Moderne RFID Chips in Bekleidung könnten Grundrechte bedrohen, darauf haben Datenschützer mit einer Aktion in der Bielefelder Innenstadt hingewiesen. Denn was vor Diebstahl schützt, verfolgt den Kunden vielleicht länger als ihm lieb ist. Wie das Datenschutzrecht zu den umstrittenen Chips steht, erläutern Karsten Kinast und Sebastian Schreiber.
Sie sind meist grau oder unsichtbar, harren leise, sind stille Wächter und lauschen. Sie sind immer auf Empfang und suchen nach Signalen. Die Rede ist von so genannten Warensicherungsantennen, einen schmuckeren Namen hat der Volksmund bislang noch nicht gefunden. Vielleicht nicht ohne Grund. Sie stehen an jeder Tür im Kaufhaus und ihre Aufgabe ist klar: Warenschwund vermeiden, Diebe enttarnen.
Doch das ist längst nicht alles, wie Datenschutzaktivisten vom FoeBuD e.V. vergangene Woche in Bielefeld bewiesen haben. Moderne Antennen zur Warensicherung können mit RFID Chips kommunizieren. Das sind teils winzig kleine Sender, die nur darauf warten, in die Nähe einer Antenne zu geraten. Sie reagieren auf Funkwellen einer Sendeantenne und erzeugen per Induktion Strom, der benötigt wird, um zurück zu funken.
Diese Chips ersetzen nach und nach die herkömmlichen Sicherungsetiketten in Kaufhäusern, die noch an der Kasse abmontiert wurden. Wesentlicher Unterschied: Sie bleiben in der Ware, zum Beispiel im Wäschezeichen. Die Hersteller nähen sie ein, weil sie die Logistik vereinfachen und so Kosten sparen.
Sie sind klein, aber einzigartig
Datenschutzrechtlich brisant sind die Chips, weil sie eine individuelle Seriennummer mit senden. Jeder Chip ist einzigartig und kann über die Antennen wiedererkannt werden. Natürlich stellt sich die Frage, wie sensibel diese gesendeten Daten sind, ob sie personenbezogen oder für den Datenschutz überhaupt relevant sind. Die Seriennummer eines Chips allein sagt wenig aus, kritisch wird erst die Verbindung von Datensätzen – zum Beispiel zur Profilbildung. Hat der Kunde an der Kasse mit EC-Karte bezahlt oder eine Kundenkarte vorgelegt, könnte seine Identität beim Verkauf mitgespeichert werden. Verkaufte Ware inklusive Seriennummer der Chips ließe sich dann einem Menschen zuordnen.
In der Folge weist der Kunde sich theoretisch über die Seriennummer aus, wenn er das Geschäft mit dem versteckten Chip in der Kleidung erneut betritt. Auch der Gang durch die Fußgängerzone könnte registriert werden, denn RFID funktioniert über bis zu acht Meter Entfernung. Das zeigt, dass solche Identifikationsmerkmale sehr relevant sein können. Je nach Art der Chips hilft auch keine dicke Winterjacke, um die Funkwellen abzuwehren.
Das Bundesdatenschutzgesetz (BDSG) schützt Daten auch dann, wenn sie nur über Umwege einer Person zugeordnet werden können. Der Umweg wäre in diesem Fall die Datenbank des Händlers, sollte er dort beim Verkauf die Seriennummern in Verbindung mit bekannten Kundenkonten speichern. Denn das liegt nahe, besteht ein Kundenprofil doch in erster Linie aus bisher getätigten Einkäufen. Spätestens dann sollte man die Seriennummer des Chips als personenbezogenes Datum verstehen. Andernfalls fiele das BDSG zum Schutz des Betroffenen gänzlich weg.
Sind RFID Chips wirklich unverzichtbar
Und dieser Schutz ist umfassend, denn das Gesetz folgt dem Konzept "Verbot mit Erlaubnisvorbehalt": Grundsätzlich ist im Datenschutzrecht alles verboten. Was erlaubt ist, erwähnt das Gesetz mehr oder weniger ausdrücklich. Darüber hinaus kann jeder seine Einwilligung bezüglich seiner Daten erklären.
