8.4
Radio Frequency Identification (RFID)
RFID ist eine Technik, die bereits heute das tägliche Leben durchdringt und in Zukunft immer mehr Raum einnehmen wird. Abhängig vom Einsatzgebiet treten unterschiedliche Datenschutzfragen auf, die im Vorfeld berücksichtigt werden müssen. Die Datenschutzbeauftragten haben eine Entschließung veröffentlicht, in der die wesentlichen Aspekte beleuchtet werden.
8.4.1
Die RFID-Technik
Radio Frequency Identifikation (RFID) ist eine Technik, die durch Funkwellen eine kontaktlose automatische Identifikation von Gegenständen ermöglicht, die mit einem RFID-tag versehen sind. RFID-tags, die nach dem Prinzip des so genannten Transponders (Transmitter + Responder) arbeiten, bestehen mindestens aus einem Chip je nach Bauart ein Speicher- oder ein Prozessorchip und einer Antenne. Hauptanwendungsgebiete sind zurzeit die Bereiche Industrieautomation, Zutrittssysteme, Tieridentifikation, Warenmanagement und Diebstahlsicherung (z. B. elektronische Wegfahrsperren). Das Spektrum wird sich aber erweitern. Beispielsweise um Ausweisdokumente, Chipkarten als Fahrscheinersatz im öffentlichen Personennahverkehr, Kleidung oder Medikamentenpackungen.
Um einzelne Gegenstände mit Hilfe von RFID-tags zu identifizieren, müssen die tags in RFID-Systeme eingebunden werden. Die zurzeit verfügbaren Systeme bestehen in der Regel aus folgenden Komponenten:
– der RFID-tag selbst,
– das Schreibgerät zum Schreiben von Daten über den Transponder auf dem Chip,
– das Lesegerät, welches über den Transponder die auf dem Chip enthaltenen Informationen ausliest.
Schreib- und Lesegerät können in einer Einheit zusammengefasst werden. Diese Einheit wird in der Regel mit einer zusätzlichen Schnittstelle ausgestattet, um die vom RFID-tag empfangenen Daten an ein Hintergrundsystem (Datenbank, Automatensteuerung, ...) weiterzuleiten. Datenschutzrechtlich muss besonders auf das Gesamtsystem, also RFID und Hintergrundsysteme, geachtet werden.
Datenschutzrelevant ist auch die Tatsache, dass sowohl die Datenübertragung zwischen Schreib-/Lesegerät und RFID-tag als auch in den meisten Fällen die Energieversorgung des RFID-tags drahtlos erfolgen. In diesem Fall spricht man von passiven tags. Aktive tags werden durch eine Batterie mit Strom versorgt und sind deshalb leistungsfähiger.
Die besonderen Datenschutzprobleme ergeben sich daraus, dass
– es ohne Wissen und Wollen des Eigentümers möglich ist mit dem RFID-tag zu kommunizieren,
– kein optischer Kontakt zwischen RFID-tag und Schreib-/Lesegerät erforderlich ist – der RFID-tag kann versteckt angebracht sein –,
– die Kommunikation aus einiger Entfernung von Dritten mitgelesen werden kann.
Passive RFIDs können wegen ihrer hohen Lebensdauer, die mit bis zu zehn Jahren angegeben wird, vielfältig eingesetzt werden. Man unterscheidet RFID-Systeme, die dem Lesegerät immer nur mit einer eindeutigen Nummer antworten und Systeme, die wie herkömmliche Chipkarten eine Verarbeitung von Daten auf dem RFID-Chip erlauben und derzeit bis zu 100 KByte Daten speichern können. Die Entfernung zum Auslesen oder Verarbeiten der Daten im RFID-Chip, der kleiner als 1 Quadratmillimeter sein kann, variiert je nach verwendeter Technologie zwischen einigen Zentimetern und einigen Metern.
8.4.2
Einsatz-Szenarien von RFID
Im letzten Jahr hat die Nutzung der RFID-Technik zu heftigen Diskussionen geführt. Auslöser war die testweise Einführung von RFID in einigen wenigen Warenhäusern. Obwohl die Wirtschaft gegenüber dem öffentlichen Bereich eine Vorreiterrolle einnimmt, wird diese Technologie künftig in vielen Lebensbereichen, auch dem öffentlichen Sektor, eine große Rolle spielen. Die folgenden Beispiele zeigen auf, dass der Bürger bereits jetzt in vielfältiger Art und Weise mit dieser Technologie konfrontiert ist.
