IHK MÜNCHEN. RA Robert Niedermeier. RFID Praxis in Deutschland. Heussen Rechtsanwaltsgesellschaft mbh München

Transkript

1 IHK MÜNCHEN RFID Praxis in Deutschland RA Robert Niedermeier Heussen Rechtsanwaltsgesellschaft mbh München

2 RFID Praxis in Deutschland

3 RFID Praxis in Deutschland I. Einleitung II. Technik von RFID III. Aktive und passive RFID Tags IV. Anwendungen V. RFIDs vs. Barcodes VI. Datenschutzrechtliche Anwendbarkeit des Datenschutzrechts Rechtsgrundlage für die Datenverarbeitung Informationspflichten 9 BDSG: Technische und organisatorische Maßnahmen Löschung/ Deaktivierung der RFID-Tags Sanktionen VII. Ergebnis

4 I. Einleitung Automatic Identification (Auto-ID) Systeme:! Barcode Systeme! Radio-Frequency Identification (RFID)! Radio-Frequency Identification (RFID) Systeme werden zunehmend für eine Reihe unterschiedlicher Anwendungen eingesetzt.

5 II. Technik von RFID! Diese Technik basiert auf winzigen Chips (RFID- Tags), welche per Funk Informationen übermitteln, ohne dass eine Übertragung äußerlich bemerkbar ist.! Der Chip ist so klein, dass er auf Transport- oder Produktverpackungen angebracht und sogar in Textilien eingearbeitet werden kann.

6 II. Technik von RFID! Ein Lesegerät ( Reader ) sendet in einer festgelegten Frequenz (Nieder-, Hochfrequenz oder UHF-Bereich Funksignale aus, die von den RFID-Tag erkannt werde. Danach werden die in diesem Chip gespeicherten Daten dem Lesegerät übermittelt. Ein RFID-Lesegerät ist in der Lage, 200 Transponder in Sekundenschnelle aus einer Entfernung von einem Zentimeter bis zu maximal 50 m auszulesen

7 III. Aktive und Passive RFID-Tags RFID tags können sowohl aktiv als auch passiv sein.!aktive tags verfügen über eigene Stromversorgung und können typischerweise sowohl gelesen, als auch beschrieben werden!passive tags beziehen ihre Energie zur Übertragung der Informationen aus den empfangenen Funkwellen. Die gespeicherten Daten können nur gelesen werden, außerdem ist die Menge der speicherbaren Daten wesentlich geringer als bei aktiven Tags.

8 IV. Anwendungen

9 IV. Anwendungen! Potentielle Anwendungsmöglichkeiten 1. Sicherheits- und Zutrittssysteme! z. B Identifizierung in Zugangskontroll- und Zeiterfassungssystemen, Aktivierung von Videoüberwachungskameras 2. Identifizierung von Waren/ logistischen Einheiten entlang der Logistikkette Supply chain management : Überwachung des ganzen Prozesses von der Produktion über den Wareneingang bis hin zur Auslieferung beim Einzelhändler. Pilotprojekt im Metro-Future-Store in Rheinberg

10 IV. Anwendungen

11 IV. Anwendungen 3. Die EZB hat vorgeschlagen, RFID tags auf Geldscheinen anzubringen, um damit gefälschte Banknoten einfacher erkennen zu können. 4. Vorgeschlagen ist auch der Einsatz von RFID-Tags im Ticketing-Verfahren bei der Fussball-Weltmeisterschaft 2006 in Deutschland. 5. Diebstahlsicherung 6. Tierkennzeichnung 7. Straßenmautsysteme 8. Gepäckbehandlung an Flughäfen

12 IV. Anwendungen! RFIDs sind folglich, meist unsichtbar, Bestandteil des täglichen Lebens geworden.!die Verbreitung von RFID-Tags könnte allerdings erhebliche datenschutzrechtliche Gefahren mit sich bringen. Es besteht das Risiko der Erstellung personalisierter Einkaufs- und Nutzungsprofile. In Verbindung mit Informationen aus anderen Datenbanken, geographischen Ortungssystemen oder mit Standortdaten könnten RFIDs ferner zu einer allgegenwärtigen Datenverarbeitung und somit zu einer allgegenwärtigen Überwachung des Einzelnen führen.

