetzgeber die Grundsätze der Datenvermeidung und -sparsamkeit (§ 3a BDSG) einzuhalten und darüber hinaus auch eine schriftliche, informierte Einwilligung der Betroffenen (§ 4 BDSG) einzuholen.
  • Szenario 3: Die personenbezogenen Daten werden auf dem Transponder selbst gespeichert. Ein mögliches Einsatzgebiet könnte beispielsweise der ePass bieten, bei dem die sensiblen Daten jedoch besonders gut gegen fremdes Auslesen gesichert und die Vorschriften des Bundesdatenschutzgesetzes eingehalten werden müssen. Anwender müssen über den Inhalt informiert werden.

 

Vertrauensbildende Maßnahmen zu RFID:
Gegenüber Mitarbeitern empfehlen wir beim Einsatz von RFID für die Zugangskontrolle oder die Zeiterfassung grundsätzlich eine offene Information. Der Einsatzzweck und die Verwendung der gesammelten Informationen sollten offen dokumentiert werden.

Sollen RFID-Transponder für Anwendungen im Endkundenbereich (z.B. Kundenkarte) eingesetzt werden, so sind insbesondere die gesetzlichen Datenschutzrichtlinien zu beachten. Es ist zu empfehlen, die von EPCglobal erarbeiteten Richtlinien zum RFID-Einsatz zu berücksichtigen:

  • Information: Der Einsatz von RFID-Technologie ist auf den betreffenden Produkten gut sichtbar zu kennzeichnen.
  • Wahlmöglichkeit: Kunden müssen Transponder deaktivieren können.
  • Aufklärung: Informationen zur Sicherstellung des Datenschutzes sind in geeigneter Form den Betroffenen, z.B. in AGB, bereitzustellen. Im Einklang mit allen anzuwendenden Gesetzen informieren die Unternehmen über Haltung, Nutzung und Schutz jeglicher personenbezogener Daten in Verbindung mit dem Einsatz von RFID.nformation: Der Einsatz von RFID-Technologie ist auf den betreffenden Produkten gut sichtbar zu kennzeichnen.