2005/05/06 Datenschutzrechtliche Implikationen beim RFID-Einsatz
RFID (Radio Frequency IDentification) wird immer wieder als Allheilmittel einer Fülle von Logistik-Problemen gepriesen - Sinnvolle Einsatzmöglichkeiten und totale Überwachung liegen nahe beisammen - Einsatz muss für Beteiligte durchschaubar sein und auf öffentliche Bereiche beschränkt sein - kein Einsatz in Bereichen, die die Privatsphäre berühren
RFID Grundlagen
RFID-Chips (auch RFID-Tags) sind Mikrochips die mit einer Funkantenne ausgestattet sind. Sie senden Informationen an eine Empfangsstation. Dabei unterscheidet man zwischen aktiven und passiven Chips. Die aktiven Chips haben eine eigene Stromversorgung und können abhängig von der Stromquelle auch über größere Distanzen senden (mehrere Meter), passive Chips werden durch die Stromquelle der Empfangsstation aktiviert (vergleichbar einer elektromagnetischen Induktion) und sind in der Regel nur für Leseentfernungen von wenigen Zentimetern ausgelegt, es können jedoch auch bei geeigneter Anordnung einige Meter erreicht werden.
Die Informationen können verschlüsselt oder unverschlüsselt übertragen werden, wobei auch bei einer verschlüsselten Übertragung jedenfalls die Tatsache, dass es sich um einen lesbaren RFID-Chip handelt abgerufen werden kann.
RFID-Chips erlauben es flächendeckend Personen und Objekte (RFID-Träger) technisch zu individualisieren und damit registrierbar, verfolgbar und kontrollierbar zu machen. Im Gegensatz zu biometrischen Identifikationen, die nicht ausgereift sind, sehr schlechte Erkennungsraten haben, fehleranfällig sind und leicht zu umgehen sind, können RFID-Chips als ausgereift, leicht einsetzbar, billig und die anfallenden Daten leicht auswertbar angesehen werden.
Der zentrale Vorteil der RFID-Chips ist das berührungslose Lesen der auf ihnen gespeicherten Informationen, wodurch Logistik- und Transportprozesse rationeller gestaltet. Die Lagerhaltung oder Stückgutverfolgung lassen sich leicht automatisieren. Die zu lesenden Informationsmengen sind in der Regel sehr gering, meist nur die eindeutige Kennung des RFID-Chips, alle weiterführenden Informationen, wie bei Personen die Personaldaten oder bei Produkten die Produkt-, Hersteller-, Liefer- und Verkaufsdaten sind in zentralen Datenbanken hinterlegt.
Wird die RFID-Kennung gelesen kann mit den Informationen Kennung, Zeitpunkt des Lesevorgangs und Angabe der Gerätenummer, die die Ablesung durchführt, eindeutig festgestellt werden wo sich der RFID-Träger aufhält, durch die Aneinanderreihung der Ablesepunkte desselben RFID-Trägers läßt sich ein mehr oder minder genaues Bewegungsprotokoll erstellen. Aber auch die Erstellung eines Aufenthaltsprotokolls, das heißt wie lange sich ein Träger an einem bestimmten Ort aufgehalten hat, ist möglich.
RFID zur Logistikunterstützung
In der Lagerwirtschaft und der Transport lagen die ursprünglichen Einsatzgebiete für RFID-Chips.
Sowohl Lagerort als auch Lagerdauer einer Ware lassen sich leicht, ohne lageveränderung der Ware auswerten. Inventurläufe lassen sich von mehreren Wochen auf wenige Stunden reduzieren. Da in einem Lager eine personenbezogene Zuordnung der Waren typischerweise fehlt, sind auch keine datenschutzrelevanten Probleme zu erwarten.
Immer mehr Speditionen bieten für die Warenzustellung eine Stückgutkontrolle an, die typischerweise mit RFID-Chips realisiert werden kann. Sowohl der Spediteur, die beauftragten Subunternehmer, als auch der Absender bzw. der Warenempfänger können dann feststellen, welcher Kontrollpunkt zu welchem Zeitpunkt durchlaufen wurde. Hier ergeben sich eine Fülle datenschutzrechtlicher Implikationen.
Zum einen ist die Ware mit den Absender- und Empfängerdaten verknüpft, es läßt sich also feststellen, wer wem etwas geschickt hat, welche Beziehungen bestehen. Informationen die auch für Dritte von Interesse sind, seien es etwa Mitbewerber, die auf diese Art Kundendaten ausspähen könnten oder Überwachungsstellen, die private oder geschäftliche Beziehungen zwischen Personen ausspähen wollen. Ein Spediteur wird daher zusätzliche Sicherheitsmaßnahmen treffen müssen, die ein unerwünschtes Auslesen der RFID-Information durch Dritte unterbindet. Insbesondere müßten Vorkehrungen getroffen werden die verhindern, dass die lokalen Subunternehmer und Zusteller, die die RFID-Information im Auftrag der Spedition ermitteln, diese nicht für eigene Zwecke oder für Dritte weiterverwerten.
