Contra: Datenschutz muss auch für RFID-Daten gelten. Man kann es sich einfach machen und sagen, RFID-Systeme sind lediglich eine moderne Form der heute überall üblichen Barcodes - ein auf ein paar Zeichen begrenzter Datensatz, der von Computern ausgelesen werden kann.

Contra: Datenschutz muss auch für RFID-Daten gelten

Unbemerkt vom Kunden sammeln und verarbeiten RFID-Chips personenbezogene Daten, fürchtet Oliver Brunner, Referent beim Bayerischen Landesbeauftragten für den Datenschutz.

Foto: Bayerischer Landesbeauftragter für den Datenschutz

Nichts Neues oder Erschreckendes. Kein Mensch kommt auf die Idee, Barcodes von Verpackungen zu schneiden, weil diese gefährlich sein könnten. Warum also halten Datenschützer RFID-Chips für bedenklich?

RFID ist für Kunden intransparent

Jeder kennt das von der Supermarktkasse: Einen Barcode kann man mit Hilfe eines Barcode-Scanners auslesen. Die Datenerhebung ist offen und für den Kunden erkennbar. Auch bei einem RFID-System wird der Kunde davon ausgehen, dass die Datenerhebung für ihn transparent erfolgt. Da das Auslesen aber nicht mittels eines räumlich sehr begrenzten und exakt positionierten Gerätes, sondern mit Funkwellen funktioniert, kann der Kunde nicht feststellen, wo genau RFID-Chips ausgelesen werden. Schon am Regal lässt sich mit Hilfe von RFID feststellen, welche Produkte entnommen wurden. Natürlich ist dies aufwändig und ein Szenario der Zukunft. Zuerst werden die RFID-Chips etwa zur Transportkontrolle und zur Lagerverwaltung verwendet werden. Aber wenn dann alle Produkte damit ausgestattet sind und sich die Systeme im B2B-Umfeld bewährt haben, wird man sie auch im B2C-Bereich einsetzen.

RFID-Chips sind ohne Berührung auslesbar. Betritt der Kunde ein Geschäft und führt bereits Waren mit RFID-Chips aus anderen Geschäften mit sich, so lassen sich auch deren RFID-Informationen auslesen. Das heißt, jedes Geschäft kann in die Einkaufstaschen seiner Kunden sehen und den Inhalt automatisch speichern. Die Haltbarkeit von RFID-Chips ist zeitlich nicht begrenzt, selbst nach Jahren dürften sie lesbar sein, da sie keine eigene Energieversorgung etwa in Form von Batterien benötigen.

Aber alle bisher geschilderten Szenarien können von RFID-Befürwortern noch relativ leicht entkräftet werden, etwa: Fremde Waren sollte man nicht in ein anderes Geschäft mitnehmen. Deutlicher wird die potenzielle Gefahr für den Datenschutz etwa beim Kauf von Medikamenten. An jedem Punkt im Umkreis von bis zu 20 Metern kann jedes Arzneimittel, das einen RFID-Chip enthält, unbemerkt ausgelesen werden. Werden, wie von der Europäischen Zentralbank im Moment für die größeren Geldscheine geplant, irgendwann einmal auch alle Geldscheine mit RFID-Chips versehen sein, so kann jeder auch feststellen, wer wieviel Geld bei sich führt - inklusive der Nummern aller Geldscheine.

RFID formt gläsernen Kunden

Solange nur Produkte mit RFID-Chips ausgestattet werden, kann man argumentieren, dass ein direkter Personenbezug schwierig oder in der Regel nicht vorhanden ist. Das Lesegerät erkennt nur, dass das Medikament X an ihm vorbeigetragen wurde, nicht aber, wer dieses Medikament besitzt. Betrachtet man aber die Bestrebungen, auch Kreditkarten und Ausweispapiere mit RFID-Chips auszustatten, so ist ein Personenbezug nicht nur machbar, sondern oft nicht mehr zu verhindern. Eventuell protokolliert ein Lesegerät unbemerkt vom Kunden alle Daten der RFID-Chips, die es passieren - so etwa Ausweisnummer, Name und Anschrift, alle Bankverbindungsdaten und Kreditkartennummern.

RFID muss Restriktionen folgen

Die Internationale Konferenz der Datenschutzbeauftragten und die Konferenz der Datenschutzbeauftragten des Bundes und der Länder heben in ihren Entschließungen die Notwendigkeit hervorgehoben, Datenschutzprinzipien zu berücksichtigen, wenn RFID-Chips verknüpft mit personenbezogenen Daten eingeführt werden sollen. Alle Grundsätze des Datenschutzrechts müssen beim Design, der Einführung und der Verwendung von RFID-Systemen berücksichtigt werden. Insbesondere

sollte jedes Unternehmen vor der Einführung von RFID-Chips, die mit personenbezogenen Daten verknüpfbar sind oder die zur Bildung von Konsumprofilen führen, zunächst Alternativen in Betracht ziehen, die das gleiche Ziel ohne die Erhebung von personenbezogenen Informationen oder die Bildung von Kundenprofilen erreichen, müssen personenbezogene Daten offen und transparent erhoben werden, dürfen personenbezogene Daten nur für den speziellen Zweck verwendet werden, für den sie ursprünglich erhoben wurden und nur solange aufbewahrt werden, wie es zu Erreichung dieses Zwecks erforderlich ist, sollten etwa Kunden die Möglichkeit erhalten, die auf RFID-Chips gespeicherten Daten löschen oder deaktivieren zu können.