Die Radio Frequency Identification (RFID) ist in die Kritik von Datenschutzexperten geraten. Eine aktuelle Bestandsaufnahme zeigt, dass der Datenschutz auf vielen Einsatzfeldern von RFID-Chips keine Rolle spielt. Doch es gibt einige signifikante Ausnahmen.

Datenschutzrechtlich irrelevant sind die RFID-Chips, wenn sie - wie im Allgemeinen schon die Barcodes - nur auf Verpackungen, Paletten oder Gitterboxen, Gepäckstücken oder Paketen in Flughäfen und Frachtzentren angebracht werden, ohne dass damit die Identifikation einer natürlichen Person möglich oder verbunden ist. Die dabei ausgelesenen Daten sind hier ausschließlich gegenstandsbezogen und lassen sich rechtlich den Unternehmen zuzuordnen, die als Eigner der jeweiligen logistischen Prozesse fungieren.

Weitreichende Perspektiven

Doch technisch ist es heute schon möglich, mit Hilfe von RFID-Chips personenbezogene Daten zu erheben und über die ursprünglichen Zwecke hinaus zu verwenden. Auf der Grundlage von Barcodes lassen sich lange schon Produkt- mit Kundendaten automatisiert verknüpfen. Allerdings müssen Barcodes stets neu eingelesen werden, wobei das Risiko von Fehlerkennungen besteht. Bei der RFID-Technologie mit ihren quasi sprechenden Chips hingegen entfallen der Lesevorgang und die Umsetzung des dabei erzeugten optischen Bildes in verarbeitungsfähige Daten. Die von RFID-Chips ausgesendeten Daten lassen sich unmittelbar in IT-Systemen verarbeiten. Und anders als beim Lesen von Barcodes ist es bei RFID-Chips auch nicht mehr notwendig, dass eine Sichtbeziehung zwischen Barcode und Lesegerät besteht.

Das eröffnet insbesondere dem Handel weitreichende Perspektiven. Auch wenn dieses Thema noch nicht im Fokus aktueller Überlegungen steht, so sollte man einmal gedanklich durchspielen, was es datenschutzrechtlich bedeutete, wenn Produktdaten mit Kundeninformationen gekoppelt würden. Als Einsatzfelder bieten sich beispielsweise an: das Erstellen von Konsumentenprofilen, die Kundenidentifikation am Point of Sale, Bewegungsbilder der Konsumenten oder kundenbezogene Ansprachen am Point of Sale über Ohrstöpsel oder Handheld-Geräte. Beträte ein mit einem RFID-Chip versehener Kunde den Laden, könnte er in Sekundenschnelle identifiziert werden. Das Verkaufspersonal erhielte dann ein Kundenprofil mit dem Ziel, die Beratung zu individualisieren. Für solche Einsatzzwecke müssten RFID-Chips allerdings eine deutlich höhere Sendereichweite aufweisen und darüber hinaus wesentlich kostengünstiger hergestellt werden können, als es heute der Fall ist.

Nur in Ausnahmefällen erlaubt

Wenn diese Vision Realität wird, dann wird der Datenschutz im Hinblick auf die RFID-Technik große Bedeutung erlangen. Das ist den Unternehmen, die an der Spitze der RFID-Entwicklung stehen, auch durchaus bewusst.

Generell dienen die europaweit geltenden datenschutzrechtlichen Bestimmungen zur Verwirklichung des in Deutschland sogar mit Grundrechtsrang versehenen Rechts auf informationelle Selbstbestimmung. Danach soll der Einzelne wissen, wer was über ihn weiß. Um diesem Selbstbestimmungsrecht Geltung zu verschaffen, sind alle Datenschutzbestimmungen als Verbote mit Erlaubnisvorbehalt gestaltet. Das für die Verarbeitung von personenbezogenen Daten auch durch private Unternehmen einschlägige Bundesdatenschutzgesetz (BDSG) enthält daher in seinem Paragraf 4 folgenden Grundsatz: Die Erhebung, Verarbeitung, Nutzung und Übermittlung personenbezogener Daten ist nur zulässig, soweit eine Rechtsvorschrift dies erlaubt oder gar anordnet beziehungsweise wenn der Betroffene eingewilligt hat.