8.4.2.1
Einkauf
Wenn Waren mit RFID-tags gekennzeichnet sind, ergeben sich für Käufer möglicherweise gravierende Konsequenzen. Beispielsweise müsste der Eigentümer einer Ware nicht einmal über die Existenz eines tags wissen und trotzdem könnten die Daten gelesen werden. RFID-tags können dann zur Gefährdung der Privatsphäre führen, wenn Daten zu den Waren ausgelesen werden und, z. B. über die Nutzung einer Kundenkarte, mit Daten zur Person des Käufers verknüpft werden. Dies resultiert aus folgenden Aspekten:
– RFID-Systeme arbeiten drahtlos. Das Auslesen der auf dem RFID-tag gespeicherten Daten kann daher prinzipiell ohne Wissen des Besitzers der Ware erfolgen. Der weitere Umgang mit den so erhobenen (personenbezogenen) Daten ist weitgehend intransparent.
– RFID-tags werden in solchen Bauformen angeboten, die ein verstecktes Anbringen an Waren ermöglichen. Wenn der Käufer eines Produktes nichts über die Existenz des RFID-tags weiß, wird er auch keine Schutzmaßnahmen ergreifen, um ein unbemerktes Auslesen zu verhindern.
– RFID-tags ermöglichen eine weltweit eindeutige Kennzeichnung von einzelnen Gegenständen. Somit ist es prinzipiell möglich, weltweit und dauerhaft einzelnen Personen die von ihnen erworbenen Produkte zuzuordnen. Auf diese Weise könnte ein globales Registrierungssystem aufgebaut werden.
– Werden die Daten aus RFID-tags mit personenbezogenen Daten der Besitzer zusammengeführt (beispielsweise beim Bezahlen mit einer entsprechend ausgestalteten Kundenkarte), lässt sich das Kaufverhalten einzelner Kunden detailliert analysieren. Darüber hinaus könnten diese Datensammlungen mit Identifikationssystemen gekoppelt werden, mit deren Hilfe dann weltweite Bewegungsprofile Einzelner erstellt werden können.
8.4.2.2
Diebstahlsicherung
Auch in Bibliotheken werden zunehmend Bücher mit RFID-Etiketten versehen, um Diebstähle zu unterbinden und die Katalogisierung und Ausleihe zu vereinfachen. Mit der Ausleihe von Büchern entsteht über das Ausleihsystem der Bibliothek ein Interessenprofil des Lesers.
Bei Kraftfahrzeugen hat sich mittlerweile zur Realisierung eines wirkungsvollen Diebstahlschutzes die Wegfahrsperre auf Basis von RFID-Systemen durchgesetzt. Der Transponder befindet sich dabei im Autoschlüssel, das Lesegerät ist in der Nähe des Zündschlosses platziert. Das Fälschen eines Schlüssels wird durch kryptographische Verfahren zur Authentifizierung zwischen Schlüssel und Fahrzeug verhindert.
Weit verbreitet ist die Verwendung von RFID-tags als Diebstahlsicherung in Geschäften und Kaufhäusern. Sie sind entweder in Etiketten oder vor allem bei Bekleidung in ca. 3 bis 5 cm große Hartplastikscheiben oder -riegel integriert und enthalten einen 1-bit-Transponder, der lediglich eine ja/nein-Information i. S. v. bezahlt/nicht bezahlt speichern kann. Beim Bezahlen wird die Diebstahlsicherung entfernt oder durch Anlegen eines starken Magnetfeldes deaktiviert. Sollte ein Kunde mit einem noch nicht deaktivierten Transponder das Geschäft verlassen wollen, geben Lesegeräte im Ausgangsbereich akustischen oder optischen Alarm.
8.4.2.3
Zutrittskontrollsysteme
Ein weiteres bewährtes Einsatzgebiet der RFID-Technologie sind Zutrittskontrollsysteme. Bei ausreichender Reichweite der Transponder ist das Passieren einer mit einem Lesegerät gesicherten Tür möglich, ohne dass der Transponder aus der Tasche geholt werden muss. Oft wird dieser gleichzeitig auch zur Zeiterfassung benutzt, die dadurch weitgehend automatisiert werden kann.
