Hinweise des Landesbeauftragten für den Datenschutz Baden-Württemberg zur datenschutzgerechten Nutzung der RFID-Technik
(Radio Frequency Identification)

– Stand: 21. März 2006 –

Inhaltsverzeichnis

1. Was leistet die RFID-Technik?

2. Die virtuelle Welt integriert vernetzte Gegenstände

3. Datenschutzrisiken der RFID-Technik

4. Datenschutzmaßnahmen bei RFID-Systemen, die unmittelbar zur Verarbeitung personenbezogener Daten dienen

5. Datenschutzmaßnahmen bei RFID-Systemen, die nicht unmittelbar zur Verarbeitung personenbezogener Daten dienen sollen

6. Generelle Datenschutzmaßnahmen bei RFID-Systemen

In „intelligenten Mülltonnen“ sind sie ebenso zu finden wie in den seit November 2005 ausgegebenen neuen Reisepässen. Die Stadtbücherei Stuttgart markiert damit ihre Medien und auch in den zur Fußball-WM ausgegebenen Eintrittskarten werden sie zu finden sein. Sie können in Ausweisen verwendet werden, die zur Zutrittskontrolle dienen, und manch ein Auto lässt sich nur starten, wenn auch der Autoschlüssel mit dieser Technik ausgerüstet ist. Nicht zuletzt sollen sie die bislang schon auf vielen Produkten aufgedruckten Barcodes ablösen und daher in immer mehr Gegenstände des täglichen Lebens integriert werden. Die Rede ist von RFID-Tags. RFID ist die Abkürzung von „Radio Frequency Identification“ und steht für eine Technik, bei der sich alles um winzig kleine und in der Massenproduktion nur wenige Cent teure Minicomputer, eben die RFID-Tags, dreht. Da diese ausschließlich drahtlos mit anderen Systemen Daten austauschen und zum Teil nicht einmal auf eine eigene Stromversorgung angewiesen sind, können RFID-Tags beispielsweise so in ein Plastikgehäuse eingebettet sein, dass sie auch bei genauem Hinschauen nicht zu erkennen sind.

 

1. Was leistet die RFID-Technik?

Auf den ersten Blick kann der Eindruck entstehen, hier handele es sich um eine Entwicklung wie viele andere, die mit Datenschutz allenfalls am Rande zu tun hat. Denn die Verkleinerung elektronischer Bauteile gehört für uns schon ebenso zu den Selbstverständlichkeiten wie die Reduzierung der Herstellungskosten. Und auch von der Möglichkeit der drahtlosen Kommunikation wird in der Computertechnik mittlerweile vielfach Gebrauch gemacht. Zudem können manche Anbieter derartiger Systeme darauf verweisen, dass in den von ihnen in Umlauf gebrachten RFID-Tags keine personenbezogenen Daten, sondern beispielsweise nur Bezeichnungen der jeweiligen Gegenstände gespeichert sind, in denen sie eingebaut sind.

Bei näherem Hinsehen wird jedoch rasch deutlich, dass die RFID-Technik schon bald unser künftiges Alltagsleben verändern und dabei auch vielfältige Auswirkungen auf den Datenschutz haben kann:

  • Gegenstände werden „smart“
    Die RFID-Technik macht es möglich, jeden Gegenstand mit der Fähigkeit zur Datenverarbeitung auszustatten. Er kann dann viel mehr, als nur auf Anforderung eine Produktnummer mitzuteilen. Vielmehr ist beispielsweise denkbar, dass die Produkte die Nutzer erkennen (etwa weil diese ebenfalls individuelle RFID-Tags mit sich führen) und dementsprechend nutzerspezifische Funktionen zur Verfügung stellen. Somit werden die Produkte in die Lage versetzt, interaktiv und situationsbezogen zu reagieren.
     
  • Gegenstände werden vernetzt
    Derart ertüchtigte Produkte können untereinander sowie mit herkömmlichen Computersystemen Daten austauschen. Der bereits zur Marktreife entwickelte „intelligente“ Kühlschrank erkennt, welche mit RFID-Tags versehenen Produkte mit welchen Haltbarkeitsfristen noch vorrätig sind und welche wann ersetzt werden müssen. Er kann selbstständig Einkaufslisten zusammenstellen und diese dem Nutzer etwa per E-Mail oder SMS mitteilen.

 

2. Die virtuelle Welt integriert vernetzte Gegenstände

Bisher bildeten die vernetzten Computer eine virtuelle Welt, in der Gegenstände bildlich und in vielen anderen Eigenschaften immer überzeugender abgebildet und ihr Verhalten simuliert werden konnten. Gleichwohl stand sie der realen Welt der Gegenstände weitgehend unverbunden gegenüber. Mit der RFID-Technik ist die Entwicklung jedoch so weit, dass praktisch jeder Gegenstand mit einem speziell darauf zugeschnittenen RFID-Tag versehen und damit unmittelbar auch Teil der virtuellen Welt werden kann. Manche Anwendungen sehen darüber hinaus auch vor, Tiere oder sogar Menschen mit RFID-Tags zu versehen.

