RFID und DSGVO: Was muss ich beachten?

RFID und DSGVO: Was muss ich beachten?

„Datenschutz“ und „RFID“ sind zwei Begriffe, die selten zusammen gedacht werden. Zu wenig präsent ist die Tatsache, dass auch bei RFID und der modernen Schwester NFC persönliche Daten ausgetauscht werden können. Im Rahmen der aktuell überarbeiteten und verschärften DSGVO lohnt es sich daher den eigenen Einsatz von RFID-Technik nochmal genauer zu betrachten.

Viele unserer Kunden setzen RFID-Transponder ausschließlich im Bereich Logistik und Warenflusskontrolle ein. Hier besteht keine Gefahr, da üblicherweise keine personenbezogenen Daten übertragen oder verarbeitet werden. Sobald Sie jedoch im Handel oder im Dienstleistungssektor unterwegs sind und RFID-Technologie nutzen, sollten Sie aufpassen und transparent arbeiten!

RFID ist eine Funktechnologie und daher naturgemäß unsichtbar. Als Menschen haben wir einen angeborenen Respekt vor Dingen, die wir nicht greifen können und neigen zur Überinterpretation und Vorsicht. Während Sie selbst also wissen, dass die Chips in Ihrem Schwimmbad nur dazu dienen, die Spinde zu öffnen und zu schließen, kann der Kunde hier vieles hinein interpretieren: von Bewegungsprofilen und Vorlieben bis hin zum großen Lauschangriff ist für den Laien alles vorstellbar und erschreckend! So ist es wichtig, Ihr Personal entsprechend zu schulen und den Kunden bei Bedarf diese Angst zu nehmen.

Noch wichtiger ist es, die Kunden direkt darauf hinzuweisen, wenn personenbezogene Daten erhoben werden, also Daten, welche explizit einer Person zugeordnet werden können. Hierzu zählen auch Daten, welche nicht auf den ersten Blick als personenbezogen gelten, aber z.B. durch die lange Nutzungsdauer eines einzelnen Chips beim gleichen Kunden erst personenbezogen werden. Solche Daten dürfen nicht mehr ohne ausdrückliche, schriftliche Zustimmung erhoben werden, weshalb Transparenz hier um so wichtiger ist. So sollte nicht nur grundsätzlich auf die Verwendung hingewiesen werden, sondern auch an welchen Stellen der Chip ausgelesen wird. Von einem „heimlichen“ Auslesen ist abzusehen.

Ferner ist es dem Kunden zu ermöglichen, auf die Nutzung des Chips zu verzichten und diesen zu deaktivieren. Auch die Löschung der Daten, nicht nur im eigenen System, sonder auch auf dem Chip ist dabei auf Wunsch des Kunden vorzunehmen, erst recht, wenn diese nicht mehr benötigt werden. Dass die Daten vor unberechtigtem Zugriff geschützt werden müssen, versteht sich von selbst.

Grundsätzlich sollte darauf verzichtet werden, mithilfe der RFID-Technologie ein Profil des Kunden zu erstellen. Sollte dies möglich oder beabsichtigt sein, muss die schriftliche Einwilligung vorliegen. Sie fahren daher immer gut, wenn Sie die Daten auf NFC und RFID Chips auf ein Minimum begrenzen. Sollten für Sonderaktionen oder ähnliches Daten erhoben werden, ist es für Sie am einfachsten, diese in der eigenen Datenbank zu speichern – so behalten Sie die Übersicht und können leichter Auskunft geben und Änderungen oder Löschungen vornehmen.

 

Bei weiteren Fragen zu diesem Thema hat die Oberste Aufsichtsbehörden für den Datenschutz für nichtöffentliche Stellen bereits 2006 eine Empfehlung herausgegeben, welche Sie sich hier anschauen können. Für weitere Fragen empfehlen wir Ihnen einen Datenschutzbeauftragten oder Ihren Rechtsanwalt zu konsultieren. Im nördlichen Ruhrgebiet steht Ihnen dazu gerne unser Herr Böttcher als externer Datenschutzbeauftragter beratend zur Seite.