EU gibt Datenschutzempfehlungen für RFID-Technologie

Der Einsatz von RFID-Chips sollte datenschutzfreundlich erfolgen. Das empfiehlt die EU-Kommission. Sie will mit ihrer Empfehlung dafür sorgen, "dass die 'Strichcodes des 21. Jahrhunderts' die Privatsphäre nicht verletzen".

EU-Kommissarin Viviane Reding, in Brüssel zuständig für Informationsgesellschaft und Medien, erklärte dazu: "Als vielversprechende Technologie für die Zukunft können RFID-Chips das Leben in vielerlei Hinsicht vereinfachen. Es geht dabei um Gegenstände des Alltags, die durch Verbindung mit einem Netzwerk und Datenübertragung plötzlich intelligent werden ... Die Europäer müssen über die Anwendung der neuen Technologie allerdings stets unterrichtet sein. Deshalb hat die Kommission heute eindringliche Empfehlungen an die Wirtschaft gerichtet. Wenn es um personenbezogene Daten geht, müssen die europäischen Verbraucher die Gewissheit haben, dass ihre Privatsphäre auch in einem sich verändernden technischen Umfeld geschützt bleibt."

Die EU-Kommission hat sich zur Umsetzung der Datenschutzziele auf vier Grundsätze verständigt, auf die sie RFID-Anwender verpflichten will. Um den Verbraucher über den Einsatz von RFID-Chips in Produkten zu informieren, soll ein europaweit einheitliches Hinweiszeichen eingeführt werden.

Opt-in-Prinzip

Beim Einkauf gilt das Opt-in-Prinzip. Wenn die Käufer es nicht ausdrücklich anders verlangen, sollen RFID-Chips spätestens beim Verlassen des Geschäfts automatisch deaktiviert werden. Entscheiden sich Käufer gegen die Deaktivierung, so "sollten den Verbrauchern einfache und klare Informationen bereitstehen, damit sie verstehen, wann welche personenbezogenen Daten (zum Beispiel Name, Adresse, Geburtsdatum) zu welchem Zweck verwendet werden." Darüber hinaus sind Anlaufstellen einzurichten, wo die Käufer weitere Informationen erhalten können. Diese Bestimmungen sollen auch für Behörden gelten, die RFID-Chips einsetzen.

Ausnahmen sind zulässig, beispielsweise um "unnötige Belastungen der Einzelhändler zu vermeiden". Dann müssen aber vorher die Auswirkungen auf den Datenschutz untersucht werden.

Schließlich werden Unternehmen und Behörden dazu aufgerufen, vor dem RFID-Einsatz "Folgenabschätzungen zum Datenschutz durchzuführen". Diese Untersuchungen sollen von den nationalen Datenschutzbehörden überprüft werden. Die EU-Kommission lässt den Mitgliedsstaaten zwei Jahre Zeit, sie über die geplanten, nationalen Maßnahmen zur Umsetzung der Empfehlungen zu unterrichten.

In der Praxis dürften die Datenschutzbehörden mit dieser Aufgabe heillos überfordert sein. Ihre personelle Ausstattung reicht schon heute nicht aus, um die Einhaltung der Datenschutzbestimmungen in Behörden und Unternehmen zu gewährleisten. Die Datenschutzskandale der jüngsten Vergangenheit belegen das nachdrücklich. Wie die Datenschutzbehörden den von der EU-Kommission erwarteten Einsatz von Abermilliarden RFID-Chips kontrollieren können sollen, steht in den Sternen. [Robert A. Gehring]