Der Bundesrat hat in seiner 881. Sitzung am 18. März 2011 beschlossen, die aus der Anlage ersichtliche Entschließung zu fassen.
Anlage
Entschließung des Bundesrates zum verbrauchergerechten Einsatz der Radiofrequenztechnologie RFID
- 1. Der Bundesrat betrachtet RFID (Radiofrequenz-Identifikation) als eine Zukunftstechnologie mit großem Potential für Wirtschaft und Konsumenten. Nach Auffassung des Bundesrates ist die informationelle Selbstbestimmung der Verbraucherinnen und Verbraucher über die Verwendung ihrer persönlichen Daten für die breite Akzeptanz von RFID in verbraucherrelevanten Bereichen von großer Bedeutung.
- 2. Der Bundesrat fordert die Bundesregierung auf, die Empfehlung der EU-Kommission zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen vom 12. Mai 2009 (2009/387/EG, veröffentlicht in ABl. L 122 vom 16.05.2009, S. 47ff.) auf nationaler Ebene umzusetzen und zu konkretisieren. Aus Sicht des Verbraucherschutzes sollen insbesondere folgende Anforderungen gewährleistet sein:
- - Der Einsatz von RFID-Anwendungen in verbraucherrelevanten Bereichen soll mit einem Datenschutzkonzept verbunden sein, um die Sicherheit der persönlichen Daten zu gewährleisten.
- - Die Verbraucherinformation sollte besonders dort, wo RFID zum Einsatz kommt, verstärkt werden.
- - Die Kennzeichnung von RFID sollte nach international zumindest europaweit einheitlichen Standards erfolgen und leicht identifizierbar sein. Für RFID-Anwendungen im Einzelhandel sollte dabei neben einer Bereichskennzeichnung in Erwägung gezogen werden, einen produktbezogenen Hinweis auf RFID einzuführen, der sich am Produkt selbst befindet oder Teil der Produktkennzeichnung ist also beispielsweise auf dem Etikett, am Regal, im Vertrag oder auf der Verpackung angebracht ist. Die Kennzeichnung von mit RFID-Chips versehenen Produkten in verbraucherrelevanten Bereichen auch außerhalb des Einzelhandels ist in diesem Zusammenhang ebenfalls zu prüfen.
- - Eine Deaktivierung der Chips sollte auf einfachem Weg möglich und für alle Verbraucherinnen und Verbraucher nachvollziehbar sein.
- 3. Der Bundesrat fordert die Bundesregierung auf, die Verhandlungen mit der Wirtschaft über eine Selbstverpflichtung zum Einsatz von RFID in Richtung einer international zumindest europaweit einheitlichen - Regelung wieder aufzunehmen. Diese sollte unter anderem Vorgaben für die Kennzeichnung, Verbraucherinformation, für Datenschutzkonzepte und die Deaktivierung der RFID-Chips in verbraucherrelevanten Bereichen enthalten. Sollte dies in absehbarer Zeit nicht im Rahmen einer Selbstverpflichtung gelingen, ist eine gesetzliche Regelung anzustreben. Die Bundesregierung möge sich außerdem auf EU-Ebene für eine zügige Verabschiedung des Konzepts zur Datenschutzfolgeabschätzung und die schnelle Entwicklung eines einheitlichen Logos einsetzen.
- 4. Der Bundesrat betont, dass durch die Kennzeichnung von RFID-Chips und Verbraucherinformationen weder die Anforderungen an die Wirksamkeit von datenschutzrechtlichen Einwilligungen abgesenkt werden dürfen noch Eingriffe in den unantastbaren Bereich des Persönlichkeitsrechts gerechtfertigt werden können.
Begründung:
Zu 1.:
Die RFID (Radiofrequenz-Identifikations)-Technologie ist wie der bekannte optische Barcode, Magnetstreifenkarten und (Geld-)Kartenchips eine Technologie zur automatischen Identifikation von Gegenständen und Lebewesen. RFID ermöglicht eine eindeutige Identifizierung jedes Produktes, ohne auf Verpackungen aufzufallen und ohne eine Sicht- oder Kontaktverbindung zu benötigen. Die Möglichkeit der kontaktlosen eindeutigen Identifikation von Produkten macht RFID zu einer Querschnittstechnologie mit großem Potential und vielfältigen Anwendungsfeldern. Die Einsatzmöglichkeiten reichen von der Fälschungssicherheit über Zahlungssysteme bis hin zu Logistik und Produktion.
RFID birgt nicht nur große Chancen für die Wirtschaft, sondern auch für die Verbraucherinnen und Verbraucher. Sie profitieren von sinkenden Produktionskosten und schnelleren Bezahlsystemen ebenso wie von eindeutig identifizierbaren und damit rückverfolgbaren Produkten. Risiken bestehen vor allem im Bereich des Datenschutzes mit der Gefahr, dass bei RFID-Systemen ein Missbrauch personenbeziehbarer oder personenbezogener Datenaufzeichnungen bei mangelnden Vorkehrungen einfacher oder vom Verbraucher unbemerkt erfolgen kann.
