Die Beauftragte für den Datenschutz und die Informationsfreiheit

Datenschutz und Verbraucherschutz vor neuen Herausforderungen

Auf der Veranstaltung der Heinrich-Böll- Stiftung in Kooperation mit dem Netzwerk Neue Medien e.V. am 05. April 2004 in Berlin hat der Bundesbeauftragte für den Datenschutz, Peter Schaar, zum Thema: "Smart Chips: Kleine Brüder oder große Chance? Datenschutz und Verbraucherschutz vor neuen Herausforderungen" gesprochen. Er hat hier insbesondere seine Auffassung zu der neuen Technologie der Radio-Frequency Identification (RFID) dargelegt. Den Wortlaut der Rede finden Sie hier....

Anfang 05.04.2004
Redner Peter Schaar

Datenschutz als Verbraucherschutz: Neue Herausforderungen am Beispiel von Smart Chips und Kundenkarten

Immens gestiegene Informationssammlungen und -verarbeitungen sowohl im öffentlichen als auch im nicht-öffentlichen Bereich kennzeichnen die heutige datenschutzrechtliche Problemlage. Das Selbstbestimmungsrecht des Einzelnen ist gefährdet, wenn bei Entscheidungsprozessen nicht mehr auf manuell zusammengetragene Karteien und Akten zurückgegriffen wird, sondern Entscheidungen ausschließlich auf mit Hilfe der automatischen Datenverarbeitung gewonnene Einzelangaben gestützt werden. Diese Daten können darüber hinaus mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene Einfluss auf deren Richtigkeit oder weitere Verwendung hätte.
Ohne Frage haben die Technologien der Informations- und Kommunikationsgesellschaft unseren privaten und beruflichen Alltag erleichtert und auch bereichert. Es darf aber nicht verkannt werden, dass dadurch auch erhebliche Missbrauchspotentiale entstanden sind, deren Kontrolle aufgrund der fehlenden Transparenz immer schwieriger wird.


Auch gerade im Bereich von Werbung, Markt- und Meinungsforschung werden mittels immer neuer Verfahren immer mehr Kundendaten zusammengetragen und ausgewertet, um zu immer ausgefeilteren Kundenprofilen zu kommen, z.B. unter Verwendung von "Data-Warehousing" und "Data-Mining-Tools".


Einen nicht unwesentlichen Beitrag zu den Datenbergen leistet der Konsument selber. Unbewusst und automatisch hinterlässt er im täglichen Leben seine Datenspuren, wenn er z.B. telefoniert, eine Flugreise bucht oder einkaufen geht. Durch entsprechende Anreize wie Boni der unterschiedlichsten Art fallen diese Daten vermehrt und regelmäßig an. Unterstützt wird dieser Mechanismus durch den technischen Fortschritt in Form von Scannerkassen und - in sehr naher Zukunft - durch die RFID-Technologie.


Laut einer Emnid-Umfrage soll die sog. Kundenkarte für viele Deutsche nach der Krankenversicherungs- und ec-Karte die wichtigste Karte in der Brieftasche geworden sein. Laut der Kartenanbieter sollen die Verbraucher an das Unternehmen oder die hinter der Kundenkarte stehenden Konzerne gebunden werden und ihre Käufe auf die entsprechenden Geschäfte konzentrieren. Doch geht das Interesse der Unternehmen in aller Regel weiter. Als Gegenleistung für die Rabattgewährung wollen sie auch etwas vom Kunden erfahren. Angaben zu Interessen, Konsum- und Kaufgewohnheiten, soziale und familiäre Verhältnisse werden zum Teil auf den Anmeldeformularen abgefragt oder aber subtil über das tatsächliche Kaufverhalten in Erfahrung gebracht.


Profilbildung ist generell fragwürdig, wie auch das Bundesverfassungsgericht festgestellt hat. Das Zusammenstellen von personenbezogenen Daten eines bestimmten Menschen, das sein Verhalten ganz oder teilweise abbildet und ihn dadurch für Dritte berechen- und verfügbar macht, ist schon dann problematisch, wenn dies mit seinem Wissen geschieht, weil er im Zweifelsfall die weitreichenden Konsequenzen nicht abschätzen kann. Erfolgt dies aber mittels heimlicher Datenerhebungen oder –übermittlungen, liegt ein schwerer Verstoß gegen das informationelle Selbstbestimmungsrecht vor.