Für die Zulässigkeit der Chips ist § 28 Abs. 1 BDSG die zentrale Vorschrift. Sie regelt den Umgang mit personenbezogenen Daten durch Private. Gestattet ist demnach nur, was für die Ausgestaltung des Schuldverhältnisses zwischen Kunden und Unternehmer erforderlich ist. Ob der Scan von RFID Chips oder allein deren Verbleib an verkaufter Ware für den Handel notwendig ist - vermutlich nicht. Ein Vertrag lässt sich auch ohne diese Daten abwickeln. Selbst wenn der Händler dem Kunden Ware auf Kredit gäbe, hätte er keinen Anspruch, säumige Schuldner beim Vorbeigehen auf der Straße zu enttarnen.
Wahrscheinlich würde ein Händler entgegnen, er bräuchte diese Daten nicht, erheben würde er sie erst recht nicht. Wer die Signale der RFID Chips zur Warensicherung empfängt, kann aber kaum unterscheiden, ob es sich um bereits gekaufte oder unbezahlte Waren handelt. Die Chips sind ja gerade darauf ausgelegt, in Reichweite einer Funkantenne immer zu senden.
Schon der Empfang des Signals von bezahlter Ware ist Datenerhebung im Sinne des BDSG und grundsätzlich verboten. Wer auf solche Systeme setzt, sollte sich datenschutzrechtlich absichern. Drohende Bußgelder würden sonst jeden Logistikgewinn vernichten.
Letzte Chance: Berechtigtes Interesse
Darüber hinaus dürfen Daten erhoben werden, wenn der Händler ein berechtigtes Interesse an ihnen hat und kein Grund zur Annahme besteht, betroffene Kunden hätten gegenläufige schutzwürdige Interessen. Wirksame Werbung auf Basis der Kundendaten kann zwar ein solches Interesse des Handels sein. Dem stünde aber das Grundrecht der Betroffenen auf informationelle Selbstbestimmung gegenüber. Niemandem dürfte daran gelegen sein, dass solche Profile ungefragt erstellt werden oder auch nur die schwer kontrollierbare Möglichkeit dazu bestünde.
Abhelfen im Sinne des Gesetzes könnten nur die Kunden selbst, wenn sie einwilligen, dass ihre Daten erhoben werden. Die Erklärung hierfür müsste besonders hervorgehoben auf dem Kassenbon auftauchen und umfassend informieren. Das hätte zumindest auf die lesende Kundschaft eine abschreckende Wirkung.
Derzeit bleibt aber meist im Dunkeln, ob RFID Chips in Produkten versteckt sind oder welche Funktion sie tatsächlich übernehmen. Konkrete gesetzgeberische Vorgaben gibt es nicht, im Jahr 2004 befand die Bundesregierung auf eine kleine Anfrage, das BDSG biete ausreichenden Schutz. Die Technik ist jedoch vielfältig, wenig überschaubar und in steter Entwicklung. Was kommen mag, ist unklar, aber die Möglichkeiten sind groß. Wünschenswert sind Kennzeichnungspflichten und Möglichkeiten zum Abstellen der Sender. Dann könnte der Verbraucher wieder ein Stück weit mehr entscheiden, was er wirklich preisgibt.
Der Autor Rechtsanwalt Dr. Karsten Kinast, LL.M., ist Partner der auf Datenschutzrecht spezialisierten Kanzlei Kinast & Partner in Köln und als externer Datenschutzbeauftragter für eine Vielzahl national und international agierender Unternehmen bestellt.
Sebastian Schreiber ist Wissenschaftlicher Mitarbeiter der Kanzlei Kinast & Partner und promoviert derzeit mit einer zivilrechtlichen Arbeit unter anderem im Bereich des Datenschutzrechts.
Mehr auf LTO.de:
Jobprofil Datenschutz-Spezialist - Juristerei auf Server-Ebene
Geofencing und Datenschutz - Big Mother is watching you
Smart Metering und Datenschutz - Der Strom weiß, was Du letzte Nacht getan hast
Karsten Kinast und Sebastian Schreiber, Spähchips in Kleidung: . In: Legal Tribune Online, 20.01.2012 , https://www.lto.de/persistent/a_id/5354 (abgerufen am: 23.11.2024 )
Infos zum Zitiervorschlag