Zu 2.:
Im Mai 2009 veröffentliche die EU-Kommission eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen (2009/387/EG, veröffentlicht in ABl. L 122 vom 16.5.2009, S. 47ff.). Darin werden die Mitgliedsstaaten unter anderem in folgenden Bereichen zum Handeln aufgefordert:
- - Die Mitgliedsstaaten sollen dafür sorgen, dass Betreiber von RFID-Anwendungen eine Datenschutzfolgeabschätzung vorlegen, die spätestens sechs Wochen vor Einführung der Anwendung der zuständigen Behörde zur Verfügung steht. In diesem Zusammenhang sollen die Betreiber auch geeignete technische und organisatorische Maßnahmen treffen, um den Schutz personenbezogener Daten und die Wahrung der Privatsphäre zu gewährleisten. Außerdem sollen sie eine Person oder Personengruppe benennen, die für die Prüfung der Folgenabschätzungen und der dauerhaften Eignung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten und zur Wahrung der Privatsphäre verantwortlich ist.
- - Die Mitgliedsstaaten sollen dafür sorgen, dass die Branche in Zusammenarbeit mit den Beteiligten aus der Zivilgesellschaft einen Rahmen für Datenschutzfolgeabschätzungen aufstellt.
- - Die Mitgliedsstaaten sollen dafür sorgen, dass die Betreiber für jede Anwendung eine kurze, verständliche Information veröffentlichen. Diese soll mindestens Name und Anschrift des Anbieters, Zweck der Anwendung, Art der verarbeiteten Daten, eine Zusammenfassung der Datenschutzfolgeabschätzung sowie die wahrscheinlichen Risiken und mögliche Gegenmaßnahmen enthalten.
- - Die Mitgliedsstaaten sollen dafür sorgen, dass die Betreiber mit Hilfe eines europaweit einheitlichen Zeichens Verbraucherinnen und Verbraucher über die Präsenz von Lesegeräten informieren. Das Zeichen sollte den Namen des Betreibers und eine Anlaufstelle enthalten, bei der die oben genannte Information erhältlich ist.
- - Der Einzelhandel soll Verbraucherinnen und Verbraucher anhand eines europaweit einheitlichen Zeichens über die Präsenz von an Produkten angebrachten RFID-Chips informieren.
- - Einzelhändler sollen die in ihrer Anwendung genutzten RFID-Chips am Verkaufsort kostenlos deaktivieren oder entfernen, es sei denn, die Verbraucher stimmen nach Aufklärung anhand der vorgenannten Informationen der weiteren Betriebsfähigkeit der RFID-Tags zu.
Eine Pflicht zur standardmäßigen Deaktivierung besteht nicht, wenn die Datenschutzfolgeabschätzung ergeben hat, dass durch den Weiterbetrieb der am Produkt angebrachten RFID-Chips nach Verlassen des Einkaufsorts wahrscheinlich keine Bedrohung für die Privatsphäre oder den Schutz personenbezogener Daten besteht. Auch in diesem Fall sollte eine einfache und kostenlose Möglichkeit zur Deaktivierung bestehen. Durch die Deaktivierung oder Entfernung sollen die Rechtspflichten gegenüber dem Verbraucher nicht eingeschränkt werden.
- - Die Mitgliedsstaaten sollten in Zusammenarbeit mit der Branche, der Kommission und Organisationen der Zivilgesellschaft Maßnahmen ergreifen, um RFID in das öffentliche Bewusstsein zu rücken.
Abgesehen von einfachen Anwendungen beispielweise zum Diebstahlschutz im Einzelhandel oder bei Wegfahrsperren in Autos wurde die RFID-Technologie bisher vor allem im Bereich der Produktion und Logistik oder in Form von Zeiterfassungschips, Skipässen, Veranstaltungskarten sowie Pilotprojekten im Endkundenbereich eingesetzt. In den letzten Jahren ist eine deutliche Zunahme des RFID-Einsatzes im regulären Geschäftsbetrieb zu verzeichnen: Immer mehr Bibliotheken, Kantinen und Krankenhäuser setzen RFID in Ausweisen, Bezahlkarten und Patientenarmbändern ein. Neben dem elektronischen Reisepass enthält auch der elektronische Personalausweis einen RFID-Chip. Im Einzelhandel sind erste Waren zu finden, die den RFID-Chip als Teil des Produktes integrieren, beispielsweise in Form eines eingenähten Etiketts bei Textilien. Dieses wird von den Verbraucherinnen und Verbrauchern anders als ein außen angehängtes Papieretikett vor dem Tragen nicht automatisch entfernt.
