Das erschwert die Abfassung eines Textes, der die Kunden über Inhalt und Ausmaß der von ihnen erhobenen, beim Unternehmen gespeicherten und genutzten Daten informiert. Diese Aufgabe dürfte deshalb für die Realisierung eines erfolgreichen RFID-gestützten Systems immer wichtiger werden. Hier müssen IT-Verantwortliche, Marketing-Experten und Juristen eng zusammenarbeiten. Nur so kann der Informationstext sowohl den Interessen des Unternehmens als auch dem Recht des Einzelnen auf informationelle Selbstbestimmung gerecht werden.
Die Einwilligung wird dem Kunden oft mit der Teilnahme an einem Bonusprogramm entlockt. Dabei ist jedoch Folgendes zu beachten: Steht die datenschutzrechtliche Einwilligung und die damit verbundene Aufklärung des Kunden im Zusammenhang mit anderen Erklärungen, so müssen gemäß Paragraf 4a, Absatz 1, Satz 4 des BDSG sowohl der Aufklärungstext als auch die Einwilligung des Kunden von den übrigen Bestimmungen des Teilnahmeantrages getrennt und drucktechnisch hervorgehoben werden. Mit dieser formalen Anforderung will der Gesetzgeber vermeiden, dass Einwilligungen unbewusst erteilt oder untergeschoben werden.
Nicht durch die Erlaubnistatbestände im BDSG-Paragraf 28, Absatz 1, Nummern 1 oder 2 gedeckt ist gemäß herrschender Meinung das Durchsuchen vorhandener Kundendaten nach Entsprechungen, also das Data Mining, bei dem innerhalb einer Data-Warehouse-Lösung die aus verschiedenen Quellen bezogenen Daten kombiniert, nach Profilrastern ausgewertet und zu hochwertigen Kundendossiers zusammengefasst werden. Wer das tun wollte, müsste auch hierfür die Einwilligung der Betroffenen einholen. Über eine beabsichtigte Verknüpfungen und Auswertungen im Rahmen des Data Mining ist die Kundschaft vorab zu informieren.
Je nach Einsatzgebiet der RFID-Chips stellt sich auch noch die Frage, ob sie nach Erfüllung ihres ursprünglichen Einsatzzwecks (beispielsweise des Kassiervorgangs oder des Stadion- beziehungsweise Skilifteinlasses) deaktiviert werden müssen. Dies ist vom Gesetzgeber nicht ausdrücklich vorgeschrieben. Doch ohne Deaktivierung besteht - je nach Sendereichweite und Lebensdauer des Chips - das Risiko, dass Dritte diese Daten erneut auslesen. In Kombination mit vorhandenen eigenen oder mit anderswoher bezogenen Daten könnten sie wiederum personenbezogene Datenbestände erzeugen.