Weiters sind die Daten auch mit den Mitarbeitern verknüpft, die die Waren tatsächlich transportieren. Hier ist eine neuartige und in dieser Form noch nicht vorhandene Mitarbeiterkontrolle möglich, die arbeitsrechtliche Auswirkungen haben kann. In Österreich wäre eine Verknüpfung von RFID-Daten mit Mitarbeiterinformationen und deren Auswertung vom Betriebsrat gemäß ArbVG §§96, 96a zustimmungspflichtig.
RFID im Supermarkt
Manche Supermarktketten planen, alle Waren mit RFID-Chips auszustatten und damit die Abwicklung an der Kassa weitestgehend zu automatisieren. Die Ware müßte nicht mehr auf ein Förderband gelegt werden, in der Endstufe könnte man ohne eigenen Kassier auszukommen.
Abhängig von der Einsatzform im Supermarkt ergeben sich mehr oder minder umfangreiche Datenschutzprobleme. Besteht eine Möglichkeit die RFID-Informationen mit dem Einkäufer (Konsumenten) zu verknüpfen, kann dies bis zum unerwünschten Ausspähen von Konsum- und Einkaufsgewohnheiten führen.
Einige Supermarktketten planen nicht nur die Waren mit RFID-Chips auszustatten, sondern auch die Einkaufswägen und die Kundenkarten. Auf diese Weise wäre es möglich nicht nur die gekauften Waren Personen zuzuordnen, sondern auch das Einkaufsverhalten zu studieren: In welcher Reihenfolge werden Waren gekauft? Wie lang wird vor einem Regal verweilt und trotzdem nichts gekauft? Welche Waren werden wieder zurückgelegt? Werden Sonderangebote wahrgenommen? ...
Fragen über Fragen, die mit der RFID-Technologie beantwortbar werden und letztlich zur Optimierung des Verkaufs führen, was nicht immer eine optimale Lösung für den Konsumenten bedeutet. Spezialwaren verschwinden aus den Regalen, bestimmte Produkte sind nur ab bestimmter Mengen oder in bestimmten Kombinationen erhältlich usw.
Einige US-Shops und deutsche Supermärkte haben schon mit derartigen Analysen begonnen.
Ein weiteres Datenschutzproblem ergibt sich bei den RFID-Tags, wenn sie nach dem Einkauf weiter aktiviert bleiben. Sie könnten dann von "smarten" Geräten gelesen und interpretiert wrden. Das übliche Beispiel ist der "denkende" Kühlschrank, der anzeigt, welche Waren fehlen oder zur Neige gehen oder auch schon abgelaufen sind. Aber auch die "denkende" Mülltonne wäre denkbar, die registeriert, wenn die falsche Verpackung eingeworfen wird. Bei technischen Geräten, wie Kühlschränken oder Bildschirmen könnte auf diesem Weg der komplette Nutzungs- und Entsorgungszyklus überwacht werden. Was besonders problematisch wird, wenn diese Waren von einer Person gekauft werden, von einer anderen jedoch genutzt werden oder weitergegeben werden. Neben dem Ausspähen der Privatsphäre wäre auch die Kontrolle über Weitergabe und Schenkungen denkbar. Eingriffe ein eine Fülle von bürgerlichen Rechten könnten die Folge sein.
Mangels tatsächlicher Einsätze existieren jedoch noch keine Erfahrungen über derartige Missbrauchsmöglichkeiten der Daten.
Soweit RFID-Chips auch zur Diebstahlssicherung verwendet werden droht den Konsumenten weiteres Ungemach. Nicht korrekt deaktivierte Chips könnten in anderen Geschäften Fehlalarme auslösen und so die Konsumenten unter Diebstahlsverdacht bringen.
Grundsätzlich sollte sichergestellt werden, dass Einrichtungen, die der Nahversorgung dienen, immer auch anonym genutzt werden können (also die Bezahlung mit Bargeld und ohne Kundenkarte möglich ist) und diese Nutzung nicht preislich diskriminiert wird. Weiters sollten alle RFID-Chips nach Bezahlung der Ware dauerhaft deaktiviert (zerstört oder überschrieben) werden, ausgenommen der Kunde wünscht ausdrücklich, dass die RFID-Informationen erhalten bleiben.