8.4.2.4
Tieridentifikation
RFID-Systeme haben sich als sehr hilfreich bei der Identifizierung von Tieren erwiesen. Bei Rindern können sich die Transponder mit einer Seriennummer beispielsweise im Halsband oder in der Ohrmarke befinden. Es werden aber auch injizierbare Transponder verwendet, die sich in einem Glasgehäuse befinden und im Körper des Tieres verbleiben. Damit ist es möglich, die Tiere individuell zu erfassen und so z. B. die Fütterung zu automatisieren. Auch der Herkunftsnachweis und Transport der Tiere wird durch die kontaktlose automatische Identifikation erleichtert. Dieselbe Technik wird zur Identifikation von Hunden benutzt, deren RFID-tag eine eindeutige Nummer speichert, die in einer bundesweiten Datenbank auf die Daten des Halters verweist.
8.4.2.5
Öffentlicher Personennahverkehr
Im Personennahverkehr gibt es Projekte, in denen eine Chipkarte als Fahrscheinersatz getestet wird. Auf der Chipkarte befindet sich neben den Fahrdaten auch eine eindeutige Kennung, die bei persönlichen Karten den Kunden identifiziert. Diese Kennung wird von den Kartenlesern im Bus oder in der Bahn kontaktlos ausgelesen. In den Hintergrundsystemen entstehen dann Bewegungsprofile.
8.4.3
Kontrollfragen zum Datenschutz
Bei der Beurteilung, ob ein bestimmter Einsatz von RFID-Technik datenschutzgerecht ist, sind einige Fragen in jedem Fall zu beantworten. Neben den allgemeinen datenschutzrechtlichen Fragestellungen sind vor dem Einsatz dieser Technik die folgenden Kontrollfragen zu beantworten, die speziell die wesentlichen datenschutzrechtlichen Gesichtspunkte betreffen, die durch die RFID-Komponenten (Chipkarte, tag, Token, ...) veranlasst sind.
– Wann und wie kommt es zum Personenbezug?
Der Personenbezug kann bei der Herausgabe der Komponente oder später erfolgen. Er kann durch die Komponente selbst oder durch Hintergrundsysteme entstehen.
– Welche Rechtsgrundlagen gibt es für die Verarbeitung der Daten?
– Ist der Datenvermeidungs-/Erforderlichkeitsgrundsatz erfüllt?
Wenn die personenbezogenen Daten nicht mehr benötigt werden, müssen sie gelöscht werden. Die Entscheidung sollte der Betroffene zumindest dann treffen können, wenn er Eigentümer der mit dem tag versehenen Sache ist.
– Wer kann wie auf welche Daten zugreifen?
– Wie wird ein unbefugter Zugriff auf Daten verhindert?
– Sind die Sicherheitsmaßnahmen angemessen, um unbefugte Zugriffe zu verhindern?
– Ist die Anwendung für den Betroffenen transparent?
– Wie kann der Betroffene seine Auskunftsrechte geltend machen?
Dies muss durch technische Maßnahmen unterstützt werden.
– Sind Kommunikationsvorgänge, die auf einem personenbezogenen RFID-tag eine Datenverarbeitung auslösen, für den Betroffenen eindeutig erkennbar?
(vgl. § 6c BDSG, § 8 Abs. 2 HDSG)
|
§ 6c BDSG (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein.
§ 8 Abs. 2 HDSG Wenn eine in § 3 Abs. 1 genannte Stelle für die Gewährung einer Leistung, das Erkennen einer Person oder für einen anderen Zweck einen Datenträger herausgibt, auf dem personenbezogene Daten des Inhabers automatisiert verarbeitet werden, etwa in Form einer Chipkarte, dann hat sie sicherzustellen, dass er dies erkennen und seine ihm nach Abs. 1 Nr. 1 bis 5 zustehenden Rechte ohne unvertretbaren Aufwand geltend machen kann. Der Inhaber ist bei der Ausgabe des Datenträgers über die ihm nach Abs. 1 zustehenden Rechte sowie über die von ihm bei Verlust des Datenträgers zu treffenden Maßnahmen und über die Folgen aufzuklären. |
8.4.4
Datenschutzprobleme und daraus resultierende Anforderungen
Mit den datenschutzrechtlichen Fragestellungen beim Einsatz der RFID-Technologie haben sich die Datenschutzbeauftragten des Bundes und der Länder befasst. Sie haben in einer Entschließung auf die wesentlichen Probleme aufmerksam gemacht (Ziff. 10.5).
