– 178 –
A n l a g e 1 3 ( z u N r. 4 . 3 )
Entschließung der 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
vom 26. bis 27. Oktober 2006 in Naumburg
Verbindliche Regelungen für den Einsatz von RFID-Technologien
Der Einsatz von RFID-Tags (Radio Frequency Identification) hält unaufhaltsam Einzug in den Alltag. Schon jetzt
werden sowohl im öffentlichen als auch im privatwirtschaftlichen Bereich viele Gegenstände mit diesen miniaturisierten IT-Systemen gekennzeichnet. Es ist zu erwarten, dass neben bereits jetzt mit RFID-Technik
gekennzeichneten Lebensmitteln künftig auch Personalausweise, Geldscheine, Kleidungsstücke und Medikamentenpackungen mit RFID-Tags versehen werden. In
wenigen Jahren könnten somit praktisch alle Gegenstände
des täglichen Lebens weltweit eindeutig gekennzeichnet
sein.
Die flächendeckende Einführung derart gekennzeichneter
Gegenstände birgt erhebliche Risiken für das Recht auf
informationelle Selbstbestimmung in sich. Die
RFID-Kennungen verschiedenster Gegenstände können
sowohl miteinander als auch mit weiteren personenbezogenen Daten der Nutzenden – in der Regel ohne deren
Wissen und Wollen – zusammengeführt werden. Auf
diese Weise werden detaillierte Verhaltens-, Nutzungsund Bewegungsprofile von Betroffenen ermöglicht.
Die Konferenz der Datenschutzbeauftragten des Bundes
und der Länder erwartet von allen Stellen, in deren Verantwortungsbereich RFID-Tags verwendet werden, insbesondere von Herstellern und Anwendern im Handels- und
Dienstleistungssektor, alle Möglichkeiten der datenschutzgerechten Gestaltung dieser Technologie zu entwickeln und zu nutzen, und vor allem die Prinzipien der
Datensparsamkeit, Zweckbindung, Vertraulichkeit und
Transparenz zu gewährleisten. Der schnellen Umsetzung
dieser Forderungen kann auch eine verbindliche Selbstverpflichtung von Herstellern und Anwendern der
RFID-Technologie im Handels- und Dienstleistungssektor dienen.
Das Bundesverfassungsgericht hat den Gesetzgeber
mehrfach darauf hingewiesen, dass wegen des schnellen
und für den Grundrechtsschutz riskanten informationstechnischen Wandels die technischen Entwicklungen
aufmerksam zu beobachten sind und notfalls durch ergänzende Rechtsetzung korrigierend einzugreifen ist. Daher
sind die besonderen Gegebenheiten, die mit dem Einsatz
der RFID-Technologie verbunden sind, vom Gesetzgeber
daraufhin zu untersuchen, ob für alle Risiken adäquate
und rechtliche Schutzmechanismen vorhanden sind. In
den Bereichen, in denen diese fehlen, hat der Gesetzgeber
einzugreifen. Dies gilt insbesondere für den Fall, dass die
Hersteller und Anwender sich auf eine verbindliche
Selbstverpflichtung nicht einlassen.
Für den Schutz der Persönlichkeitsrechte Betroffener sind
generell folgende Forderungen zu berücksichtigen:
●
●
●
●
●
Transparenz
Alle Betroffenen müssen umfassend über den Einsatz,
Verwendungszweck und Inhalt von RFID-Tags informiert werden.
Kennzeichnungspflicht
Nicht nur die eingesetzten RFID-Tags selbst, sondern
auch die Kommunikationsvorgänge, die durch die
Chips ausgelöst werden, müssen für die Betroffenen
leicht zu erkennen sein. Eine heimliche Anwendung
darf es nicht geben.
Keine heimliche Profilbildung
Daten von RFID-Tags aus verschiedenen Produkten
dürfen nur so verarbeitet werden, dass personenbezogene Verhaltens-, Nutzungs- und Bewegungsprofile
ausschließlich mit Wissen und Zustimmung der Betroffenen erstellt werden können. Soweit eine eindeutige Identifizierung einzelner Gegenstände für einen
bestimmten Anwendungszweck nicht erforderlich ist,
muss auf eine Speicherung eindeutig identifizierender
Merkmale auf den RFID-Tags verzichtet werden.
Vermeidung der unbefugten Kenntnisnahme
Das unbefugte Auslesen der gespeicherten Daten muss
beispielsweise durch Verschlüsselung bei ihrer Speicherung und Übertragung unterbunden werden.
Deaktivierung
Es muss vor allem im Handels- und Dienstleistungssektor die Möglichkeit bestehen, RFID-Tags dauerhaft
zu deaktivieren, bzw. die darauf enthaltenen Daten zu
löschen, insbesondere dann, wenn Daten für die Zwecke nicht mehr erforderlich sind, für die sie auf dem
RFID-Tag gespeichert wurden.
R
ev
i
BfDI 21. Tätigkeitsbericht 2005-2006