RFID-Technik als Herausforderung für den Datenschutz

RFID-Technik als Herausforderung für den Datenschutz

Positionspapier des Verbraucherzentrale Bundesverbandes zum europäischen Selbstverpflichtungsrahmen für Datenschutzfolgenabschätzungen (PIA Framework) für die Nutzung von RFID

Der Einsatz von RFID-Anwendungen im Einzelhandel nimmt rasant zu, zum Beispiel im Textil- und Modebereich oder auch im e-Ticketing. Neben Vorteilen für Verbraucher wirft dies auch datenschutzrechtliche Probleme auf. Die sehr kleinen RFID-Chips enthalten eine eindeutige Nummer, die kontaktlos und unbemerkt ausgelesen werden kann. Dadurch ermöglicht es diese Technik, das Verhalten der Verbraucher auszuspionieren und Konsumentenprofile zu erstellen.

Am 6. April 2011 unterzeichneten Vertreter der Industrie, der Zivilgesellschaft und Datenschützer einen europäischen Selbstverpflichtungsrahmen für Datenschutzfolgenabschätzungen ("PIA Framework") für die Nutzung von RFID. Der Verbraucherzentrale Bundesverband begrüßt diesen Schritt, mahnt aber eine konsequente Umsetzung der Selbstverpflichtung an. Um den Gefahren der RFID-Technik zu begegnen, ist es aus Sicht des vzbv weiterhin geboten, dass der Gesetzgeber klare Vorgaben zum Einsatz der RFID-Technik macht.

Anforderungen des vzbv
Für die weitere Vorgehensweise formuliert der vzbv aus Verbrauchersicht folgende Anforderungen:

• Wirksame Selbstverpflichtung der Betreiber: Nach der Annahme des PIA Frameworks muss nun eine wirksame, flächendeckende und verpflichtende Selbstregulierung der Wirtschaft auf nationaler Ebene dringend angestrebt werden. Scharfe und wirksame Sanktionsmöglichkeiten müssen definiert und in der Praxis strikt umgesetzt werden.
  
  
• Datenschutzfolgeabschätzungen konsequent durchführen und nachhalten: Datenschutzfolgeabschätzungen gemäß dem PIA Framework müssen kompromisslos durchgeführt werden. Bei Anwendungen, die im Einzelhandel bis in die Verbrauchersphäre reichen, müssen diese Abschätzungen auch rückwirkend durchgeführt werden.
  
  
• Kennzeichnung: Bei der Umsetzung der Empfehlungen dürfen die Betreiber von RFID-Anwendungen nicht alleine auf die Kennzeichnung von Lesegeräten verpflichtet werden. Gleichzeitig sind unmissverständliche Kennzeichnungen am Produkt unerlässlich, um die notwendige Transparenz für den Verbraucher herzustellen.
  
  
• Transparenz und freien Zugang zu Information ermöglichen: Zur Absicherung und Erhöhung der Transparenz von Informationen müssen insbesondere die Risiken einer Anwendung klar kommuniziert werden.
  
  
• Selbstbestimmung ermöglichen: Die überprüfbare Deaktivierung muss, wie in der Empfehlung der Kommission bestätigt, als Standard praktiziert werden ("opt-in") - auch in den Fällen, in denen die Datenschutzfolgeabschätzung zu einem unbedenklichen Ergebnis gekommen ist.
  
  
• Angemessene Ausstattung für Datenschutzbeauftragte: Damit die zuständigen Datenschutzaufsichtsbehörden die Datenschutzfolgeabschätzung spätestens sechs Wochen vor Inbetriebnahme der Systeme vornehmen können, müssen sie entsprechend mit finanziellen und personellen Ressourcen ausgestattet werden.
  
  
• Aufklärungspolitik verbessern: Alle relevanten Akteure (Wirtschaft, Bund und Länder, Verbraucherorganisationen) müssen eine aktive Rolle bei der Sensibilisierung der Öffentlichkeit übernehmen.                                                                                                                                       mehr unter http://www.vzbv.de/start/index.php?page=themen&bereichs_id=1&themen_id=4&dok_id=1009&task=dok