Schaar sagte in einer Presseerklärung anlässlich der Übergabe seines Tätigkeitsberichts für den Zeitraum 2003/04 an den Präsidenten des Deutschen Bundestages, Wolfgang Thierse, am 19. April 2005: "Der Schutz personenbezogener Daten hat sich inzwischen sowohl in Deutschland als auch international etabliert." Das Recht auf informationelle Selbstbestimmung "ist als Grundrecht anerkannt und wird grundsätzlich respektiert."

Mit seinem "grundsätzlich" drückte Schaar aber implizit auch Bedenken aus. Der Tätigkeitsbericht zeige nämlich auch, dass der Schutz dieses Grundrechts angesichts des rasanten technologischen Fortschritts und anderer Entwicklungen "ständig vor neuen Herausforderungen steht".

RFID im Fadenkreuz der Kritik

Ins Fadenkreuz der Kritik des deutschen Datenschutzbeauftragten geriet auch die "neue Technologie RFID".

Schon in naher Zukunft würde RFID den heutigen Strichcode verdrängen und "in viele Bereiche des täglichen Lebens Einzug halten". So ist geplant, RFID unter anderem auch zur Speicherung biometrischer Merkmale in Reisepässen einzusetzen. Schaar befürchtet, dass die "allgegenwärtige" Datenverarbeitung mittels RFID in naher Zukunft bereits Realität sein könnte.

Ganz konkret wird der oberste deutsche Datenhüter, wenn es um Eingriffsmöglichkeiten in die Privatsphäre der Bundesbürger unter Zuhilfenahme von RFID-Techniken geht. Die Befürchtungen, so Schaar, seien groß, dass beispielsweise das Einkaufsverhalten von Kunden ausspioniert und unbemerkt detaillierte Kauf- oder Bewegungsprofile erstellt werden. Dies sei möglich, wenn in Produkten RFID-Tags eingearbeitet werden, die unter anderem eine eindeutige Seriennummer besitzen und die sich entsprechend eindeutig identifizieren lassen.

Schaar fordert insbesondere bei der großflächigen Einführung von RFID-Techniken im Handel Aufklärungs- und Schutzmaßnahmen für Bürgerinnen und Bürger. Grundsätzlich besteht nach Meinung des Datenschützers die Gefahr, RFID-Systeme würden personenbezogene oder personenbeziehbare Daten speichern, ohne dass Verarbeitungsvorgänge ausreichend transparent werden. Noch problematischer sei, dass Dritte die via RFID-Technik gesammelten Daten auslesen oder verändern können. Der Nutzer, dessen persönliche Daten solchermaßen ausspioniert werden, habe keine Chance, diesen Klau zu bemerken. Noch viel weniger habe er die Möglichkeit, ihn zu verhindern.

Im Prinzip - so kann man die Kritik Schaars verstehen - ist der Bürger beim zu erwartenden flächendeckenden Einsatz von RFID-Techniken schutzlos dem Diebstahl seiner persönlichen Daten ausgesetzt.

RFID - Einfallstor für Datenklau?

Daten auf RFID-Tags sind, argumentiert der Datenschutzbeauftragte, wegen der "kontaktlosen Kommunikation weiteren Gefahren ausgesetzt". Dies unterscheide RFID etwa von Mikrochips, die über Kontakte der Leiterbahnen mit einem Schreib-/ Lesegerät kommunizieren. Entsprechend kommt der Absicherung des Datenaustausches via RFID eine besondere Bedeutung bei. Andernfalls können Daten von Dritten "initiiert, abgehört oder manipuliert werden", mahnt Schaar.

Auch lässt sich der Inhalt von Tags unbemerkt abfragen. Denn RFID-Systeme signalisieren zum einen nicht, wenn es zu unautorisierten Lesevorgängen kommt. Sie besitzen zum anderen auch keine Mechanismen, um sich entweder temporär oder endgültig selbst zu deaktivieren.

Damit nicht genug, warnt Schaar vor der Gefahr, dass RIFD-Tags "wegen ihrer geringen Abmessungen nicht als solche erkannt werden oder bereits unkenntlich in Produkte eingearbeitet sind." So könnten auch Lesegeräte in alltägliche Gegenstände, etwa in Türrahmen, integriert werden.

Verschämt hinter vorgehaltener Hand geben etwa Fachleute aus der Bekleidungsindustrie zu, dass solch ein Szenario Wirklichkeit werden kann. Schaar betont in diesem Zusammenhang, beim Einsatz von RFID komme der Verknüpfung mit Hintergrunddatenbanken eine besondere Rolle zu. Gebe beispielsweise ein Kunde bei einem Bezahlvorgang seine Identität preis, indem er etwa mit einer Kunden-, EC- oder Kreditkarte bezahlt, so könne der Personenbezug über den im Artikel angebrachten RFID-Tag hergestellt und gespeichert werden. Die Person, die den via RFID-Kennzeichnung eindeutig identifizierbaren Gegenstand mit sich führt, könnte dann auch von anderen Lesegeräten wegen der eindeutigen Seriennummer des Tags wieder erkannt werden.

Solcherlei Überwachungsmöglichkeiten sind keine Hirngespinste. Erste Feldversuche haben im Handel bereits stattgefunden. Bei diesen wurde die Personenüberwachung und -identifikation an den Einsatz von Videokameras gekoppelt, um so einen eindeutigen Personenbezug herstellen zu können.

Der Einsatz von RFID muss, fordert der Datenschutzbeauftragte, für die Betroffenen transparent erfolgen. "Unzulässig wäre es, wenn RFID-Tags versteckt angebracht und verdeckt ausgelesen werden, Daten der RFID-Chips aus verschiedenen Produkten mit personenbezogenen Daten zusammengeführt oder Verhaltens-, Nutzungs- und Bewegungsprofile erzeugt und gespeichert werden."

Nur durch einen transparenten Umgang mit dieser Technologie könnten auch zukünftig die in den Datenschutzgesetzen geforderte Zweckbindung, Datensparsamkeit und Vertraulichkeit bei der Verarbeitung personenbezogener Daten sichergestellt werden. Bei der Verwendung von RFID-Techniken, die eine Verarbeitung von Daten ähnlich einer Smartcard ermöglichen, greifen bereits Regelungen des Bundesdatenschutzgesetzes (BDSG).

Gesetzliche Regelung notwendig

Bei einfachen RFID-Systemen mit unlöschbarer Seriennummer findet das BDSG allerdings keine direkte Anwendung, sofern keine Verknüpfung mit personenbezogenen Identifikationsdaten erfolgt. Hier sei aus Datenschutzsicht eine gesetzliche Kennzeichnungspflicht von Produkten, die RFID-Tags enthalten, sowie eine Kennzeichnung von Lese-/Schreibgeräten angemessen, meint Schaar. Außerdem müssten die Kommunikationsvorgänge kenntlich gemacht werden. Grund für Schaars Forderung: Es bestünde immer die Möglichkeit, dass der Personenbezug nachträglich und auch durch unberechtigte Dritte hergestellt werden würde.

Schaar hält zur Gewährleistung des Rechts auf informationelle Selbstbestimmung eine gesetzliche Regelung im BDSG für notwendig.