Datenschutz und RFID

Die meisten Bürger kennen die RFID-Technologie (Radio Frequency Identification) aus den Geschäften, in denen Schreib- und Lesegeräte bei der Kasse aufgestellt sind. Befindet sich ein nicht deaktivierter RFID-Chip noch an oder in einem Produkt, löst das Lesegerät beim Vorbeigehen einen Alarm aus. Solche Chips befinden sich zunehmend an Waren, aber auch in Bahnbilletten, in Bibliotheksbüchern, in Wegfahrsperren von Autos und bei der Fluggepäcksteuerung. Bei der RFID-Technologie besteht insbesondere das Risiko, dass Daten bearbeitet werden können, ohne dass die Betroffenen dies erkennen.

Wir haben in einem Referat an der ETH in Zürich das Thema «Datenschutz und RFID» erläutert. Anfang des Jahrzehnts wurde vermehrt von dieser neuen Technologie gesprochen. Wir waren damals nicht sicher, inwiefern sie durch das DSG abgedeckt ist, und beschlossen deshalb, sie zu analysieren. Die Analyse brachte folgende Erkenntnisse: Die RFID-Technologie ist nicht so neu, wie man dies eigentlich aufgrund der ersten Informationen erwartet hätte. Sie wurde bereits Ende des zweiten Weltkriegs zur Freund-/Feind-Erkennung eingesetzt. RFID kann organisatorisch gesehen als ein «neues» Sachmittel mit speziellen Eigenschaften in einem System, bspw. einer Anwendung, betrachtet werden. Es hat besondere Eigenschaften, welche den Datenschutz beeinträchtigen können.

Ein grundsätzliches Risiko besteht darin, dass die Daten in einem Transponder oder «tag» (RFID-Chip) innert einer gewissen Distanz mit Funkwellen bearbeitet werden können. Dabei ist weder eine Sichtverbindung notwendig, noch müssen die Betroffenen aktiv in den Prozess eingreifen. Mit anderen Worten heisst dies, dass die Datenbearbeitung ohne Wissen der Betroffenen stattfinden kann. Alle Daten, die auf RFID-tags gespeichert sind und nicht zerstört, gelöscht oder speziell geschützt werden, lassen sich durch (versteckte) Lese- und Schreibgeräte lesen oder manipulieren. Werden diese mit Daten aus anderen Quellen vernetzt, besteht das Risiko, dass Einkaufs- oder Bewegungsprofile erstellt werden. Die RFID-tags sind meist in einem System verknüpft mit Netzwerken, Arbeitsplatzgeräten, Servern und weiteren Elementen, so dass man bei der Planung einer datenschutzkonformen RFID-Anwendung (von der Erhebung der Daten bis zu deren Anonymisierung oder Löschung) auch diese betrachten muss. Dabei gilt es, die folgenden wichtigen Vorgaben des Datenschutzes in das zu konstruierende System einfliessen zu lassen:

  • Transparenz: Der Einsatz von RFID-Technologie muss für die betroffene Person erkennbar sein. So kann jede Person beim Inhaber der Datensammlung ihr Auskunftsrecht geltend machen, und wer ein schutzwürdiges Interesse hat, kann verlangen, dass er die Daten korrigiert, sperrt oder löscht oder einen Vermerk anbringt. Der Inhaber der Datensammlung muss das System angemessen dokumentieren. Je sensitiver die bearbeiteten Personendaten oder der Zweck der Datenbearbeitung, umso detaillierter sollte die Dokumentation sein. Ohne sie besteht keine Transparenz und ist - neben mangelnder Steuerbarkeit solcher Systeme - die Datenschutzkonformität nicht gegeben.
  • Zweckbindung: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
  • Verhältnismässigkeit: Die Systeme sind so zu gestalten, dass man für die Aufgabenerfüllung möglichst wenige Personendaten benötigt. Wenn möglich sollen anonymisierte Daten verwendet werden; wenn kein Personenbezug mehr vorhanden ist, ist das DSG nicht mehr anwendbar. Sofern es in einzelnen Fällen eine Identifikation der Personen braucht, sind die Systeme so zu gestalten, dass man mit Pseudonymen arbeiten kann. Im Weiteren sind all jene Daten zu löschen, die für den Zweck der Datenbearbeitung nicht mehr notwendig sind.
  • Rechtmässigkeit: Die Datenbearbeitung darf kein Recht verletzen, also weder das DSG noch andere Gesetze oder Verordnungen. Private Personen dürfen Personendaten bearbeiten, wenn sie einen Rechtfertigungsgrund haben. Dies kann eine Rechtsgrundlage, eine Einwilligung des Betroffenen oder ein überwiegendes öffentliches oder privates Interesse sein.
  • Einwilligung: Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Personen erforderlich, so ist diese erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Dies bedeutet unter anderem, dass man dem Betroffenen mitteilen muss, welche Daten man wo und wie bearbeitet und wann sie gelöscht werden. Im Weiteren muss bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen die Einwilligung ausdrücklich erfolgen. Dies kann mündlich oder schriftlich geschehen. Weil eine mündliche Zustimmung meist schwierig zu beweisen ist, empfehlen wir normalerweise, die ausdrückliche Einwilligung schriftlich einzuholen. Im Weiteren hat der Betroffene das Recht, seine Einwilligung für die Datenbearbeitung jederzeit zu widerrufen.
  • Datensicherheit: Personendaten sind insbesondere gegen unbefugte Datenbearbeitung und technische Fehler mit Hilfe angemessener technischer und organisatorischer Massnahmen zu schützen. Insbesondere Systeme, welche besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder sensitiven Zwecken dienen, gilt es, dem Stand der Technik entsprechend zu schützen. Es ist dafür zu sorgen, dass insbesondere die Vertraulichkeit, Verfügbarkeit und Integrität der Daten gewährleistet ist.
  • Kontrolle: Kontrollen schaffen Vertrauen. Diese Kontrollen können sowohl durch interne Mitarbeiter als auch durch externe Auftragnehmer wahrgenommen werden. Um den Datenschutz und die Daten- oder Informationssicherheit zu verbessern, sind künftig unabhängige Zertifizierungsorgane vorgesehen, welche die jeweiligen Systeme beurteilen werden.
https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/17--taetigkeitsbericht-2009-2010/datenschutz-und-rfid.html