Dazu ein Beispiel: Wenn ein RFID-Chip beispielsweise in eine Kundenkarte integriert ist, so lässt sich der Kunde identifizieren, sobald er ein am Eingang des Einzelhandelsgeschäfts installiertes Lesegerät passiert. Sind im Laden weitere Reader aufgestellt, so kann die Anwesenheit des Kunden einschließlich der jeweiligen Verweildauer festgestellt und so ein Bewegungsprofil im Laden erzeugt werden. Auf diese Weise wären Präferenzen für einzelne Produkte, zumindest aber die Aufmerksamkeit des Kunden für bestimmte Warenpräsentationsformen oder Werbeaushänge feststell- und speicherbar. Die Erhebung sowie die weitere Nutzung und Verarbeitung dieser Daten ist weder für die Abwicklung des Kaufgeschäfts im Laden noch beispielsweise für die Teilnahme des Kunden an einem Bonusprogramm erforderlich. Folglich sind hierfür auch keine gesetzlichen Erlaubnis- oder gar Anordnungstatbestände ersichtlich (wie im BDSG-Paragraf 28, Absatz 1, Nummern 1 oder 2 enthalten).

Innerhalb der gezogenen Grenzen

Wer solche kundenbezogenen Daten dennoch erheben, speichern, nutzen und weiterverarbeiten will, braucht die schriftliche Einwilligung des Kunden. Sie kann gemäß Paragraf 4a, Absatz 1, des BDSG nur dann wirksam erteilt werden, wenn der Kunde zuvor informiert wurde, welche Daten von ihm zu welchen Zwecken erhoben, gespeichert und verarbeitet werden. Gegebenenfalls muss er auch erfahren, an wen die Daten - zum Beispiel innerhalb des Konzerns - übermittelt werden. Erst aufgrund dieser Informationen kann der Kunde nach Auffassung des Gesetzgebers frei und bewusst entscheiden, ob er dem Einzelhändler seine Einwilligung erteilen will.

Auch wenn der Kunde einverstanden ist, darf das Handelsunternehmen diese Daten nach dem "Zweckbindungsgrundsatz" des Datenschutzrechts nur in den durch diese Einwilligung und die vorausgehenden Informationen gezogenen Grenzen erheben und weiterverarbeiten. Jede spätere Speicherung, Nutzung und Verarbeitung der Daten muss ebenfalls in diesem Rahmen bleiben. Daran ändert sich auch nichts, wenn neue Möglichkeiten der Verarbeitung und Nutzung entstehen oder sich aus Sicht des Unternehmens zusätzliche Einsatzfelder ergeben.

Schwierige Formulierungen

Das erschwert die Abfassung eines Textes, der die Kunden über Inhalt und Ausmaß der von ihnen erhobenen, beim Unternehmen gespeicherten und genutzten Daten informiert. Diese Aufgabe dürfte deshalb für die Realisierung eines erfolgreichen RFID-gestützten Systems immer wichtiger werden. Hier müssen IT-Verantwortliche, Marketing-Experten und Juristen eng zusammenarbeiten. Nur so kann der Informationstext sowohl den Interessen des Unternehmens als auch dem Recht des Einzelnen auf informationelle Selbstbestimmung gerecht werden.

Die Einwilligung wird dem Kunden oft mit der Teilnahme an einem Bonusprogramm entlockt. Dabei ist jedoch Folgendes zu beachten: Steht die datenschutzrechtliche Einwilligung und die damit verbundene Aufklärung des Kunden im Zusammenhang mit anderen Erklärungen, so müssen gemäß Paragraf 4a, Absatz 1, Satz 4 des BDSG sowohl der Aufklärungstext als auch die Einwilligung des Kunden von den übrigen Bestimmungen des Teilnahmeantrages getrennt und drucktechnisch hervorgehoben werden. Mit dieser formalen Anforderung will der Gesetzgeber vermeiden, dass Einwilligungen unbewusst erteilt oder untergeschoben werden.

