Seit September dürfen Unternehmen und Behörden keine RFID-Anwendungen in Betrieb nehmen, ohne vorab eine Datenschutz-Folgeabschätzung durchzuführen. Mit der Selbstverpflichtung wurde für die Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen, für die EU-Bürger bringt die Vereinbarung einen Schutz ihres Bedürfnisses nach informationeller Selbstbestimmung.

RFID-Chips sind aus der modernen Logistik nicht mehr wegzudenken. Nicht nur beim Warentransport, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren, zur Kennzeichnung von Fahrzeugen oder Nutztieren werden die Funkchips bereits eingesetzt – und die Anwendungsgebiete wachsen ständig. Unauffällig und zuverlässig können mit der RFID-Technik Daten berührungslos übertragen werden.

Es verwundert nicht, dass diese Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Dabei gilt es nicht nur, kritische Datenschützer zu beruhigen. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen. Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgeabschätzung durchzuführen.

Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie deren Eintrittswahrscheinlichkeiten ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.

Die Vorgehensweise für die Folgeabschätzung ist in der „Privacy Impact Assessment Framework“ (PIA) festgeschrieben. Das Rahmenwerk wurde im April 2011 unterzeichnet, seit September müssen Unterhemen und Behörden die hohen Anforderungen erfüllen.

Die Datenschutz-Experten der activeMind AG unterstützen Sie gerne bei der Durchführung einer RFID-Folgeabschätzung und der Erstellung einer Dokumentation, die den Anforderungen der EU-Kommission entspricht. Kontaktieren Sie uns für ein unverbindliches Angebot unter anfrage@activemind.de oder telefonisch unter +49 (0) 89 / 418 560 170.

2 Kommentare
  1. NiemeyerStein
    NiemeyerStein sagte:

    Datenschutz generiert keine selbstständigen Requirements. Datensicherheit hingegen implziert Datenschutz. Jeder Ansatz, der allein den datenschutz adressiert, ist publikumswirksam, bleibt aber nicht anforderungsgerecht. Besser machen

    Antworten
    • Michael Plankemann
      Michael Plankemann sagte:

      Vielen Dank für den Beitrag.
      Der Datenschutz stellt sehr wohl selbständige Anforderungen auf. Die Pflichten ergeben sich direkt aus dem Gesetz und treten neben die Daten- bzw. Informationssicherheit. Angesprochen sind sowohl die Stellen, die Daten zu eigenen Zwecken nutzen, als auch die, die dies im Auftrag für andere erledigen. Verstöße können – unter anderem – empfindliche Bußgelder nach sich ziehen. Auch stellt die Nichtbachtung gesetzlicher Vorschriften in der Regel einen individuell vorwerfbaren Sorgfaltsverstoß dar, der zur persönlichen Haftung des Managements führen kann. Die Einschätzung, mit einer sicheren Datenverarbeitung wäre bereits alles Notwendige getan, kann also schwerwiegende Folgen haben.
      Beim Einsatz automatisierter Verfahren mit erhöhten Gefahren für die Betroffenen (hierzu gehören RFID-Verfahren zweifelsfrei) legt das Gesetz den verantwortlichen Stellen ohnehin bereits besondere Pflichten auf: die Vorabkontrolle. Das im Beitrag angesprochene Verfahren zur Folgenabschätzung ergänzt eben diese Pflicht zur (Selbst-) Überprüfung und stellt entsprechende Anforderungen aus Sicht des Datenschutzes auf.
      Freilich sollten Gesichtspunkte der Datensicherheit bei der Implementierung eines Verfahrens immer mit berücksichtigt werden. Die Frage der Rechtmäßigkeit einer Verarbeitung hat jedoch nichts mit der technischen Sicherheit zu tun. Hier darf kein Einschätzungsfehler gemacht werden! Ein noch so hohes Maß an Datensicherheit vermag die Rechtswidrigkeit einer Nutzung personenbezogener Daten niemals zu heilen.

      Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.