13 V. RFIDs vs. Barcodes! Barcodes " Sie identifizieren in der Regel ein Objekt als zu einer Kategorie gehörend " Code muss sichtbar sein " Etikett nicht wiederbeschreibbar " Sehr limitierte Datengröße (12-15 Zeichen)

14 V. RFIDs vs. Barcodes! RFID-tags " RFID-Tags können jedes Objekt mit einer eindeutigen Kennung versehen. " Kein Sichtkontakt erforderlich " Wiederbeschreibbar " Große Bandbreite an Datengröße " Längere Lebensdauer " Robust gegen Umwelteinflüsse

15 ! Das Datenschutzrecht kann betroffen sein, wenn entweder der RFID-Tag selbst personenbezogene Daten enthält, oder die nicht personenbezogenen Daten auf dem RFID-Chip personenbeziehbar sind, also einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.! Dies hat zur Folge, der Einsatz der RFIDs in supply chain management fällt in der Regel nicht im Anwendungsbereich des Datenschutzrechts.

16 ! Personenbezogene Daten: Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) ( 3 Abs. 1 BDSG)! Grundsatz: Verbot der Erhebung und Verarbeitung personenbezogener Daten!Ausnahmen: Einwilligung des Betroffenen oder gesetzliche Ermächtigung

17 ! Die verantwortliche Stelle muss zunächst Alternative in Betracht ziehen, die das gleiche Ziel ohne die Erhebung von personenbezogenen Daten erreichen. Grundsatz der Datenvermeidung und -sparsamkeit ( 3a BDSG)! Wenn die personenbezogenen Daten unverzichtbar sind, dann müssen diese offen und transparent erhoben werden.

18 ! Rechtsgrundlage für die Datenverarbeitung: 28 Abs.1 BDSG Nutzung der Daten im Rahmen der Zweckbestimmung eines Vertragsverhältnisses, 28 Abs.1 Nr.1 BDSG Nutzung zulässig im Wege der Interessenabwägung, 28 Abs.1 Nr.2 BDSG: Die Nutzung von personenbezogenen Daten ohne Einwilligung ist zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

19 ! Einsatzsmöglichkeiten und datenschutzrechtliche Bewertung von RFID-Tags in einem Supermarkt: 1. Supply chain management: i. d. R datenschutzrechtlich unproblematisch 2. Identifizierung der Person und Erfassung der Eintritts- und Ausgangszeiten (Verknüpfung eines RFID-Tags zu einer Kundenkarte): 28 Abs. 1 Nr. 2 BDSG: berechtigte Interessen der verantwortlichen Stelle

20 ! 28 Abs. 1 Nr. 2 BDSG: berechtigtes Interesse: ein nach vernünftigen Erwägung durch die Sachlage gerechtfertigtes Interesse, das auch wirtschaftlicher Natur sein kann.! Inwieweit die schutzwürdigen Interessen des Betroffenen den berechtigten Interessen der verantwortlichen Stellen vorrangig sind, kann im Rahmen einer Interessenabwägung ermittelt werden.! Angesichts der Art der erhobenen Daten und ihrer Aussagekraft einerseits, und der Belange der verantwortlichen Stelle andererseits, liegen beim Einsatz von RFID in der Regel die Voraussetzungen der 28 Abs. 1 Nr. 2 BDSG vor. Eine Einwilligung ist grundsätzlich nicht erforderlich, kann aber zu Zwecken der Absicherung des Unternehmens nützlich sein.

21 3. Erfassung der Entnahme von Artikeln aus Regalen/ Bewegungsprofilen:! datenschutzrechtlich unproblematisch, soweit kein Bezug zu einer Person hergestellt werden kann.! Wenn dagegen der Geschäftsbesuch personalisiert wird und eine Verknüpfung zwischen Kunden und Waren möglich ist, dann ist das Datenschutzrecht anwendbar.! Aus der am Verhältnismäßigkeitsgrundsatz ausgerichteten Interessenabwägung im Rahmen der 28 Abs. 1 Nr. 2 BDSG ergibt sich, dass auch diese Nutzung von RFID-Tags grundsätzlich ohne Einwilligung zulässig ist.

22 4. Einsatz von RFID in Verbindung mit Kundenkarten beim Bezahlvorgang. Die Erhebung von personenbezogenen Daten bei Bezahlung mit EC-, Kunden-, und Kreditkarten ist auch üblich und unumstritten Dieser Einsatz von RFID ist datenschutzrechtlich zulässig gemäß 28 Abs. 1 S. 1 BDSG: Die Daten sind zur Abwicklung des Vertrags erforderlich und können ohne Einwilligung des Betroffenen zu diesem Zweck (Bezahlung) verwendet werden.

23 Zu beachten: Zweckbindungsgrundsatz Die personenbezogenen Daten dürfen nur für den speziellen Zweck verwendet werden, für den sie ursprünglich erhoben wurden. Sie dürfen ferner solange aufbewahrt werden, wie es zu Erreichung dieses Zwecks erforderlich ist.