RFID bei Kongressen, Großveranstaltungen und Freizeitanlagen
Ein großes Einsatzgebiet sind RFID-Tags bei Kongressen. Hier werden die RFID-Chips in den Namensschildern oder -umhängern eingebaut.
Besonders bei Großkongressen, etwa für Ärzte, die von Unternehmen gesponsert werden, besteht großes Interesse, herauszufinden, welcher Vortrag von wem besucht wurde, wie lange der Vortrag besucht wurde, wer vorzeitig die Veranstaltung verlassen hat, wer überhaupt keine Vorträge besucht hat usw.
Damit könnten massiv die Interessen der Teilnehmer überwacht werden, selbst ein Ausspähen, wer sich mit wem getroffen hat, wer sich gemeinsam unterhalten hat, wer im Kongressbuffet gemeinsam gegessen hat usw. wäre möglich. Die Kongresssponsoren könnten auch leicht "schwarze Listen" von Kongresstouristen anfertigen, die sich zwar gern einladen lassen, aber die Veranstaltungen nicht besuchen.
Sofern überhaupt der Einsatz zulässig wäre, müsste die Verwendung der RFID-Chips schon frühzeitig angekündigt werden (spätestens zum Zeitpunkt der Buchung) und es müßte vollständig über die Verwendung informiert werden.
Ähnlich ist die Situation bei sonstigen Großveranstaltungen (etwa Fußballweltmeisterschaften) und bei Freizeitanlagen, wie Skiliften. Gerade bei letzteren muss sichergestellt werden, dass entweder die Nutzung des RFID-Chips als Zutrittskontrolle anonym erfolgt und daher eine Analyse persönlichen Freizeitverhaltens nicht möglich ist oder der RFID-Chip nur eine von mehreren gleichwertigen alternativen Zutrittsmöglichkeiten ist.
Weiters muss sichergestellt werden, dass nicht Dritte die verwendeten RFID-Chips auslesen und auswerten können.
RFID im Büchereiwesen
Von besonderer Sensibilität ist der RFID-Chip im Büchereiwesen. Einerseits kann eine Bücherei als besondere Form des Warenlagers angesehen werden. In diesem Zusammenhang wäre der RFID-Einsatz (siehe oben) unbedenklich.
Andererseits lassen jedoch Aufzeichnungen über die Lesegewohnheiten ganz besonders leicht Rückschlüsse über Interessen und Anschauung der Bibliotheksbenutzer zu. Bei der Behandlung der datenschutzrechtlichen Auswirkungen ist zwischen Freihandnutzung und Entlehnverwaltung zu unterscheiden.
Im Entlehnwesen wäre der RFID-Chip nur ein Ersatz zu bestehenden Barcode- oder Entlehnnummernsystemen. Hier wäre es notwendig, wie bei den meisten Bibliotheken bisher schon gehandhabt, dass Aufzeichnungen zu den entliehenen Büchern nach Rückgabe oder spätestens nach Rückgabe durch den nächsten Entlehner, jedenfalls aber innerhalb eines Jahres gelöscht werden. Eine Aufzeichnung bis zum nächsten Entlehner kann sinnvoll sein, da dieser am ehesten Beschädigungen oder Veränderungen der Bücher erkennt und reklamiert. Umgekehrt ist es der Bibliothek bei selten entlehnten Büchern zuzumuten einmal im Jahr deren Unversehrtheit zu prüfen.
Bei der Freihandnutzung, also der Nutzung im Bibliotheksbereich ist sicherzustellen, dass keine Registrierung der entnommenen Bücher und Zuordnung zum Benutzer erfolgt. Hier könnte aus der Tatsache welche Bücher in welcher Reihenfolge entnommen und wie lange genutzt werden, ein detailliertes Interessensprofil des Benutzers erstellt werden.
RFID in Personaldokumenten (Reisepässen, Kundenkarten, ...)
Als äußerst bedenklich sind Entwicklungen einzustufen, Personaldokumente mit RFID-Chips auszustatten. Einziger Zweck derartiger Produkte ist die Kontrolle der Inhaber und die Möglichkeit der erleichterten Überwachung.
Alle anderen behaupteten Zwecke (Fälschungssicherheit, Bequemlichkeit) können entweder auf andere - datenschutzkonforme - Weise erreicht werden oder sind bloß vorgeschoben. Bequem ist bei enem RFID-Personaldokument nur das unbemerkte Auslesen der Informationen für den Überwacher.
