RFID – Funkchips für jede Gelegenheit? (2018)

Kleine Funkchips, sogenannte "RFID“, sind dabei, unaufhaltsam in den Alltag einzuziehen. Die Zukunftsvision der allgegenwärtigen Datenverarbeitung könnte schon bald realer sein, als so manchem lieb ist. RFID werden bereits seit geraumer Zeit zur Speicherung biometrischer Merkmale im Reisepass, im neuen Personalausweis oder zum Hinterlegen von personenbezogenen Daten in Tickets oder Kundenkarten eingesetzt. Weitere Anwendungen sind z.B. der Einsatz in Logistiksystemen oder das kontaktlose Bezahlen im Einzelhandel.

Radio Frequency Identification (RFID)
Die Radio Frequency Identification bezeichnet eine Mikrochiptechnologie zur kontaktlosen Speicherung von Daten. Die im Sprachgebrauch als "Tags“ bezeichneten Chips werden per Funk abgefragt und mit Energie versorgt. Sie finden z. B. bei der Zugangs- und Diebstahlsicherung, bei der Kennzeichnung von Tieren oder bei Wegfahrsperren von Autos Anwendung.

RFID-Technologien werden weltweit von Konzernen, Behörden und Institutionen für derartige Anwendungen eingesetzt. Die Befürchtungen sind deshalb groß, dass z. B. das Verhalten von Kunden durch die an mitgeführten Gegenständen oder Kleidungsstücken angebrachten RFID ausspioniert und so unbemerkt detaillierte Kauf- oder Bewegungsprofile erstellt werden.

Aufklärungs- und Schutzmaßnahmen

Die großflächige Einführung von RFID macht Aufklärungs- und Schutzmaßnahmen notwendig. Denn es besteht die Gefahr, dass in RFID-Tags personenbezogene oder personenbeziehbare Daten gespeichert oder preisgegeben werden, ohne dass dies ausreichend transparent ist. Dritte könnten Daten auslesen oder verändern, ohne dass der Nutzer dies bemerkt oder unterbinden kann. Ein Mitlesen von Daten ist bei einigen RFID-Anwendungen unter Umständen auch aus einigen Metern möglich.

Derzeit werden überwiegend RFID verwendet, die über eine vom Hersteller vergebene eindeutige und nicht löschbare Seriennummer verfügen. Daneben existieren weitere Bauformen mit einem wiederbeschreibbaren Bereich. Darauf können Informationen, etwa das Mindesthaltbarkeitsdatum oder personenbezogene Angaben, gespeichert werden. Das Normungskonsortium EPC-Global (European Product Code-Global) will jedes einzelne Produkt mittels einer eindeutigen Produkt-ID kennzeichnen. Diese ID kann von allen Teilnehmern der Logistikkette, also vom Hersteller eines Produktes bis zur Abfallentsorgung, zur eindeutigen Identifizierung genutzt werden.

Smartcards als RFID-Version – ähnlich der in Mobiltelefonen eingesetzten Simkar ten – können größere Datenmengen, etwa biometrische Merkmale, speichern und z. B. komplexe Verarbeitungsfunktionen bereitstellen. Diese Chips verfügen über einen Mikroprozessor und werden z. B. in Ausweisdokumenten verwendet.

Beim Einsatz von RFID sind Hersteller, Betreiber von RFID gekennzeichneten Waren und der Handel aufgefordert,

  • die Betroffenen umfassend über Einsatz, Verwendungszweck und Inhalt von RFID-Chips zu informieren,
  • Möglichkeiten zur Deaktivierung/Löschung von RFID-Chips zu schaffen, insbesondere dann, wenn Daten für die spezifischen Zwecke nicht mehr erforderlich sind, n RFID Daten nur so lange zu speichern, wie es zur Erreichung des Zwecks erforderlich ist,
  • bei RFID-Chips wirksame Mechanismen einzusetzen, mit denen ein Auslesen der gespeicherten Daten unterbunden wird,
  • Anwendungen mit RFID-Unterstützung ohne Nutzungszwang zu entwickeln, so dass anonymes Kaufen weiterhin möglich ist,
  • die Vertraulichkeit der gespeicherten und der übertragenen Daten durch wirksame Authentisierung der beteiligten Geräte und Verschlüsselung sicherzustellen,
  • bei RFID-Technologie mit Verarbeitungsfunktion Systeme anzubieten, die keine Seriennummer tragen, da eine eindeutige Identifikation eines Produkts nicht immer erforderlich ist,
  • eine Datenschutzfolgenabschätzung für die RFID-Anwendungen zu erstellen und
  • eine Selbstverpflichtungserklärung zum Schutz der Daten abzugeben.

Gefahren

Im Gegensatz zu Chips, die über Kontakte mit einem Schreib-/Lesegerät kommunizieren, sind Daten auf RFID besonderen Gefahren ausgesetzt. Kommunikationsvorgänge, die ohne spezielle Absicherungen stattfinden, könnten von Dritten initiiert, abgehört oder manipuliert werden. Der Inhalt von Tags könnte unbemerkt abgefragt werden. Ferner besteht die Gefahr, dass sie wegen ihrer geringen Abmessungen praktisch unsichtbar angebracht werden. Auch die Lesegeräte könnten in alltägliche Gegenstände, etwa in Türrahmen, eingebaut werden. Um Gefahren beim Datenschutz frühzeitig zu erkennen, ist für RFID-Anwendungen eine Datenschutzfolgenabschätzung gemäß Art. 35 Datenschutz-Grundverordnung zu erstellen.

Besonders problematisch ist die Verknüpfung der RFID mit Hintergrunddatenbanken. Benutzt ein Kunde EC- oder Kreditkarte oder wird eine Kundenkarte verwendet, kann der Personenbezug hergestellt und registriert werden. Die Person, die den entsprechenden Gegenstand mit sich führt, könnte so durch die eindeutige Seriennummer des Tags identifiziert werden. Derartige RFID-Anwendungen werden z.B. auch in gängigen Zeiterfassungs- und Bibliothekssystemen eingesetzt.

Transparenz

Der Einsatz von RFID muss für die Betroffenen erkennbar erfolgen. Unzulässig wäre es, RFID-Tags versteckt anzubringen oder sie heimlich auszulesen. Daten der RFID-Chips aus verschiedenen Produkten dürfen nicht zur Erzeugung von Verhaltens-, Nutzungs- und Bewegungsprofilen verwendet werden. Bei komplexen RFID, die eine Verarbeitung von Daten ähnlich einer Smartcard ermöglichen, greifen bereits derzeit Regelungen der Datenschutz-Grundverordnung (DSGVO) und des BDSG. Bei einfachen RFID mit unlöschbarer Seriennummer findet die DSGVO und das BDSG nur Anwendung, wenn eine Verknüpfung mit personenbezogenen Identifikationsdaten erfolgt. Trotzdem sollten Produkte, die RFID enthalten, sowie Lese- / Schreibgeräte gekennzeichnet werden, weil die Möglichkeit besteht, dass der Personenbezug nachträglich, ggf. durch unberechtigte Dritte, hergestellt wird.

Herausgeber: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Stand: Juli 2018

Quelle

Die Nutzung des Informationsmaterials ist mit Quellenangabe (Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) zulässig. Es gilt § 5 Abs. 2 Urheberrechtsgesetz in Verbindung mit der Datenlizenz Deutschland – Namensnennung – Version 2.0 (dl-de/by-2-0)