Das datenschutzrechtliche Kernprinzip ist in diesem Umfeld die Zweckbindung. Nach der EG-Datenschutzrichtlinie 95/46/EG, die durch das Bundesdatenschutzgesetz Eingang in unsere nationale Gesetzgebung gefunden hat, dürfen Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind. Am Beispiel eines Kaufvertrages zeigt sich, dass diejenigen Daten verarbeitet werden können, die zur Abwicklung des Vertrages notwendig sind. Wenn der Vertrag erfüllt ist, ist eine weitere Verarbeitung und Nutzung nicht mehr durch das Zweckbindungsgebot gedeckt. Bei der Profilbildung ist die Vervollständigung des Konsumentenprofils immer nur eine sekundäre Zielsetzung, die durch die eigentliche ursprüngliche Zielsetzung nicht abgedeckt ist. Der Aufbau von personenbezogenen Datensammlungen, deren Daten mittels Data-Warehousing und Data-Mining gewonnen werden, verstößt daher gegen das Zweckbindungsgebot.

Den rettenden Anker sehen Marketingexperten in dieser Situation in der Einwilligung der betroffenen Person. Diese wird in der Praxis eingeholt, indem der Kunde im Rahmen der allgemeinen Geschäftsbedingungen unterschreibt, dass er sich mit einer weiteren Bearbeitung seiner Daten zu „Marketingzwecken“ einverstanden erklärt. Doch sollte man sich davor hüten zu meinen, eine Unterschrift an dieser Stelle macht das Ganze datenschutzrechtlich unbedenklich. Eine wirksame Einwilligung setzt nämlich Informiertheit voraus; d.h. der Betroffene muss sich der Bedeutung seiner Einwilligung im Klaren sein.
Er muss wissen, wozu welche Daten abgefragt werden, welche Daten über ihn gespeichert werden und zu welchem Zweck dies geschieht. Transparent sein muss für ihn auch, an wen Daten über ihn weitergegeben werden sollen.
Ich bin mir sicher, dass den Wenigsten z.B. bewusst ist, dass die Freigabe zu Marketingzwecke auch eine Verwendung im Ausland einschließen kann. So bietet die Direktmarketing-Industrie in den USA personenbezogene Informationen über deutsche Verbraucher zum Kauf an, die für Werbezwecke weltweit genutzt werden können. Haben die Daten erst einmal diesen Weg genommen, sind sie dem Einfluss der Betroffenen endgültig entzogen. Ebenso wenig dürfte bekannt sein, dass die Anbieter von Adressen letztlich keine Kontrolle darüber haben, ob die Daten tatsächlich ausschließlich für Werbezwecke oder etwa auch zu Kredit- oder Personalbeurteilungen verwendet werden. An der Wirksamkeit derartiger pauschaler Einwilligungen habe ich daher Zweifel. Ohne wirksame Einwilligung wären jedoch die angesprochenen Verwendungen unzulässig.
Data-Warehousing-Konzepte führen bei den Unternehmen zu riesigen Datensammlungen über die Konsumenten. Was ursprünglich beim Staat befürchtet wurde, wird nun in der Privatwirtschaft aufgebaut: Datenzentralen, die Informationen über das Verhalten einzelner Personen enthalten, ohne dass hierzu eine primäre Notwendigkeit besteht.
Das Risikopotential aus datenschutzrechtlicher Sicht zeigt sich etwa bei den Kreditkartenunternehmen, die Informationen über das Kaufverhalten von Millionen von Kunden speichern oder bei Fluggesellschaften, die über Reisedaten von Tausenden von Passagieren verfügen.
Damit kein Missverständnis entsteht: Ich will damit nicht sagen, dass all diese Daten bei den betreffenden Unternehmen zweckentfremdet genutzt werden. Doch besteht die Gefahr bereits darin, dass immense Datenmengen aus den unterschiedlichsten Bereichen und die eingesetzten Data-Warehousing- Konzepte zu einer Überwachungs- und Kontrollmöglichkeit führen.
In diesem Zusammenhang stellt sich auch die Frage nach der Datenqualität. Nicht nur die ursprünglichen Quellen mit ihren unterschiedlichen Fehleranfälligkeiten, sondern auch die aus Data-Mining-Prozessen gewonnenen neuen Informationen unterliegen in keiner Weise einer Kontrolle durch die betroffenen Personen. Hinzu kommt, dass das Data-Warehouse-Konzepte auch in Bezug auf die Aufbewahrung der Daten keine Grenzen setzen. Im Gegenteil: Für die Aussagekraft der Profile sind Daten über eine möglichst lange Zeitspanne von Interesse, da sie ein Verhalten um so besser interpretieren lassen. Eine unbeschränkte Aufbewahrung der Daten ist aber nicht nur datenschutzrechtlich unzulässig, sie hat auch direkten Einfluss auf die Datenintegrität, ohne dass die Fehlerquelle mit Sicherheit ausgemacht werden kann.