Nicht durch die Erlaubnistatbestände im BDSG-Paragraf 28, Absatz 1, Nummern 1 oder 2 gedeckt ist gemäß herrschender Meinung das Durchsuchen vorhandener Kundendaten nach Entsprechungen, also das Data Mining, bei dem innerhalb einer Data-Warehouse-Lösung die aus verschiedenen Quellen bezogenen Daten kombiniert, nach Profilrastern ausgewertet und zu hochwertigen Kundendossiers zusammengefasst werden. Wer das tun wollte, müsste auch hierfür die Einwilligung der Betroffenen einholen. Über eine beabsichtigte Verknüpfungen und Auswertungen im Rahmen des Data Mining ist die Kundschaft vorab zu informieren.

Je nach Einsatzgebiet der RFID-Chips stellt sich auch noch die Frage, ob sie nach Erfüllung ihres ursprünglichen Einsatzzwecks (beispielsweise des Kassiervorgangs oder des Stadion- beziehungsweise Skilifteinlasses) deaktiviert werden müssen. Dies ist vom Gesetzgeber nicht ausdrücklich vorgeschrieben. Doch ohne Deaktivierung besteht - je nach Sendereichweite und Lebensdauer des Chips - das Risiko, dass Dritte diese Daten erneut auslesen. In Kombination mit vorhandenen eigenen oder mit anderswoher bezogenen Daten könnten sie wiederum personenbezogene Datenbestände erzeugen.

Mindestens Ordnungswidrigkeit

Rechtlich wäre dies eine erneute Datenerhebung, für die weder eine gesetzliche Grundlage bestünde noch eine Einwilligung des Betroffenen vorläge. Das erneute Auslesen solcher Daten wäre also datenschutzrechtlich unzulässig und damit - wie jede wesentliche Zuwiderhandlung gegen datenschutzrechtliche Vorschriften - mindestens eine Ordnungswidrigkeit (nach Paragraf 43, Absatz 2, Nummer 1, BDSG). In einigen Fällen - bei Datenerhebungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern beziehungsweise einen anderen zu schädigen - wäre es sogar strafbar. Gemäß Paragraf 44 des BDSG könnte dies mit einer Geldstrafe oder einer Freiheitsstrafe bis zu zwei Jahren geahndet weden. Das Bußgeld für eine Ordnungswidrigkeit kann immerhin bis zu 250 000 Euro betragen. Das wäre aber fast "Kleingeld" im Vergleich zu dem Imageschaden, der entstünde, wenn eine planmäßige Außerachtlassung datenschutzrechtlicher Bestimmungen öffentlich ruchbar würde und das betreffende Unternehmen für negative Schlagzeilen sorgte.

Für das Unternehmen, das ursprünglich den RFID-Chip angebracht und aktiviert hat, scheidet eine Strafbarkeit oder Ordnungswidrigkeit im Hinblick auf nachgelagerte Auslesevorgänge in der Regel aus. Ihm fehlt der hierfür erforderliche Vorsatz. Eine proaktive Wahrung des Rechts auf informationelle Selbstbestimmung erforderte es aber, dass Deaktivierungsgeräte zur Verfügung gestellt und die Kunden auf die Nutzung und die Handhabung dieser Geräte hingewiesen werden.

Alle an einer RFID-unterstützten Lieferkette Beteiligten sollten die Art und Weise der Nutzung der so generierten Daten miteinander vereinbaren und im Hinblick auf datenschutzrechtliche Risiken gegebenenfalls Selbstverpflichtungen eingehen, beispielsweise zum Aufstellen von Deaktivierungsgeräten. Die Inhalte solcher Selbstverpflichtungen hängen von den individuellen Absichten und Interessen der Beteiligten ab. (qua)