Unternehmen und Behörden dürfen RFID-Chips nur nach einer Datenschutz-Folgenabschätzung (DSFA) einsetzen. Bereits seit 2011 gilt eine Selbstverpflichtung, wodurch für Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen wurde. Seit 2018 ist die Pflicht zur Datenschutz-Folgenabschätzung sogar gesetzlich in der Datenschutz-Grundverordnung (DSGVO) verankert.
Datenschutzbedenken bei der RFID-Technik
RFID-Chips sind vor allem aus der modernen Logistik nicht mehr wegzudenken. Aber sie werden nicht nur beim Warentransport eingesetzt, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren sowie zur Kennzeichnung von Fahrzeugen oder Nutztieren. Weil mit der RFID-Technik Daten berührungslos, unauffällig und zuverlässig übertragen werden können, wachsen die Anwendungsgebiete beständig.
Es verwundert allerdings nicht, dass die RFID-Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen.
Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher bereits 2011 gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgenabschätzung durchzuführen. Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie die jeweilige Eintrittswahrscheinlichkeit für die Risiken ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.
Die Vorgehensweise für die Folgenabschätzung ist im „Privacy Impact Assessment Framework“ (PIA) festgeschrieben.
Beim Einsatz von RFID folgt die Pflicht zur DSFA schnell aus der DSGVO
Seit Anwendbarkeit der DSGVO regelt Art. 35 DSGVO regelt die Datenschutz-Folgenabschätzung. Er sieht eine DSFA in den Fällen vor, in denen eine Verarbeitung ein hohes Risiko für Betroffene darstellen kann. Zur konkreten Anwendung dieser offen formulierten Pflicht sind die Aufsichtsbehörden gehalten, Listen mit Verfahren herauszugeben, die zwingend der DSFA unterliegen (siehe die Blacklist der DSK für DSFA).
Sieht man sich diese Liste an, landet man beim Einsatz von RFID je nach Einsatzszenario schnell Treffer:
- Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
- Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten zu bestimmten Zwecken
- Erfassung personenbezogener Daten in öffentlichen Bereichen durch mehrere Erfassungssysteme, die zentral zusammengeführt werden
- Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen
- Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten
- Erstellung von Profilen über Interessen und persönliche Beziehungen sowie Persönlichkeit von Menschen
- Erhebung personenbezogener Daten über Schnittstellen elektronischer Geräte ohne Kenntnis des Betroffenen
- Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
Die DSGVO erzeugt damit im Zweifel ohnehin die Pflicht, eine DSFA vor dem Einsatz von RFID-Chips durchzuführen. Die Selbstverpflichtung war vorausschauend, ist nun aber gar nicht mehr notwendig, da die Pflicht nun direkt aus dem Datenschutzrecht folgt.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.