RFID – die alltägliche, aber unsichtbare Technik

RFID 02
Fachbeitrag

Auch wenn wir sie oft nicht sehen oder spüren können, sie hat in unser tägliches Leben Einzug gehalten und breitet sich darin immer weiter aus. Gemeint ist die Technik der RFID. RFID ermöglicht die automatische Identifizierung und Lokalisierung von Gegenständen und Lebewesen. Die sprachlich-sperrige Abkürzung steht für „radio-frequency identification“, benannt nach der technischen Funktionsweise.

Obwohl insbesondere die Wirtschaft in immer mehr Bereichen von diesem praktischen Vehikel Gebrauch macht, wird die Technik und deren Folgen kaum in der Öffentlichkeit diskutiert. Zumindest aus Sicht von Datenschützern ist dies äußerst bedenklich.

Wie funktioniert RFID?

Das System besteht aus einem Transponder (auch „Tag“ genannt), der an einem Objekt bzw. Subjekt angebracht wird, und einem Lesegerät, das den Transponder ausliest. Das Auslesen wird durch vom Lesegerät erzeugte magnetische Wechselfelder oder durch hochfrequente Radiowellen erreicht. Bei diesem Kommunikationsvorgang wird in der Regel auch der Transponder über seine Antenne mit Energie versorgt. Das Lesegerät enthält eine Software, das den Leseprozess steuert.

Wo wird RFID aktuell eingesetzt?

  • Deutscher Reisepass seit 01.11.2005
  • Deutscher Personalausweis seit 01.11.2010
  • Textilien und Bekleidung: z.B. Lemmi Fashion, Levi Strauss & Co., Gerry Weber
  • Fahrzeugidentifikation mit e-Plate-Nummernschildern, z.B. für Maut-systeme
  • Autoschlüssel (Wegfahrsperre)
  • Ohrmarken, Implantate etc. zur Identifikation von Tieren
  • Chipcoins, z.B. für Abrechnungssysteme
  • Chipkarten: Zutrittskontrolle (insbes. Ticketing), Zeiterfassung, elektronische Geldbörse, z.B. in Bibliotheken, öffentlichen Verkehrsmitteln, Studierendenausweisen
  • EC-Karten mit Funk-Bezahlsystem: z.B. Girogo-Karte der Sparkasse, Touch&Travel-System der Deutschen Bahn
  • Zugriffskontrolle bei bestimmter Hardware-Benutzung
  • Kennzeichnung von Leiterplatten und anderen Bauteilen
  • Container-Siegel

Welche datenschutzrechtlichen Risiken bestehen?

Je nach Einsatzgebiet kommen zahlreiche Risiken in Betracht, die den Rahmen dieses Beitrags sprengen würden. Allein der Einsatz von RFID-Tags in Kleidung, die nach dem Kauf nicht unschädlich gemacht werden, führt zu datenschutzrechtlichen Problemen.

Wenn der Käufer mit RFID-Tags versehene Gegenstände häufig mit sich führt, könnte u.U. jeder, der einmal die Zuordnung zwischen Käufer und Produkt-ID vorgenommen hat, ein Bewegungsprofil des Käufers erstellen. Dies wird umso wahrscheinlicher, je mehr Auslesegeräte in Unternehmen, Behörden und im sonstigen öffentlichen Bereich vorhanden sind und je mehr Datenaustausch zwischen den einzelnen Geräteinhabern stattfindet. Mit einer entsprechenden Technik wäre dieses Szenario auch von Dritten durchführbar. Dementsprechend könnten auch Nutzungs- und Verhaltensprofile erstellt werden.

Eventuell würden auf diese Weise große Mengen personenbezogener Daten entstehen, die systematisch ausgewertet werden könnten. Die Unternehmen, die im Besitz dieser Daten wären, hätten die Möglichkeit sog. Data Mining durchzuführen.

Vor allem ist die mangelnde Transparenz und Kontrolle beim Einsatz von RFID zu beklagen. Eventuell bleibt der Verbraucher in Unkenntnis der Verwendung von RFID-Tags und der damit verbundenen Datenerhebung und –verarbeitung. Was auf den Tags genau gespeichert ist bzw. wird, ist ebenfalls nicht nachvollziehbar. Die Einhaltung datenschutzrechtlicher Vorschriften kann nicht überprüft werden. Letztendlich würde der Verlust des Rechts auf informationelle Selbstbestimmung drohen, wenn der Verbraucher keinen Einfluss mehr darauf hat, welche Informationen (personenbezogene Daten) von ihm preisgegeben werden.

Was macht die Politik zum Thema RFID und Datenschutz?

Im April 2011 wurde das „Privacy Impact Assessment Framework“ (PIAF) von den EU-Mitgliedstaaten unterzeichnet. Dieses geht auf eine Empfehlung der EU vom 12.05.2009 zurück und hat eine Selbstverpflichtung der Wirtschaft zum Ziel. Bisher lassen Ergebnisse auf sich warten

Fraglich ist sowieso, ob eine Selbstverpflichtung der Wirtschaft ausreicht. Vor allem im Bereich der Transparenz beim RFID-Einsatz  gibt es signifikante Defizite. So werden z.B. die Tags oftmals versteckt angebracht und verdeckt ausgelesen. Der Verbraucher wird nur unzureichend über die Verwendung der RFID-Technik aufgeklärt. Ohne einen transparenten Umgang durch die Unternehmen kann die Einhaltung datenschutzrechtlicher Vorschriften jedoch nicht erreicht werden.

Im Rahmen der aktuellen deutschen Rechtslage finden bei einer Verwendung komplexer RFID-Tags die Regelungen des Bundesdatenschutzgesetzes (§§ 3 Abs. 10, 6c BDSG) Anwendung. Bei einfachen Tags mit nicht löschbarer Seriennummer ist das BDSG dagegen jedenfalls dann nicht anwendbar, wenn keine Verknüpfung mit anderen personenbezogenen Daten erfolgt.

Dennoch birgt die RFID-Technik (wie teils oben beschrieben) erhebliche Risiken für den Verbraucher. Vielfach wird über die Einführung einer Kennzeichungspflicht für Transponder und Lesegeräte sowie von Deaktivierungsmaßnahmen für die Tags diskutiert, um Abhilfe zu schaffen. Daher wäre für den Fall, dass eine Selbstverpflichtung der Wirtschaft nicht den erhofften Erfolg (insbesondere in Sachen Transparenz) bringen wird, durchaus eine verbindliche Regelung im deutschen Recht wünschenswert.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.