EU-Kommision: Datenschutzrisiken beim Einsatz von RFID-Technik

Die EU-Kommission hat am 6. April 2011 ein von der Wirtschaft erarbeitetes Konzept abgesegnet, das Leitlinien für die Ermittlung und Abschätzung von Datenschutzrisiken beim Einsatz von RFID-Anwendungen enthält. Anwendern von RFID-Anwendungen soll es über den Prozess der sogenannten Datenschutzfolgenabschätzung ermöglicht werden, im Rahmen einer Anfangsanalyse und einer nachfolgend durchzuführenden Risikoabschätzung die von dem Einsatz von RFID-Anwendungen ausgehenden Datenschutzrisiken zu ermitteln sowie zu dokumentieren, wie diese Risiken durch den Einsatz technischer und organisatorischer Kontrollmaßnahmen verhindert bzw. gemindert werden können.

Unter RFID-Technik versteht man die Nutzung elektromagnetischer Wellen oder der elektromagnetischen Nachfeldkopplung im Bereich des Frequenzspektrums für die Kommunikation von oder zu einem RFID-Tag mithilfe verschiedener Modulations- oder Kodierungstechniken bzw. nur für das Auslesen der Kennung eines RFID-Tags oder anderer darin gespeicherter Daten. Ein RFID-Tag ist ein Gerät, das dazu in der Lage ist, ein Funksignal zu erzeugen, oder ein Gerät, dass ein von einem Lese- oder Schreibgerät empfangenes Regelsignal rückkoppelt, rückwärts streut oder reflektiert und moduliert. Der Einsatz solcher RFID-Technik hat in den vergangenen Jahren erheblich an Bedeutung gewonnen. So finden sich beispielsweise mit RFID-Technik ausgestattete Etiketten auf Produkten, sodass ein Hersteller ggf. den Vertrieb seiner Produkte besser kontrollieren kann.

Schaffung von Vertrauen in die RFID-Technik

Mit dem Einsatz der RFID-Technik sind nach Ansicht der EU-Kommission erhebliche ökonomische und soziale Vorteile verbunden. Da je nach Ausgestaltung der Technik diese auch die Erhebung und Verarbeitung personenbezogener Daten ermöglicht, ist es aus Sicht der EU-Kommission notwendig, dass auch beim Verbraucher Vertrauen in den Einsatz der RFID-Technik geschaffen wird.

Zur Sicherung der datenschutzrechtlichen Anforderungen beim Einsatz von RFID-Anwendungen veröffentlichte die Kommission am 12. Mai 2009 eine Empfehlung. Darin wurden die Mitgliedsstaaten aufgefordert, sicherzustellen, dass die Wirtschaft in Zusammenarbeit mit Vertretern der Allgemeinheit Rahmenvorgaben für die Bewertung des Einsatzes von RFID-Anwendungen unter datenschutzrechtlichen Gesichtspunkten entwickelt. Ein erster Entwurf dieses Rahmenwerks wurde der Artikel 29 - Datenschutzgruppe am 31. März 2010 zur Billigung vorgelegt. Die Artikel 29-Gruppe wies das Dokument jedoch zurück, da aus ihrer Sicht drei Punkte nur unzureichend geregelt waren. So monierte die Artikel 29-Gruppe, dass der Vorschlag der Wirtschaft einen klar definierten Ansatz zur Risikoabschätzung vermissen lässt. Zudem seien die Ausführungen zur möglichen missbräuchlichen Nutzung von RFID-Tags sowie eine Klarstellung zur Möglichkeit der Deaktivierung der RFID-Anwendungen erforderlich. Auf die entsprechende Ste…