Was die Kundenkarten angeht, ist er oft selbst die Quelle seiner Daten; er muss keine Kundenkarte verwenden, ohne davon überzeugt zu sein. Aus Datenschutzsicht ist zu fordern, dass die Position des Verbrauchers durch verbesserte Transparenz gestärkt wird. Jeder muss wissen, wozu welche Daten abgefragt werden, welche Daten über ihn gespeichert werden, zu welchem Zweck dies geschieht und ob die Daten weitergegeben werden, welche Unternehmen hinter der Karte stehen und inwieweit sein Kaufverhalten zu einem Kundenprofil zusammengeführt wird. Erst genaue Informationen geben ihm die Möglichkeit abzuwägen und frei zu entscheiden, ob er für die ihm gewährten Vorteile auch die damit einhergehenden Gefahren oder konkreten Nachteile in Kauf nehmen will. Ferner sollte er ggf. von der Möglichkeit Gebrauch machen, nicht in die Verwendung seiner Daten für "Marketingzwecke" (hinter diesem Wort verbirgt sich häufig die Profilbildung) einzuwilligen bzw. erteilte Einwilligungen zu widerrufen.

Vom Verbraucher kaum beeinflussbar ist bisher die RFID-Technologie. Wie sie funktioniert, hat mein Vorredner gerade erklärt, so dass ich darauf nicht weiter eingehen muss. Die RFID-Chips werden für eine Reihe unterschiedlicher Zwecke eingesetzt, z.B. zur Kennzeichnung von Containern in der Logistik, von Büchern in der Bibliothek etc. In fast allen Branchen gibt es Bestrebungen, über RFID-Produkte zu kennzeichnen und Warenströme zu automatisieren. Die Funkchips werden bisher überwiegend nicht mit direkt personenbezogenen Informationen wie etwa Kreditkarten, Videoaufzeichnungen usw. verknüpft, sie dienen derweil noch allein der Produktkennzeichnung. Es besteht jedoch die Gefahr, dass mit der breiten Einführung von gekennzeichneten Waren Verbindungen zwischen den RFID-Kennungen und dem Käufer bzw. Nutzer der Ware hergestellt und registriert werden. Auch könnte in Zukunft der Personenbezug unbemerkt durch Identitätspapiere mit RFID-Chip hergestellt werden. Dies könnte sogar ohne Kenntnis des Betroffenen geschehen. Die Funktransponder sind so klein, dass man sie als Verbraucher kaum erkennen kann und eine explizite Kennzeichnungspflicht gibt es bisher nicht. Außerdem brauchen die Chips keinen Anstoß des "Trägers", um aktiv zu werden, denn sobald sie in die Reichweite eines passenden Lesegeräts gelangen, werden Daten ausgetauscht. Auch Visa, Personalpapiere, Kleidungsstücke, Medikamentenpackungen und die Eintrittskarten zur Fußball-WM 2006 sollen - so die Diskussion - mit RFID-Technologie ausgestattet werden. Es ist sogar daran gedacht, RFID auf Geldscheine aufzubringen. Auf der diesjährigen CEBIT wurde eine hochwertige RFID-Lösung vorgestellt, die sich in Verpackungen für Medikamente integrieren lassen soll, die "erste intelligente Arzneiverpackung". Diese neuen RFID-Chips verfügen über 32 Kbyte Speicher und können damit nach Angaben des Herstellers mehrere Druckseiten verschlüsselter Daten speichern und bearbeiten. Damit soll jede Entnahme eines Medikaments aufgezeichnet und mit einer Zeitmarke versehen werden. Die Technik kann mit einem elektronischen Tagebuch und Erinnerungen durch akustische Signale ergänzt werden. Hier geht es um sensible personenbezogene Daten und man kann sich vorstellen, was geschieht, wenn diese in die falschen Hände geraten.

