Drucksache 17/5200
– 66 –
den Betrieb, Fehler und Benutzereinstellungen auf. Diese
Daten werden im Fahrzeug gespeichert und können mit
geeigneten Geräten, insbesondere im Service, ausgelesen
werden. Die ausgelesenen Daten werden für die Unterstützung der Serviceprozesse, zur Reparatur oder zur Optimierung und Weiterentwicklung von Fahrzeugfunktionen verwendet.“
Der Düsseldorfer Kreis hat die datenschutzrechtlichen
Probleme elektronischer Fahrzeugdatenspeicher aufgegriffen und eine Arbeitsgruppe eingerichtet, an der ich mitarbeite. Die Arbeitsgruppe hat zunächst die Datenerhebung, -verarbeitung und -nutzung der Fahrzeugdaten mit
Blick auf ihren Personenbezug untersucht. Ziel dieser
Analyse ist es, die Information der Betroffenen in Betriebsanleitungen, Kaufverträgen sowie bei Wartungs- und
Reparaturaufträgen zu verbessern. Die hierfür erforderlichen Arbeiten waren bei Redaktionsschluss noch nicht abgeschlossen.
5.9
RFID PIA auf europäischer Ebene
Um beim Einsatz von RFID (Radio Frequency Identification) Datenschutzbedrohungen und Auswirkungen zu untersuchen, wurde auf europäischer Ebene ein Konzept zur
Datenschutzfolgenabschätzung – Privacy Impact Assessment (PIA) – entwickelt. Zukünftig sollen PIA Reports
von der RFID einsetzenden Industrie, dem Handel und
der Wirtschaft erstellt und den nationalen Aufsichtsbehörden vor Inbetriebnahme zur Prüfung vorgelegt werden.
RFID ist unaufhaltsam dabei, die Welt zu erobern. Dies
geschieht zumeist im Verborgenen und unsichtbar für den
Bürger. So sind mittlerweile RFID-Chips in Kleidungsstücken namhafter Hersteller oder etwa in Kundenkarten
oder dem neuen Personalausweis integriert. Zur Kennzeichnung von mit RFID versehenen Produkten empfiehlt
etwa das Informationsforum RFID ein aus einem Ideenwettbewerb hervorgegangenes RFID Logo (vgl. Kasten a
zu Nr. 5.9). Auch alle Pässe mit RFID-Chips nach dem
ICAO-Standard sind mit einem Logo (vgl. Kasten b zu
Nr. 5.9) gekennzeichnet. Zum Thema RFID hatte ich bereits in meinen letzten Tätigkeitsberichten (vgl. zuletzt
22. TB Nr. 6.7) ausführlich informiert.
Das Konzept der EU-Kommission sieht die Entwicklung
eines Prüfleitfadens zur Technikfolgenabschätzung beim
Einsatz von RFID-Systemen (RFID PIA) vor. Die Entwicklung eines RFID PIA geht zurück auf die Empfehlung der EU-Kommission vom 12. Mai 2009 2009/387/
EG (L 122 S. 47), nach der mehrere Grundsätze beim
Einsatz von RFID zu beachten sind.
Hierzu gehören:
– Die spezielle Kennzeichnung von mit RFID versehenen Waren.
– Der Hinweis auf den Einsatz von RFID mittels eines
europaweit einheitlichen Logos.
– Allgemeine Information zum Einsatz von RFID.
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
– Die automatische Deaktivierung der Funkchips beim
Verlassen der Ladenkasse.
Nur auf ausdrücklichen Wunsch des Käufers nach dem
Opt-In Prinzip sollen RFID weiterhin nach der Bezahlabwicklung funken dürfen. RFID-Schreib-/Lesegeräte sowie Kommunikationsvorgänge sollten für den Kunden
eindeutig erkennbar sein. Es sollte umfassend darüber informiert werden, welche personenbezogenen Daten beim
Einsatz zu welchem Zweck verarbeitet werden.
Vor der Verwendung sollen eingesetzte RFID-Systeme mittels Folgenabschätzungen auf ihre Vereinbarkeit mit den datenschutzrechtlichen Anforderungen untersucht werden.
Zudem sollte mindestens sechs Wochen vor Inbetriebnahme der Systeme den nationalen Datenschutzbehörden
ein Bericht zur Prüfung vorgelegt werden. Mit dieser
(nicht bindenden) Empfehlung, welche auf eine Online-Konsultation aus dem Jahre 2006 zurück geht, sollen
europaweit gleiche Ausgangsbedingungen bei Herstellern
und Anwendern von RFID geschaffen werden.
Die Artikel-29-Gruppe der Datenschutzbeauftragten der
EU-Staaten hat ein von Vertretern der Industrie im
März 2010 vorgelegtes Papier zum RFID PIA als nicht
ausreichend angesehen (Arbeitspapier 175 vom 13. Juli
2010). Kritisiert wurde insbesondere, dass das PIA nicht
nur Technik beschreiben solle, sondern ihre Risiken identifizieren müsse. Ferner sei die Betrachtung von solchen
RFID unterblieben, die von Personen mitgeführt werden.
Schließlich fehle auch die aus Datenschutzsicht wichtige
Untersuchung der Deaktivierbarkeit der Funkchips am
Verkaufsort. Seitdem befindet sich das unter Federführung der GS1/Retail (Global Standards One) entwickelte
RFID PIA in der Überarbeitung. Neuere, jedoch ebenfalls
noch verbesserungsbedürftige Versionen wurden der Artikel-29-Gruppe zur Begutachtung zugeleitet. Diese Versionen enthalten gegenüber der ersten Fassung deutliche
Verbesserungen. Eine finale Vorlage der Industrie wurde
mittlerweile eingereicht. Diese wurde durch eine Stellungnahme der Artikel-29-Gruppe positiv bewertet und
offiziell angenommen. Damit würde das RFID PIA in den
Mitgliedstaaten der EU zukünftig die Einhaltung von einheitlich hohen Datenschutzanforderungen beim Einsatz
von RFID ermöglichen.
K a s t e n a zu Nr. 5.9
RFID-Logo zur Kennzeichnung von Produkten