RFID und Datenschutz

Die Zahl der sinnvollen Einsatzmöglichkeiten von RFID (Radio Frequency Identification) Funkchips ist schier unbegrenzt. Sie helfen in der Transport-, Lager- und Warenlogistik, bei der Kontrolle von verderblichen Produkten, verkürzen Wartezeiten im Supermarkt und revolutionieren die Arbeit von Büchereien. Sie vermitteln einen Vorgeschmack auf die Funktionsweise des Internets der Zukunft, in dem nicht nur Rechner und Handys vernetzt sind und Daten austauschen, sondern auch alltägliche Gegenstände - Autos, Kühlschränke, Hundehalsbänder, Fahrkarten, Herzschrittmacher und vieles andere senden Zustandsberichte und empfangen im Gegenzug Anweisungen und Daten. Skeptiker bemängeln unterdes, dass die Klärung wichtiger datenschutzrechtlicher Fragen bisher mit der technologischen Entwicklung bisher kaum schritthalten konnte.

So wäre ein Verstoß gegen gegen bundesdeutsche Datenschutzbestimmungen gegeben, wenn Transponder, die von Privatpersonen in Gegegenständen oder Ausweisen mitgeführt werden, ohne deren Wissen ausgelesen werden. Passieren könnte dies beipspielsweise in einem Betrieb, der Firmenausweise ausliest um so ganz nebenbei zu ermitteln, wieviel Zeit seine Angestellten täglich auf dem WC verbringen. Auch das Szenario, in dem beim Kauf eines Produktes der EPC - der Electronic Product Code, der jeden Artikel zu einem Einzelstück macht) - zusammen mit persönlichen Daten des Käufers gespeichert werden, ist keineswegs unproblamatisch, da Neugierige mit dem Standort von mit einem Transponder ausgerüsteten Produkten auch den ihrer Besitzer ermitteln könnten.

Zur Zeit ist keinerlei Zustimmung der Betroffenen für das Auslesen von RFID Daten erforderlich. So könnten zum Beispiel Werbeartikel mit Transpondern versehen und zu Markforschungszwecken genutzt werden, ohne dass ihre Besitzer etwas davon ahnen. Zwar werden Kauf- und Nutzungsverträge der Zukunft werden auf die Möglichkeit der Auslesung und Weiterverabeitung von RFID Daten hinweisen, doch und Klauseln zur automatischen Zustimmung des Konsumenten in den Bestimmungen werden kaum lange auf sich warten lassen. Deswegen fordern Datenschützer schon heute eine Kennzeichnungspflicht für derartige Produkte, ebenso wie eine Meldepflicht für Betreiberfirmen. Hinzu kommen berechtigte Bedenken, dass beim aktuellen Stand der Technik Datenströme bei Funkübertragungen auch von Kriminellen mitgelesen werden könnten - zu den offensichtlichsten Beispielen gehört der Missbrauch von Kundenkarten und Ausweisen, aber auch konkurriende Unternehmen könnten versuchen, sich gegenseitig auszuhorchen oder zu schädigen.

Im April 2011 unterzeichnenten Vertreter der EU Komission, der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) und europäischer und amerikanischer Unternehmen eine Vereinbarung zur datenschutztechnischen Selbstkontrolle der Industrie. Die beteiligten Firmen erklärten sich bereit, spätestens sechs Wochen vor Einführung neuer Anwendungen eine nach den Normen des in dem Papier enthaltenen Privacy Impact Assessment (PIA) ermittelte Datenschutzabschätzung einzureichen. Die EU Kommission hatte eine solche Regelung bereits seit 2009 empfohlen. Der Bundesrat drängt zusätzlich auf Kennzeichnung von mit Transpondern bestückten Produkten nach europaweit einheitlichen Standards und der Möglichkeit zur Deaktivierung der Chips durch den Verbraucher.