24 ! Zur Absicherung des Unternehmens ist jedoch die Abholung der Einwilligung des Betroffenen sinnvoll. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist ( 4a Abs. 1 S. 3 BDSG). Sie muss ferner auf der freien Entscheidung des Betroffenen beruhen, ( 4a Abs. 1 S. 1 BDSG). Der Betroffene ist vorher über die Tragweite seiner Einwilligung aufzuklären ( 4a Abs. 1 S. 2 BDSG).

25 ! Informationspflichten ( 4 Abs. 3 BDSG) Die verantwortliche Stelle muss den Betroffenen schon bei Erhebung der Daten über:! die Identität der verarbeitenden Stelle! die Zweckbestimmungen der Erhebung, DV und Nutzung! die Kategorien von Empfängern, sofern der Betroffene nicht mit der Übermittlung an diese rechnen muss, unterrichten

26 ! 6c BDSG: weitgehende Informationspflichten bei mobilen personenbezogenen Speicher- und Verarbeitungsmedien.! Dabei handelt es sich nach 3 Abs. 10 BDSG um Datenträger, 1.die an den Betroffenen ausgegeben werden, 2.auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3.bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.

27 ! Gemäß 6c Abs. 1 BDSG muss sowohl die ausgebende Stelle, als auch die Stelle, die auf das Medium Verarbeitungsverfahren aufbringt, den Betroffenen über ihre Identität und Anschrift (Nr. 1), die Funktionsweise des Mediums (Nr. 2), seine Rechte auf Auskunft und Korrektur (Nr. 3) und die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen zu unterrichten.! Diese Regelung ist nicht durch Vorgaben der EU-DSRL bedingt.! 6c BDSG kommt eher selten beim Einsatz von RFID zur Anwendung und zwar, wenn das Unternehmen Kundenkarten auf denen RFID-Tags mit personenbezogenen Daten angebracht werden, ausgibt.

28 ! 9 BDSG: Technische und organisatorische Maßnahmen! Nach 9 BDSG haben die verarbeitenden Stellen die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine datenschutzgerechte Verarbeitung personenbezogener Daten sicherzustellen. Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. Die Datensicherung kann dann als wirksam angesehen werden, wenn die getroffenen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz der Daten vor Missbrauch leisten. Sicherungsziele sind die Gewährleistung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der Daten! Gegebenenfalls ist bei RFID-Tags mit höheren Reichweiten der Einsatz geeigneter Verschlüsselungsmethoden erforderlich

29 ! Rechte des Betroffenen:! 33 BDSG: Benachrichtigung des Betroffenen bei der erstmaligen Speicherung über die Speicherung, die Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identität der verantwortlichen Stelle! 34 BDSG: Auskunftsansprüche gegen die verantwortliche Stelle. Mitzuteilen sind die zur Person des Betroffenen gespeicherten Daten (sowie ihre Herkunft), die Empfänger oder Kategorien von Empfänger, an die Daten weitergegeben werden, und der Zweck der Speicherung

30 ! Löschung/ Deaktivierung der RFID-Tags.! Eine Löschungspflicht besteht zunächst wenn die Datenerhebung und -speicherung unzulässig ist ( 35 Abs. 2 Nr. 1 BDSG).! Des weiteren ist die Löschung geboten, wenn die Speicherung nicht mehr erforderlich zur Erfüllung des Zwecks ist ( 35 Abs. 2 Nr. 3 BDSG).! Das Unternehmen muss unter diesen Voraussetzungen, die mit Hilfe von RFID-Tags erhobenen Daten, die in seinem EDV- System gespeichert hat, löschen.! Die Daten, die auf den RFID-Tag selbst gespeichert sind, sind auch zu löschen, sofern sie personenbezogenen Charakter haben.

31 ! Sanktionen:! Schadensersatzansprüche ( 7 BDSG)! Ordnungswidrigkeit ( 43 BDSG: Geldbuße bis EUR ! Strafbarkeit ( 44 BDSG)

32 VII. Ergebnis! Datenschutzrechtlich ist der Einsatz von RFID im Rahmen einer Interessenabwägung gemäß 28 Abs. 1 Abs. 2 grundsätzlich zulässig. Die verantwortliche Stelle hat jedoch ihre Informationspflichten zu erfüllen.! Es besteht keine Informationspflicht über die Verwendung von RFID-Tags, wenn diese nicht mit personenbezogenen Daten verknüpft werden.! Ferner gibt es keine Löschungs- bzw. Deaktivierungspflicht, wenn die auf den RFID-Tags gespeicherten Daten keinen personenbezogenen Charakter haben.

33 Vielen Dank für Ihre Aufmerksamkeit! Bei Fragen mailen Sie an: