RFID Datenschutz

Datenschutz

Dank RFID-Systemen kann der Alltag vieler Privatpersonen enorm erleichtert werden und die Arbeitswelt schon fast revolutionieren, durch verschiedenste Einsatzmöglichkeiten. Allerdings muss einem klar sein, dass auch viele datenschutzrechtliche Belange und Fragen mit der RFID-Technologie einhergehen, welche noch nicht komplett beantwortet werden können. EPCglobal hat dafür gewisse Richtlinien erarbeitet an die sich jeder Anwender halten sollte. Klar ist, dass wenn eine Person mit einem Transponder ausgestattet und dieser dann heimlich gelesen wird, verstößt man gegen die Datenschutzbestimmungen. Zum Beispiel werden in einer Firma die Angestellten mit Transpondern ausgestattet, um dann auszulesen wie oft und wie lange sie beispielsweise Pause machen.

Sehr einfach mit der RFID-Technologie umzusetzen, ist das versteckte Anbringen von Transponderetiketten an Objekten und Waren, welches auch zu Problemen führen kann. Dadurch, dass die Transponder sehr klein sein können, ist es ein Leichtes sie an, auf oder in Objekten unterzubringen. So gesehen könnte sich ein Transponder überall befinden, auch könnte er in die Kleidung eingenäht werden, sich in Geldbörsen befinden oder auch in Autos untergebracht werden um zu verfolgen wo sich wann die Person aufhält. Das heißt, dass man ohne es selbst zu wissen mit einem Transponder ausgestattet und zudem ausgelesen werden kann, da dieser Vorgang vollkommen geräuschlos geschieht. Unter Umständen wird also ein Produkt erworben, welches mit einem Transponder ausgestattet wurde und man nicht im Klaren darüber ist dass dieses Objekt auch ausgelesen wird. Dadurch dass ein jeder Artikel mit dem EPC eine einzigarte Kennung besitzt, kann der Artikel weltweit verfolgt werden und es sehr problematisch wird, wenn dieser Artikel einem Käufer konkret zugeordnet werden kann.

Keine Lücken im Gesetz

Wenn es darum geht, dass personenbezogene Daten gesammelt und ausgewertet werden sollen, gilt in Deutschland das Bundesdatenschutzgesetz. Es gestattet das Erheben, Verarbeiten und Nutzen personenbezogener Daten nur dann, wenn der Betroffene einwilligt oder das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet. Letzteres kann zum Beispiel der Fall sein, wenn es um die Vereitelung schwerwiegender Straftaten geht. Verbraucherschützer beschäftigt die Frage, ob dieses Gesetz auch alle Einsatzmöglichkeiten der RFID-Technologie abdeckt. Professor Dr. Bernd Holznagel, Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht an der Uni Münster, kommt in einem Gutachten für das Informationsforum RFID zu dem Schluss, dass sämtliche Varianten der Transponder-Technologie durch das geltende Datenschutzrecht erfasst werden und innerhalb des Bundesdatenschutzgesetzes keine Gesetzeslücken ersichtlich sind.

Das Bundesdatenschutzgesetzt

Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten. Nach dem BDSG dürfen diese Informationen nur verarbeitet werden, wenn eine ausdrückliche Erlaubnis vorliegt – sei es per Gesetz oder aufgrund der ausdrücklich erteilten Einwilligung des Betroffenen. Das BDSG schützt das Recht auf informationelle Selbstbestimmung. Es ist verbindlich für alle, die mit der Verarbeitung von Informationen in Berührung kommen.

RFID-Chips, die künftig auf Konsumgütern im Einzelhandel angebracht werden, enthalten lediglich eine Zahlenfolge. Diese Zahlenfolge sieht im Wesentlichen wie die Zahlenfolge aus, die heute auch auf den Barcodes ist, ergänzt um bestimmte weitere Informationen wie ein Mindesthaltbarkeitsdatum oder bestimmte Herstellerinformationen. Aber die Zahlenfolge als solche enthält keine klaren Informationen über das Produkt, auf dem der Chip aufgebracht ist. Diese Informationen über das Produkt erhält man erst über den Zugang zu einer dahinter liegenden Datenbank. Auch in diesem Fall ist alles, was man erhält, eine reine Information zur Produktidentifizierung oder Herstellerinformationen. Eine Speicherung von personenbezogenen Daten eines Käufers erfolgt grundsätzlich nicht. Der Käufer ist also auch nicht dadurch identifizierbar, dass er einen Gegenstand kauft, der mit einem RFID-Chip versehen ist.

Das Bundesdatenschutzgesetz kommt erst dann zur Anwendung, wenn solche Daten mit Kundendaten verknüpft werden, beispielsweise wenn der Kunde beim Bezahlen eine Kundenkarte vorlegt. Nach den datenschutzrechtlichen Vorschriften ist eine solche Verknüpfung nur zulässig, wenn der Kunde vorher schriftlich eingewilligt hat, dass gespeichert wird, welche Waren er eingekauft hat.

Tommy Weber