EDPS spricht sich für strikte rechtliche Verankerung von RFID Opt-in aus

Wie bereits vorige Woche berichtet hat der Europäische Datenschutzbeauftragte (EDPS) Peter Hustinx kürzlich eine Stellungnahme zur RFIDi-Mitteilung der EU Kommission [1] abgegeben.

Unter anderem führt er in dieser Stellungnahme aus, dass die Informationsgesellschaft durch RFIDi näher an automatisierten Entscheidungen herangeführt wird und die Situation entstehen kann, dass Technologie missbraucht wird um menschliches Verhalten zu steuern.
Weiters stellt er klar fest, dass auf RFIDi gespeicherte bzw. durch diese erzeugte Informationen personenbezogene Daten im Sinne der Datenschutzrichtlinie sein können. Ebenso könnten auf RFIDs gespeicherte eindeutige Produktnummern zu Überwachungszwecken genutzt werden. Daher wäre sicherzustellen, dass RFIDi Applikationen mit den erforderlichen technischen Maßnahmen eingesetzt werden um diese Risiken zu minimieren.

Der EDPS stimmt mit der Kommission insofern überein, dass es in einer ersten Phase angemessen ist Raum für Selbstregulierung zu lassen. Insbesondere für den Bereich der RFIDi-Systeme die personenbezogene Daten verarbeitet wäre Selbstregulierung besonders gefragt, da dort Maßnahmen ergriffen werden müssen um eine unbefugte Weitergabe von Daten zu verhindern und andererseits sichergestellt werden muss, dass die Datenverarbeitung - wo erforderlich - nur unter informierter Zustimmung der von der Datenverabeitung betroffenen Personen erfolgt.

Nach Meinung des EDPS soll die EU Kommission in enger Zusammenarbeit mit der RFIDi Expertengruppe Empfehlungen erarbeiten, wie die bestehenden Datenschutzbestimmungen im RFIDi-Umfeld angewandt werden sollten.

Unmissverständlich auch die Forderung des europäischen Datenschutzbeauftragten nach einer Opt-in Regelung für RFIDs. Das Beibehalten von RFIDi Funktionalität nach dem Verkauf sollte ungesetztlich sein, es sei denn

• die Zustimmung des Betroffenen liege vor, oder
• sofern die Beibehaltung der Funktionalität für die Erbringung eines Services erforderlich ist, dass die konkrete und freiwillige Anforderung des Betoffenen vorliegt

Auch wenn Selbstregulierung für eine erste Phase ausreichend sein kann, ist es doch möglich, dass zusätzlich bindende rechtliche Maßnahmen benötigt werden um den Schutz des Rechts auf Privatsphäre des Einzelnen zu gewährleisten.

Möglichkeiten für derartige bindende rechtliche Maßnahmen wären

• die Festlegung technischer Anforderungen an RFIDi Applikationen durch die EU Kommission
• die Anpassung der bestehenden rechtlichen Regelungen (wie der geplanten Anpassung der ePrivacy Richtlinie)
• sowie - sollten die bestehenden Regelungen nicht ausreichen - die Schaffung spezifischer Gesetze als Ergänzung zum bestehenden Datenschutzrecht

Abschließend hält der europäische Datenschutzbeauftrage fest, dass insbesondere auch der internationale grenzüberschreitende Aspekt des RFIDi-Einsatzes bedacht werden sollte und die EU Kommission - evtl. unter Konsultation der RFIDi Expertengruppe - ihre Ansichten zu den damit zusammenhängenden Governance-Fragen darlegen sollte.

AK

References

1. Funkfrequenzkennzeichnung (RFID) in Europa: Schritte zu einem ordnungspolitischen Rahmen
   Kommission der Europäischen Gemeinschaften
   , Brüssel, p.14, (2007)