– 211 –
A n l a g e 8 (zu Nr. 27.3)
25. Internationale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre
vom 10. bis 12. September 2003
Entschließung zu Radio-Frequency Identification
Auf Vorschlag des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg,
des Unabhängigen Zentrums für Datenschutz SchleswigHolstein, Deutschland, der Spanischen Datenschutzbehörde und des Datenschutzbeauftragten des Kantons Zug,
Schweiz, hat die Internationale Konferenz folgende Entschließung gefasst:
Radio-Frequency Identification (RFID) Technologie wird
zunehmend für eine Reihe unterschiedlicher Zwecke eingesetzt. Während es Situationen gibt, in denen diese
Technologie positive und günstige Auswirkungen hat,
sind auch negative Folgen für die Privatsphäre möglich.
RFID-Etiketten (RFID tags) werden bisher vorwiegend
zur Identifikation und Organisation von Gegenständen
(Produkten), zur Kontrolle der Logistik oder zum Schutz
der Authentizität einer Produktmarke (Warenzeichen)
verwendet; sie könnten aber auch mit personenbezogenen
Informationen wie Kreditkartendaten verknüpft werden
und auch zur Erhebung solcher Informationen oder zur
Lokalisierung oder Profilbildung über Personen benutzt
werden, die Gegenstände mit RFID-Etiketten besitzen.
Diese Technologie würde die unbemerkte Verfolgung und
das Aufspüren von Individuen ebenso wie die Verknüpfung erhobener Daten mit bestehenden Datenbanken ermöglichen.
Die Konferenz hebt die Notwendigkeit hervor, Datenschutzprinzipien zu berücksichtigen, wenn RFID-Etiketten verknüpft mit personenbezogenen Daten eingeführt
werden sollen. Alle Grundsätze des Datenschutzrechts
müssen beim Design, der Einführung und der Verwendung von RFID-Technologie berücksichtigt werden. Insbesondere
a) sollte jeder Datenverarbeiter vor der Einführung von
RFID-Etiketten, die mit personenbezogenen Daten
verknüpft sind oder die zur Bildung von Konsumprofilen führen, zunächst Alternativen in Betracht ziehen,
die das gleiche Ziel ohne die Erhebung von personenbezogenen Informationen oder die Bildung von Kundenprofilen erreichen;
b) wenn der Datenverarbeiter darlegen kann, dass personenbezogene Daten unverzichtbar sind, müssen diese
offen und transparent erhoben werden;
c) dürfen personenbezogene Daten nur für den speziellen
Zweck verwendet werden, für den sie ursprünglich erhoben wurden und sie dürfen nur solange aufbewahrt
werden, wie es zur Erreichung dieses Zwecks erforderlich ist und
d) soweit RFID-Etiketten im Besitz von Personen sind,
sollten diese die Möglichkeit zur Löschung der gespeicherten Daten oder zur Deaktivierung oder Zerstörung
der Etiketten haben.
Diese Grundsätze sollten bei der Gestaltung und bei der
Verwendung von Produkten mit RFID berücksichtigt
werden.
Das Auslesen und die Aktivierung von RFID-Etiketten
aus der Ferne ohne vernünftige Gelegenheit für den Besitzer des etikettierten Gegenstandes, diesen Vorgang zu beeinflussen, würde zusätzliche Datenschutzrisiken auslösen.
Die Konferenz und die Internationale Arbeitsgruppe zum
Datenschutz in der Telekommunikation wird die technischen Entwicklungen in diesem Bereich genau und detailliert verfolgen, um die Achtung des Datenschutzes und
der Privatsphäre in einer Umgebung allgegenwärtiger Datenverarbeitung sicherzustellen.
BfD
20. Tätigkeitsbericht
2003–2004