Diese Beispiele zeigen, dass es bei dem Einsatz der Technologie nicht allein um Logistikkontrolle und Diebstahlschutz geht. Derzeit mögen diese Komponenten noch im Vordergrund stehen, doch wird die Gefahr immer realer, dass durch die fortschreitende Verbreitung dieser Technologie eine ganz neue Dimension des "gläsernen Kunden" entstehen wird.


An dieser Stelle stellt sich die Frage, wie wir diesen ganz konkreten datenschutzrechtlichen Gefahren begegnen können. Insbesondere ist zu klären, ob die Funk-Etiketten den gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes unterfallen. Hier ist zwischen den unterschiedlichen Grundtypen der Funk-Chips zu unterscheiden.


Die Technologie der leistungsfähigeren, der sog. "intelligenten" RFIDs unterscheidet sich kaum noch von der Technologie der klassischen kontaktbehafteten Smart Cards mit eigener Verarbeitungskapazität. Sie erlaubt es, auf den Chips personenbezogene Daten zu speichern und zu verarbeiten und erfüllt damit die Hauptvoraussetzungen für das Vorliegen sog.-so genannte "mobiler personenbezogener Speicher- oder Verarbeitungsmedien" i.S.d. § 3 Absatz 10 BDSG. Zwar unterscheiden sich heute RFID noch dadurch von Smart Cards, dass sie von vornherein nur warenbezogene Daten, nicht aber personenbezogene Daten enthalten. Vorhaben, Ausweise mit RFID-Chips zu versehen, würden dies grundlegend ändern, da dann die Chips von vornherein personenbezogene Daten enthalten würden. Für die rechtliche Einordnung als "mobile personenbezogene Speicher- und Verarbeitungsmedien" ist das jedoch ohne Belang. Es ist ausreichend, wenn die Möglichkeit der Speicherung personenbezogener Daten besteht. Hinzukommen muss die Verarbeitungsfunktion - über die Speicherung hinaus - auf dem Chip selber, um den Voraussetzungen des § 3 Abs. 10 zu genügen.

Die "intelligenten" Prozessorchips unterfallen in ihrer Anwendung den Einschränkungen des § 6 c BDSG. Danach müssen Kommunikationsvorgänge, die auf dem Chip eine Datenverarbeitung auslösen, dem Betroffenen eindeutig erkennbar sein. Eine unbemerkbare Auslesung der Daten, etwa beim Vorbeigehen an einem versteckten Lesegerät, wäre gesetzeswidrig. Gemäß § 6c Absatz 3 BDSG müsste ein solches Auslesen signalisiert werden. Die Signalisierung jeglicher Funkübertragung ist technisch nur schwer umsetzbar. Alternativ müssen den Verbrauchern Mechanismen an die Hand gegeben werden, die eine Kommunikation unterbinden. Dies scheint derzeit nur durch sogenannte Blockertags möglich zu sein, die die Lesegeräte derart überlasten, dass eine Identifikation des richtigen Signals nicht möglich ist. Da die Lesegeräte der RFID-Systeme nicht die Seriennummern aller erreichbaren RFID-Tags gleichzeitig lesen können, lesen sie diese der Reihe nach aus. Das Blocker-Tag simuliert jedoch gegenüber dem Lesegerät eine schier unendliche Zahl adressierbarer RFID-Labels, die sich unmöglich alle nacheinander abfragen lassen. Eine Kommunikation mit den „echten“ Tags im Lesebereich kommt mit hoher Wahrscheinlichkeit nicht zustande, da der Leser eine nahezu endlose Anzahl von vergeblichen Tag-Anforderungen abarbeiten muss.
Bislang sind solche Geräte in Europa jedoch noch nicht erfolgreich getestet. Zudem könnte durch derartige "Blocker-Tags" die Funktionsfähigkeit der IT-Systeme generell gefährdet werden, soweit sie RFID-Funktionen integrieren. Notwendig sind deshalb ergänzende bzw. alternative Maßnahmen und technische Einrichtungen, durch die sich die Transparenz des Datenverarbeitungsvorgangs gewährleisten lässt. Ich denke hier insbesondere an öffentliche Lesegeräte, die Informationen des RFID-Chips ermitteln und anzeigen, damit den Anforderungen des Datenschutzrechts (§ 3 Abs. 2 BDSG) Rechnung getragen wird.