Grundlegende technische Entwicklungen wie diese werfen eine Vielzahl neuer Fragen auch für den Datenschutz auf. In der Vergangenheit führte die Nutzung neuer technischer Möglichkeiten, wie etwa die lokale Vernetzung stationärer Computer oder die Nutzung des Internets, dazu, dass bereits vorhandene Datenschutz- und Sicherheitsprobleme in dem neuen Zusammenhang wie in einem Brennglas gebündelt wurden und noch größere Schäden hervorrufen konnten. Es ist abzusehen, dass auch die RFID-Technik solche Folgen nach sich ziehen kann: Man denke nur daran, was geschehen kann, wenn Computerviren, die bereits heute erhebliche wirtschaftliche Schäden verursachen, künftig auch vernetzte Gegenstände befallen und etwa massenhaft Gefriertruhen abtauen oder gar sicherheitsrelevante Fahrzeugelektronik beeinflussen.

 

3. Datenschutzrisiken der RFID-Technik

Bei der datenschutzrechtlichen Bewertung der RFID-Technik stellt sich zunächst die Frage, inwieweit durch diese Technik personenbezogene Daten berührt sind. Bei einigen Anwendungen wie etwa den biometrischen Reisepässen und Personalausweisen werden die RFID-Tags selbst personenbezogene Daten enthalten. Auch in Krankenhäusern wird RFID-Technik bereits zur Identifizierung der Patienten erprobt. In Patientenarmbänder integrierte RFID-Tags sollen es Ärzten und Pflegepersonal im Notfall ermöglichen, schnell auf die Krankengeschichte und Medikamentendosierung zugreifen zu können. Aber auch wenn ein RFID-Tag selbst keine personenbezogenen Daten enthält, kann dessen Verwendung dazu beitragen, dass personenbezogene Daten über den Inhaber des mit dem RFID-Tag versehenen Gegenstands wesentlich leichter als bisher gesammelt und ausgewertet werden können. Folgende datenschutzrechtliche Risiken gehen mit der Nutzung der RFID-Technik einher:

  • Bewegungsprofile
    Insbesondere wenn Personen bestimmte mit RFID-Tag versehene Gegenstände häufig mit sich führen (z. B. bestimmte Kleidungsstücke, Schuhe, Taschen, Handys), kann jeder, der einmal die Zuordnung zwischen Person und der Produkt-ID vorgenommen hat, ein Bewegungsprofil der Person erstellen. Dies ist umso leichter möglich, je mehr Geräte zum Auslesen der Daten in Behörden, Unternehmen oder öffentlichen Bereichen betrieben werden und je intensiver deren Betreiber die erfassten Daten untereinander austauschen.
     
  • Nutzungs- und Verhaltensprofile
    Verknüpft man Daten über Personen mit den per RFID bei ihnen nachgewiesenen Waren, lässt dies Rückschlüsse auf Interessen, Vorlieben und andere Persönlichkeitsmerkmale zu. Da beim Einsatz der RFID-Technik zur Warenkennzeichnung vorgesehen ist, jedes einzelne Produkt mit einer individuellen Nummer zu versehen, wird sich unter Umständen für jeden Gegenstand, der künftig irgendwo angetroffen wird, nachvollziehen lassen, wer diesen Gegenstand wann wo gekauft hat. Solche Informationen, die in erster Linie den Verkäufern der Waren zur Verfügung stehen, können bei Vorliegen entsprechender Voraussetzungen aber auch von Strafverfolgungsbehörden oder anderen Sicherheitsbehörden für deren Zwecke genutzt werden.
     
  • Fehlende Transparenz
    RFID-Tags können versteckt an oder in Waren angebracht sein. Da der Inhaber eines mit RFID-Tag versehenen Gegenstands auch nicht ohne weiteres etwas davon bemerkt, wenn ein RFID-Tag mit einem externen System Daten austauscht, besteht beim Einsatz der RFID-Technik das Risiko, dass unbemerkt Daten über den Inhaber der Gegenstände erhoben werden.
     
  • Große Datenmengen
    Bei einer systematischen Ausstattung der Alltagsgegenstände mit RFID-Tags und einer systematischen Speicherung der mit Hilfe der RFID-Technik ausgetauschten Daten können riesige Datenbestände entstehen.
     
  • Komplexe Auswertungen
    Diese Datenmengen können auf vielfältige Weise automatisiert ausgewertet werden. Insbesondere können in diesen Datenbeständen Verfahren des sog. Data Mining zum Einsatz kommen, bei denen – zunächst noch ohne bestimmtes Ziel – diese auf formale Besonderheiten hin untersucht werden können.
     