Wenn mit dem Einsatz von RFID-Technologie personenbezogene Daten erhoben werden, ohne dass Betroffene davon Kenntnis erlangen oder den Erhebungsvorgang beeinflussen können, können mit diesen Daten detaillierte Verhaltens-, Nutzungs- und Bewegungsprofile einzelner Personen – die entsprechend gekennzeichnete Gegenstände mit sich führen – ohne deren Wissen erstellt werden.
Diese Technologie hat Vorteile etwa zur Kontrolle der Logistik oder beim Diebstahlschutz. Anders als mit Bar-Codes ist es sogar möglich, jeden einzelnen Gegenstand mit einer eigenen Nummer zu kennzeichnen. Man könnte also zum Beispiel zwei Packungen des gleichen Produkts unterscheiden. Mit der breiten Einführung von derart gekennzeichneten Waren besteht die Gefahr, dass Verbindungen zwischen den RFID-Kennungen und dem Käufer/Nutzer der Ware hergestellt und dauerhaft gespeichert werden. Auch könnte in Zukunft ein Personenbezug unbemerkt durch Identitätspapiere mit RFID-Chip hergestellt werden, wenn wie derzeit diskutiert, Ausweisdokumente ohne Schutz gegen unbefugtes Ansehen eingeführt werden.
Aus Sicht des Datenschutzes ist es deshalb als unzulässig zu betrachten, wenn
– RFID-tags versteckt angebracht und verdeckt ausgelesen werden,
– Daten der RFID-tags aus verschiedenen Produkten ohne Rechtsgrundlage mit personenbezogenen Daten zusammengeführt werden,
– Verhaltens-, Nutzungs- und Bewegungsprofile ohne Rechtsgrundlage erzeugt und gespeichert werden.
Aus Datenschutzsicht sollten Hersteller und Betreiber
von RFID-Systemen, die Produzenten von RFID-gekennzeichneten Waren und der Handel deshalb,
– die Betroffenen umfassend über Einsatz, Verwendungszweck und Inhalt von RFID-tags informieren,
– RFID-Daten nur solange zu speichern, wie es zur Erreichung des Zwecks erforderlich ist,
– Betroffenen Gelegenheit geben, sich Kenntnis über die auf einem RFID-tag gespeicherten Informationen zu verschaffen,
– Möglichkeiten zur Deaktivierung/Löschung von RFID-Chips schaffen, insbesondere dann, wenn Daten für die spezifischen Zwecke nicht mehr erforderlich sind,
– bei RFID-tags wirksame Blockierungsmechanismen, mit denen ein Auslesen der gespeicherten Daten fallweise unterbunden werden kann, entwickeln und über diese informieren, so dass kein Nutzungszwang gegeben und anonymes Kaufen weiterhin möglich ist,
– die Vertraulichkeit der gespeicherten und der übertragenen Daten durch wirksame Authentisierung der beteiligten Geräte und Verschlüsselung sicherstellen,
– bei RFID-Technologie mit Verarbeitungsfunktion Systeme anbieten, die keine Seriennummer tragen.
Soweit personenbezogene RFID-tags, zum Beispiel RFID-Chipkarten, eingesetzt werden, sind entsprechend den Anforderungen der Datenschutzgesetze (z. B. §§ 3 Abs. 10, 6c BDSG; § 8 Abs. 2 HDSG) Kommunikationsvorgänge, die auf dem RFID-tag eine Datenverarbeitung auslösen, für die Betroffenen eindeutig erkennbar zu machen. Anderenfalls sind den Nutzerinnen und Nutzern Mechanismen an die Hand zu geben, die eine Kommunikation unterbinden.
Nur durch einen transparenten Umgang mit dieser Technologie können auch zukünftig die in den Datenschutzgesetzen geforderte Zweckbindung, Datensparsamkeit und Vertraulichkeit, bei der Verarbeitung personenbezogenen Daten sichergestellt werden. Das Recht auf informationelle Selbstbestimmung muss auch bei der Nutzung von RFID-Systemen gewährleistet werden.
zurück, weiter, Inhalt 33. TB, Sachwortverzeichnis zum 33. TB, Register der Rechtsvorschriften