len. Sollte der Handel hier weiterhin nicht zu einer Selbstverpflichtung kommen und dies einheitlich regeln,
muss der Gesetzgeber tätig werden.
Anfang 2011 hatte die Artikel-29-Gruppe (WP 180 vom 11.02.2011) den Rahmen für eine Datenschutzfolgenabschätzung bei RFID-Anwendungen geschaffen. Demnach sollten mindestens sechs Wochen vor Inbetriebnahme Berichte über die Folgenabschätzung von RFID-Anwendungen der zuständigen Datenschutzaufsicht vorgelegt werden. Diese Empfehlung ist jedoch nicht bindend. Mit der neuen EU-Datenschutz-Grundverordnung sollen PIAs aber in vielen Bereichen zur Pflicht werden.
In diesem Zusammenhang habe ich innerhalb der Technology Subgroup der Artikel-29-Gruppe und bei meinen
Länderkolleginnen und -kollegen nachgefragt, welche Einsatzgebiete und Projekte für RFID-Anwendungen ihnen in ihrer Zuständigkeit bekannt sind, und ob sie diese genauer geprüft haben. Ferner wollte ich wissen, ob ihnen entsprechende RFID PIAs (Privacy Impact Assessment) vorgelegt wurden.
Leider musste ich feststellen, dass den Aufsichtsbehörden der EU wie in Deutschland zwar vereinzelte Fälle von
RFID-Anwendungen in ihrem Bereichen bekannt geworden sind, PIAs in Bezug auf RFID-Systeme jedoch so
gut wie gar nicht vorgelegt wurden. Vermutlich sind in der Wirtschaft nur sehr wenige PIAs zum Einsatz von
RFID-Anwendungen erstellt worden. Lediglich innerhalb des AK Technik habe ich zusammen mit meinen Länderkolleginnen und -kollegen PIAs für Bezahlkarten der Kreditwirtschaft prüfen können. Hierbei haben die
Sparkasse sowie die Kreditinstitute Visa und MasterCard ihre PIAs zur Datenschutzfolgenabschätzung bei ihren
kontaktlosen Bezahlkarten vorgelegt. Bei diesen Produkten kommt die Nahbereichsfunktechnik NFC (Near
Field Communication) zum Einsatz, die nur über sehr kleine Entfernungen arbeitet.
Insgesamt lässt sich sagen, dass diese PIAs den Anforderungen des AK Technik genügt haben und die Privat sphäre der Nutzer bis auf zu tolerierende Restrisiken hin ausreichend gewahrt wird. Die AG Kreditwirtschaft
des Düsseldorfer Kreises und der AK Technik fordern jedoch zusätzlich, dass Nutzern der Bezahlkarten kostenlose Schutzhüllen zur Unterbindung unerwünschter Kommunikationsvorgänge zur Verfügung gestellt werden,
und dass es möglich sein muss, die Funkschnittstelle/NFC-Funktion auf Wunsch des Karteninhabers zu deaktivieren. Weiterhin werden die Hersteller aufgefordert, Lösungsansätze zu einer angemessenen Verschlüsselung
und Randomisierung der Kartennummer weiterhin zu verfolgen.
Die Kommission hat im August 2014 einen Bericht zum Einsatz von RFID-Systemen veröffentlicht
(https://ec.europa.eu). Danach kommen RFID-Systeme hauptsächlich beim Taggen von Textilien zum Einsatz,
im Einzelhandel dominiert jedoch weiterhin der Strich- bzw. Barcode. PIAs werden nur im geringen Umfang erstellt, weil man die Datenschutzrisiken in den Mitgliedstaaten oftmals als sehr niedrig bewertet.
Ein europäisches Kennzeichen für RFID-Anwendungen existiert seit 2014 (vgl. Kasten zu Nr. 8.6). Es wird jedoch noch sehr selten verwendet. Zudem beabsichtigt die Kommission, im Jahr 2016 eine Neubewertung der
Umsetzung der Empfehlung im Lichte der laufenden technischen Entwicklung und Marktentwicklung sowie der
damit verbundenen rechtlichen Rahmenbedingungen, beispielsweise für den Datenschutz, durchzuführen.
Abschließend möchte ich noch darauf hinweisen, dass das BSI, das ich hierbei zum Datenschutz berate, zurzeit
seine technischen Richtlinien zum Einsatz von RFID-Systemen überarbeitet.
Kasten zu Nr. 8.6
– 146 –
BfDI 25. Tätigkeitsbericht 2013-2014