  • „Datenschatten“
    Führt jemand mit RFID-Tags versehene Gegenstände in Taschen oder einem Rucksack mit sich, so können diese von einem Dritten, der über ein RFID-Lesegerät verfügt, identifiziert werden. Der Einblick in den Tascheninhalt wird damit auch gegen den Willen des Inhabers der Gegenstände möglich. Die dabei gewonnenen Erkenntnisse können zudem mit weiteren, zu der Person bekannten Informationen zusammengeführt werden. Auch wenn auf diese Weise der Name der Person noch nicht direkt ermittelt werden kann, wirft der Einzelne einen „Datenschatten“, der von Dritten wahrgenommen und für deren Zwecke ausgewertet werden kann.
     
  • RFID-Funkverkehr abhörbar
    Wenn keine weiteren Schutzmaßnahmen ergriffen werden, können die zwischen einem RFID-Tag und dessen Kommunikationspartnern ausgetauschten Daten von Dritten abgehört werden.

 

4. Datenschutzmaßnahmen bei RFID-Systemen, die unmittelbar zur Verarbeitung personenbezogener Daten dienen

Dass Systeme, bei denen personenbezogene Daten in den RFID-Tags gespeichert werden, datenschutzrechtlich sorgsam konzipiert werden müssen, entspricht den auch bislang schon geltenden Regeln des Datenschutzes. Derartige Systeme müssen insbesondere folgenden Anforderungen entsprechen:

  • Es ist eine Vorabkontrolle durchzuführen. Dabei ist zu prüfen, welche Gefahren sich bei Realisierung des geplanten Projekts für die Persönlichkeitsrechte der Betroffenen ergeben, was zur Reduzierung dieser Gefahren getan werden soll sowie ob das danach verbleibende Restrisiko tragbar ist.
     
  • Spätestens mit Beginn des Echtbetriebs müssen technisch-organisatorische Datenschutzmaßnahmen ergriffen werden und nachvollziehbar dokumentiert sein.
     
  • Es muss sichergestellt sein, dass die Betroffenen die ihnen zustehenden Rechte ohne unvertretbaren Aufwand wahrnehmen und so etwa Auskunft über die zu ihrer Person gespeicherten Daten erhalten oder die Berichtigung unrichtiger Daten verlangen können.

 

5. Datenschutzmaßnahmen bei RFID-Systemen, die nicht unmittelbar zur Verarbeitung personenbezogener Daten dienen sollen

Eine Besonderheit der RFID-Technik liegt darin, dass auch Systeme, die nicht unmittelbar zur Verarbeitung personenbezogener Daten genutzt werden sollen, nachhaltig in die Persönlichkeitsrechte von Bürgerinnen und Bürgern eingreifen können. Denn ein Personenbezug lässt sich mitunter auch in diesen Fällen leicht herstellen, etwa wenn die Identität der Person, die RFID-markierte Waren bei sich trägt, durch Auslesen personenbezogener Daten etwa aus einer Kreditkarte bestimmt werden kann. Werden die aus RFID-Tags ausgelesenen Daten z.B. in zentralen Datenbanken gespeichert, so können Bewegungs-, Nutzungs- und letztlich auch Persönlichkeitsprofile erstellt werden, deren Zustandekommen für den Betroffenen vollkommen intransparent ist und auf deren Entstehen er keinen Einfluss hat. Das bedeutet, dass das Recht des Betroffenen auf informationelle Selbstbestimmung durch diese Technologie erheblich gefährdet ist. Geboten ist daher eine frühzeitige Berücksichtigung datenschutzrechtlicher Anforderungen auch bei solchen RFID-Anwendungen, die unmittelbar nur auf die Verarbeitung nicht-personenbezogener Daten gerichtet sind.

 

6. Generelle Datenschutzmaßnahmen bei RFID-Systemen

Bei allen datenschutzrechtlich relevanten RFID-Anwendungen ist zu fordern, dass

  • der Grundsatz der Erforderlichkeit der Datenverarbeitung beachtet wird,
  • dem Grundsatz der Datensparsamkeit folgend die Systeme so gestaltet werden, dass so weit wie möglich auf die Verarbeitung personenbezogener Daten verzichtet wird,
  • die Bürgerinnen und Bürger stets erkennen können, wenn eine Ware mit dieser Technik ausgestattet ist; ferner muss zu erkennen sein, welche Daten damit verarbeitet werden und welche Art der Datenverarbeitung damit ermöglicht wird,
  • technische Maßnahmen gegen das unbefugte Auslesen von auf RFID-Tags gespeicherten Daten und das Abhören der drahtlos übertragenen Daten ergriffen werden,
  • den Betroffenen die Möglichkeit geboten werden sollte, die Funktion der RFID-Tags zu deaktivieren, sofern diese ihre Aufgabe erfüllt haben.

Insbesondere hinsichtlich des Umgangs mit RFID-Tags, die nicht unmittelbar der Verarbeitung personenbezogener Daten dienen sollen, bleibt abzuwarten, ob deren Anbieter die hier dargestellten Maßnahmen ergreifen. Sofern dies nicht in ausreichendem Maße geschieht, ist eine entsprechende gesetzliche Verpflichtung zu erwägen.