Sie sehen, die neue Technologie der RFID-Chips entwickelt sich nicht im rechtsfreien Raum. Allerdings muss zur Eindämmung der drohenden datenschutzrechtlichen Gefahren die Einhaltung der gesetzlichen Vorschriften konsequent betrieben werden.


"Einfache" RFID, die z.B. nur die Speicherung einer Identifikationsnummer ermöglichen und nicht dafür ausgelegt sind, zusätzlich auch weitere, direkt personenbezogene Daten zu speichern, erfüllen die Anforderungen des § 3 Absatz 10 BDSG nicht. Diese "einfachen" oder auch "dummen" RFID können aber unter Datenschutzgesichtspunkten auch eine Gefahr darstellen und zwar im Kontext mit Datenverarbeitungssystemen wie z.B. Kredit- oder Kundenkarten; dann können mit ihnen ebenfalls Kundenprofile erstellt werden. In einem solchen Datenverarbeitungskontext unterfallen sie dann auch den Regelungen des BDSG, da eine personenbezogene Datenverarbeitung vorliegt. Da sie keinen Prozessorchip enthalten, handelt es sich aber nicht um "mobile personenbezogene Speicher- und Verarbeitungsmedien" i.S. von §§ 3 Abs. 10, 6c BDSG. Ob die dann geltenden Einschränkungen und Hinweispflichten des BDSG in der Praxis ausreichen, bleibt abzuwarten. Eventuell muss der Gesetzgeber hier dergestalt nachbessern, dass auch in diesen Fällen die Einschränkungen des § 6c BDSG zur Anwendung kommen.


Angesichts des zunehmenden Einsatzes der RFID-Technologie fordern die Datenschutzbeauftragten des Bundes und der Länder sowie die Internationale Konferenz der Datenschutzbeauftragten, dass die Grundsätze des Datenschutzrechts bereits beim Design, aber auch bei der Einführung und der Verwendung von RFID-Technologie berücksichtigt werden. Insbesondere

  • sollte jeder Datenverarbeiter vor der Einführung von RFID-Etiketten, die mit personenbezogenen Daten verknüpfbar sind oder die zur Bildung von Konsumprofilen führen, zunächst Alternativen in Betracht ziehen, die das gleiche Ziel ohne die Erhebung von personenbezogenen Informationen oder die Bildung von Kundenprofilen erreichen;

  • müssen personenbezogene Daten offen und transparent erhoben werden;

  • dürfen personenbezogene Daten nur für den speziellen Zweck verwendet werden, für den sie ursprünglich erhoben worden sind und dürfen auch nur solange aufbewahrt werden, wie es zur Erreichung dieses Zwecks erforderlich ist;

  • sollten Betroffene die Möglichkeit haben, RFID-Etiketten in ihrem Besitz zu deaktivieren oder die darauf gespeicherten Daten zu löschen.

Nur durch einen offenen Umgang mit dieser Technologie können auch bei Einsatz der RFID-Technologie die in den Datenschutzgesetzen geforderte Zweckbindung, Datensparsamkeit und Vertraulichkeit bei der Verarbeitung personenbezogenen Daten sichergestellt werden. Das Recht auf informationelle Selbstbestimmung muss auch bei der Nutzung neuer technologischer Möglichkeiten gewährleistet werden.

Druckversion im pdf-Format (Link)


Adresse

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn