Der Einsatz von RFID-Technologie (Radio Frequency Identification – Identifizierung per Funk) wurde in der vergangenen Zeit von Datenschützern immer wieder kritisiert. Wir selbst berichteten letztes Jahr über die Forderung der Bundesländer Rheinland-Pfalz und Berlin an die Bundesregierung, sich für mehr Datenschutz beim Einsatz von RFID-Technologie einzusetzen.
Bereits im Jahr 2003 verlieh der Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V. (FoeBuD) den so genannten Big Brother Award an die Metro AG für ihr Projekt „Future Store“, mit dem diese die RFID-Technologie propagieren wollte. Die Idee war, Barcodes auf Waren durch RFID-Chips zu ersetzen.
Der Inhalt im Überblick
Nutzung von RFID-Chips durch Modelabels
Nunmehr geraten auch Modelabels in die Kritik, die die für den Verbraucher kaum wahrzunehmenden oder zu ertastenden Funkchips in ihren Kleidungsstücken integrieren. Bereits letztes Jahr war die italienische Modemarke Peuterey, deren Hauptvertriebssitz sich in Düsseldorf befindet, in den Fokus der Datenschützer gerückt, weil die unter ihr angebotenen Kollektionen mit RFID-Chips bestückt worden waren und dies sogar mit einem Aufnäher „Don`t remove this label“ vertuscht wurde. Hierfür erhielt das Unternehmen den Big Brother Award 2011.
Das bekannte Modelabel Gerry Weber hat sich Berichten von zeit-online zufolge zwischenzeitlich auch für den Einsatz von RFID-Chips entschieden. Das Unternehmen soll die Chips, ohne seine Kunden hierüber zu informieren, unter dem Pflege-Hinweis angebracht haben. Bemüht hatte sich das Unternehmen zwar um einen datenschutzrechtskompatiblen Einsatz – der Austausch mit dem FoeBuD führte jedoch zu keiner Einigung.
Warum werden RFID-Chips in der Industrie eingesetzt?
Die RFID-Technologie wird bislang hauptsächlich im Bereich der Logistik genutzt, um Warenströme verfolgen zu können, aber auch zur Kontrolle des Warenbestandes, also zur Diebstahlssicherung. Allerdings weist die RFID-Industrie selbst auch auf andere Einsatzmöglichkeiten hin, etwa die Nutzung zur Identifikation von Kunden, um diese persönlich ansprechen und Werbung individuell platzieren zu können.
und was kritisieren Datenschützer?
Dass die Chips nicht spätestens an der Kasse entfernt werden. In dem Moment, in dem die Ware mitsamt integriertem Chip dem Kunden übergeben wird, kann dieser mit entsprechenden Lesegeräten jedenfalls auf eine Entfernung von mehreren Metern – für ihn unmerklich – zurückverfolgt werden. Ausgelesen werden kann zunächst einmal eine Identifikationsnummer, die dem jeweiligen Warenexemplar eindeutig zugeordnet ist.
Doch im Zeitalter des bargeldlosen Zahlungsverkehrs und von Kundenkarten wird dem verkaufenden Unternehmen nicht selten auch der volle Vor- und Zuname des kaufenden Kunden gleich mitgeliefert. Dies ermöglicht dann sogar einen direkten Rückschluss auf die Identität des Besitzers der anhand des RFID-Chips zurückverfolgbaren Ware. Dies hat datenschutzrechtlich bereits deshalb katastrophale Auswirkungen, da die Erhebung und Verwendung der durch die Chips erlangten personenbezogenen Daten ganz ohne Wissen des Betroffenen vorgenommen werden.
Als Projektverantwortlicher bei GERRY WEBER möchte ich gerne noch ein paar Fakten zu unserem RFID-Projekt beisteuern:
GERRY WEBER stattet seit Januar 2011 alle in die Läden gelieferten Teile mit einem RFID-Chip aus. Dieser befindet sich bei der Mehrzahl der Teile im Pflegeetikett, dies ist meist in der linken unteren Seitennaht angebracht. Wo dies aus produktionstechnischen Gründen nicht möglich ist, nutzen wir stattdessen ein Pappetikett beim Preisschild.
Wir nutzen RFID zur Verbesserung unseren logistischen und administrativen Abläufe, sowohl in unseren Läden als auch in den Lägern.
Auf dem RFID-Chip sind der vom Barcode bekannte EAN-Code, sowie eine Seriennummer des Bekleidungsstücks gespeichert. Die Chips werden bei der Herstellung einmalig beschrieben, und danach nicht mehr verändert. Insbesondere werden keine personenbezogenen Daten auf dem Chip gespeichert.
In unseren eigenen Systemen speichern wir keine personenbezogenen Daten zusammen mit RFID-Daten. In unserem Kassensystem werden die RFID-Daten mit Abschluss des Kassiervorgangs von möglicherweise personenbezogenen Daten (Kundenkarte, ec- oder Kreditkartenzahlung) getrennt. Diese lassen sich auch nachträglich nicht mehr zusammenbringen, was wir uns durch eine unabhängige Stelle zertifizieren lassen. Ein „Wiedererkennen“ oder „Tracken“ von Kundinnen ist in unseren System damit ausgeschlossen.
GERRY WEBER legt besonders hohen Stellenwert auf Datenschutz. Wir versuchen, die Kundin offen und transparent über die Nutzung der RFID-Technologie zu informieren, und gehen dafür in unseren eigenen Läden mit Aufklebern im Eingangsbereich, klarer Markierung der RFID-Chips in der Kleidung sowie Informationsmaterial an der Kasse und auf unserer Website weit über das gesetzliche vorgesehene Maß hinaus.
Auf den Pflegeetiketten finden Sie eine Schnittmarkierung mit einem Hinweis „RFID inside – remove before wearing“, hier lässt sich der Chip entfernen ohne die gesetzlich nötigen Hinweise (Waschsymbole, Hersteller, Materialzusammensetzung) zu beeinträchtigen. Wir wissen, dass die Mehrzahl unserer Kundinnen das Pflegeetikett ohnehin aus Komfortgründen nach dem Kauf entfernt.
Ein verstecktes oder nicht markiertes Einbringen von RFID-Chips lehnen wir ab, und distanzieren uns ausdrücklich von Herstellern, die auf diese Art und Weise vorgehen.
Ich freue mich auf eine offene Diskussion.
Christian v. Grone
(IT-Leiter Gerry Weber)
ich möchte nur kurz anmerken:
wenn man per giro- oder kreditkarte bezahlt, erfasst und speichert der händler sowie der zahlungssystemdienstleister (z.b. easycash oder telecash) „nur“ kontonummer und bankleitzahl (+ datum, uhrzeit, ort, betrag).
insoweit kann der rfid-funkchip an der kleidung erst einmal „nur“ mit einer kontoverbindung, aber nicht dem vollen namen des kunden (oder der adresse) verknüpft werden.
auch wenn selbst das schon einen personenbezug ermöglicht und deshalb zu weit geht, ist es dennoch ein kleiner, feiner unterschied.
@ Herr v. Grone: Schön, dass Sie als Projektverantwortlicher zu meinem Beitrag Stellung genommen haben!
Ich denke hinsichtlich des Umstandes, dass auf den Chips selbst keine personenbezogenen Daten gespeichert werden, besteht Einigkeit. Und soweit Gerry Weber seine Kunden auf den Einsatz der RFID-Technologie hinweist und diese zu einer Entfernung des Chips auffordert, ist dies natürlich begrüßenswert. Ihren Angaben zu Folge möchten Sie die Chips aber nur zur Verbesserung der logistischen und administrativen Abläufe nutzen – nach dem eigentlichen Verkaufsvorgang an den Endkunden würden die Chips dann ja nicht mehr benötigt. Daher stellt sich für mich die Frage, warum Gerry Weber den Einsatz der Chips dann nicht so gestaltet bzw. die Chips nicht so integriert, dass diese standardmäßig beim Verkauf(-svorgang) entfernt werden? Jedenfalls wäre eine Diskussion über die datenschutzrechtliche Zulässigkeit des Einsatzes im Hinblick auf Endkunden dann hinfällig!
Sie sagen außerdem, eine Zusammenführung der RFID-Daten mit den personenbezogenen Daten, die bei Kartenzahlungen anfallen, sei systemseitig ausgeschlossen, so dass ein „Tracking“ von Kunden nicht möglich sei. Hierzu möchte ich anmerken, dass für die Annahme eines Personenbezuges oder jedenfalls einer Personenbeziehbarkeit aus Sicht des Datenschutzrechtes regelmäßig auch die rein theoretische Möglichkeit ausreichend sein kann, die Daten zusammenzuführen – also hier die RFID-Daten einer Person zuzuordnen. Anders formuliert: wäre es bspw. beim Verkaufsvorgang (rein theoretisch, und sei es nur für den verkaufenden Mitarbeiter) möglich, die Daten zusammenzuführen oder könnte zu einem späteren Zeitpunkt, eine Zusammenführung bspw. mittelbar unter Zuhilfenahme der auf dem Chip gespeicherten Seriennummer vorgenommen werden, kann man hier nicht von anonymisierten Daten sprechen.
@ Kathrin: Auch aus meiner Sicht wäre allein schon durch die Erfassung der Kontodaten an sich (Kontonummer, Bankleitzahl) ein Rückschluss auf die dahinter stehende Person möglich, was aus datenschutzrechtlicher Sicht dazu führt, dass es sich hierbei um ein personenbezogenes Datum handelt. Dies würde bei einer (fiktiven) Verknüpfung mit den RFID-Daten dann auch dazu führen, dass bei Auslesen des Chips ein Bezug zu einer bestimmten Person hergestellt werden kann.
Allerdings ist es vielfach so, dass der Händler zusätzlich auch den Namen und sogar die Anschrift des Karteninhabers zumindest kurzfristig aus Gründen der Forderungsdurchsetzung und Betrugsbekämpfung speichern darf, bspw. bei EC-Kartenzahlung mit Unterschrift (vgl. https://www.datenschutzzentrum.de/wirtschaft/datenerhebung_ec-karte.htm).
@Dr. Datenschutz:
Wir haben (schon im letzten Jahr!) entschieden, die Chips sobald technisch möglich an der Kasse per Kill-Befehl zu deaktivieren, so dass weder wir noch andere den Chip dann noch auslesen können. Dies befindet sich in der Implementierung und wird vermutlich im Frühsommer möglich sein.
Das mechanische Entfernen an der Kasse machen wir nur auf Wunsch, das generell Durchzuführen wäre ein hoher Aufwand und würde einen Vorgang, den die Mehrzahl der Kundinnen zuhause sowieso durchführt nur verlagern. Wir haben uns für die Implemtierung im Pflegeetikett entschieden, weil dieses im Gegensatz zu Papp-Hangtags nicht versehentlich abfallen kann. Wir erleben bei unseren Preisetiketten leider, dass speziell bei Blazern, Jacken und anderen hängenden Artikeln das Etikett am Nachbar-Teil hängenbleibt und dann ab ist. Da wir RFID auch für die Diebstahlsicherung einsetzen wäre ein Pappetikett nicht zweckmäßig – im Augenblick ist es bei wenigen Artikeln der Plan B, wenn ein Pflegeetikett aus produktionstechnischen Gründen nicht in Frage kommt.
Der EPC (die auf dem Chip gespeicherten Daten) ist unstreitig personenbeziehbar, wir schließen aber zumindest in unseren System auditierbar einen Personenbezug aus. Nur weil man eine Technik so bauen könnte dass es personenbezogen wäre, bedeutet das nicht automatisch schon den Personenbezug. Der Mitarbeiter könnte nur mit Abschreiben des EPC per Papier und Bleistift, und notieren der Personalien des Kunden, einen Personenbezug des EPC herstellen. Das wäre kaum unauffällig möglich, bzw. ist zumindest kein realistisches Risikoszenario.