Auch wenn nur passive RFID-Komponenten im Reisepass geplant sind, so lassen sich diese mit etwas höherem technischen Aufwand auch aus mehreren Metern Entfernung auslesen. Damit sind diese Dokumente ideal zur Erstellung privater oder staatlicher Überwachungsprofile. An beliebigen neuralgischen Orten, etwa Eingängen öffentlicher Gebäude, bei Freizeitanlagen (Kinos, Sportanlagen, Museen, Bibliotheken, ...), Verkehrsanlagen (Bahnhöfen, Bussen und Bahnen) aber auch bei Kaufhäusern oder Restaurants könnten unauffällig derartige Lesestationen installiert werden und würden so das perfekte Bewegungsprofil des Dokumententrägers ergeben.
Auch wenn scheinbar auf EU-Ebene der Zug in Richtung RFID-Reisepass "abgefahren" ist, er soll Ende 2006 statt Ende 2005 erscheinen, macht es Sinn auf die negativen Auswirkungen dieser Technik hinzuweisen. Darüber hinaus empfiehlt es sich noch rechtzeitig ein RFID-freies Reisedokument zu beschaffen, dies ist immerhin 10 Jahre gültig und es ist mehr als fraglich ob 2015 noch RFID-Reisepässe im Einsatz sein werden.
Im Bereich der Kundenkarten sollte der Verzicht auf diese Produkte oberstes Gebot sein. Soweit jemand glaubt nicht auf diese Produkte verzichten zu können, wird empfohlen die Kundenkarte unter einem Aliasnamen zu bestellen. Die Zustellung läßt sich meist durch Angabe einer Büroadresse, eines Zweitwohnsitzes oder der Adresse eines Bekannten leicht bewerkstelligen. Die Verwendung eines Aliasnamens ist zulässig, sofern man damit nicht ein Recht in Anspruch nimmt, das man mit seinem richtigen Namen nicht auch hätte.
Zukünftige Entwicklung
Die bisherigen RFID-Einsätze erfolgten in streng kontrollierten, auf Automatisation optimierten Umgebungen, quasi unter "friendly user - Bedingungen". Ob die RFID-Technologie auch in "unfreundlichen" Milieus ihre hochgesteckten Erwartungen erfüllen wird sich erst zeigen. Schon jetzt zeichnet sich eine enorme Fülle von technischen und organisatorischen Störungsmöglichkeiten und Fehlern ab:
- Feldstörungen: Durch Aufbau geeigneter elektromagnetischer Felder wird das Lesen der Chips behindert oder sogar verhindert.
- Störungsresistenz: Es existieren noch geringe Erfahrungen, welche "natürlichen" Sendequellen (etwa Elektromotoren und sonstige elektrische Geräte) die Funktionstüchtigkeit von RFID-Chips beeinträchtigen können.
- Nachbau: Schon jetzt existieren im Internet Angebote, die den Nachbau bestehender RFID-Chips versprechen.
- Änderungssicherheit: Schon jetzt werden Geräte angeboten, die versprechen bestehende RFID-Chips zu ändern bzw. die darauf befindlichen Daten zu löschen.
- Abstrahlungsschutz: Schon relativ einfache Metallhüllen unterbinden die Abstrahlung der leistungsschwachen RFID-Antennen.
- Austausch von RFID-Etiketten: Die Etiketten könnten speziell in Supermärkten gezielt ausgetauscht werden.
- Beschädigung der RFID-Chips: Die Chips weisen eine geringe mechanische Resistenz auf.
- Montage an "falschen" Stellen: Besonders im Bereich des personenorientierten RFID-Einsatzes, etwa bei Symposien oder Kongressen wird es kaum zu verhindern sein, dass die Etiketten in einem Vortragssaal deponiert werden, während der Teilnehmer längst am Sandstrand liegt.
Glaubt man auf den RFID-Einsatz nicht verzichten zu können, sollten zumindest einige Datenschutzmaßnahmen erfüllt sein:
- Transparenter Einsatz: Der Einsatz von RFID-Chips sollte gekennzeichnet werden. Die Kennzeichnung sollte so erfolgen, dass Betroffene noch zeitgerecht entscheiden können, ob sie das entsprechende Angebot nutzen wollen. Zum Beispiel eine Kennzeichnung am Eingang eines Supermarkts oder bei Ankündigung eines Kongresses.
- Offenlegung der Personenbindung: Es soll darüber informiert werden in welcher Form ein Personenbezug hergestellt wird oder hergestellt werden kann und welche Aufzeichnungen und Auswertungen geplant sind.
- Informationsstelle: Es sollte jene Stelle benannt werden, an die man sich bezüglich Auskünfte über personenbezogene Datenaufzeichnungen gemäß DSG 2000 wenden kann.
|