Die RFID-Technologie kann nur dann Erfolg haben, wenn diese beim Verbraucher breite Akzeptanz findet. Die EU-Empfehlung bietet hierfür eine gute Basis. Bisher hat die Bundesregierung keine ausreichenden Aktivitäten für eine verbindliche Umsetzung der Empfehlung auf nationaler Ebene gezeigt. Zudem ist zur Gewährleistung des Verbraucherschutzes eine Konkretisierung besonders im Bereich der Kennzeichnung erforderlich.
Die EU-Empfehlung zu RFID und Datenschutz sieht zur Kennzeichnung von mit RFID-Chips versehenen Produkten im Einzelhandel eine Bereichskennzeichnung vor. Diese Vorgabe wäre mit einem allgemeinen Hinweis beispielsweise am Eingang des Verkaufsortes erfüllt. Um die für die Verbraucherinnen und Verbraucher notwendige Transparenz zu gewährleisten, ist jedoch ein konkreter Hinweis im Zusammenhang mit dem betreffenden Produkt zu prüfen. Denn ohne einen Hinweis darauf, in welchen Produkten sich der RFID-Chip befindet, ist es Verbraucherinnen und Verbrauchern u. U. nicht möglich, den Chip bewusst deaktivieren zu lassen. Die Kennzeichnung von mit RFID-Chips versehenen Produkten in verbraucherrelevanten Bereichen auch außerhalb des Einzelhandels ist in diesem Zusammenhang ebenfalls zu prüfen. Eine Kennzeichnung von RFID ist Voraussetzung für die Wahrnehmung der Rechte im Bereich des Datenschutzes.
Im Sinne der Wiedererkennbarkeit sollte die Kennzeichnung anhand eines einheitlichen und einfachen, verständlichen Logos erfolgen. Die Vorarbeiten der Wirtschaft zur Entwicklung eines EU-einheitlichen Logos haben begonnen, sind aber noch nicht abgeschlossen.
Im Bereich der Verbraucherinformation fordert die EU-Empfehlung von den Mitgliedsstaaten Maßnahmen, die RFID ins öffentliche Bewusstsein rücken. Bisher sind von Seiten der Bundesregierung kaum relevante Aktivitäten zur Verbraucherinformation zu verzeichnen. Eine Verbraucherinformation ist mindestens dort zu fordern, wo Verbraucherinnen und Verbraucher mit Produkten, die RFID-Chips enthalten, konfrontiert werden. Über die Information am Produkt hinaus sollten Kommunikationsvorgänge, die in Bezug auf RFID-Chips eine Verarbeitung auslösen, für die Verbraucherinnen und Verbraucher erkennbar sein (optische/akustische Signalisierung).
Im Bereich des Datenschutzes wurde durch die Wirtschaft auf EU-Ebene ein Rahmenkonzept für die Durchführung einer Datenschutzfolgeabschätzung vorgelegt. Der Entwurf wurde im Juli 2010 durch die Artikel 29- Datenschutzgruppe abgelehnt. Mit einer Veröffentlichung der im November 2010 vorgelegten Änderungen durch die EU-Kommission wird im April 2011 gerechnet. Der Prozess der Entwicklung eines einheitlichen Logos endet voraussichtlich im Mai 2012. Ein gültiges Rahmenkonzept existiert also derzeit nicht. Angesichts der Tatsache, dass immer mehr mit RFID ausgestattete Produkte auf den Markt gelangen, müssen verbindliche Vorgaben für eine Datenschutzfolgeabschätzung und ein Datenschutzkonzept der Betreiber entwickelt werden. Da die in der EU-Empfehlung genannten Anforderungen an die Deaktivierung der RFID-Chips vom Ergebnis der Datenschutzfolgeabschätzung abhängig gemacht werden, fehlen auch in diesem Bereich klare Vorgaben.
Verbraucherinnen und Verbraucher, die in- und außerhalb des Einzelhandels mit RFID in Berührung kommen, sehen sich momentan einer Situation gegenüber, in der die betreffenden Produkte nicht oder mit verschiedenen Logos gekennzeichnet sind. Informationen über die Technologie sind bis auf Ausnahmen am Verkaufsort nicht erhältlich. Einheitliche, verlässliche Vorgaben für ein Datenschutzkonzept beim Einsatz von RFID und für die Deaktivierung der Chips existieren nicht.
Klare und eindeutige Kennzeichnungsvorgaben, eine ausreichende Verbraucherinformation und die Gewährleistung des Schutzes der persönlichen Daten sind nicht nur wichtig für die Verbraucherakzeptanz der RFID-Technologie. Auch die Unternehmen, die RFID einsetzen, sind auf klare Vorgaben angewiesen. Dies bestätigten die Diskussionen mit Wirtschaft, Verbraucherverbänden und Datenschützern im Verbraucherdialog RFID in Rheinland-Pfalz, der im August 2010 abgeschlossen wurde. Es besteht daher Handlungsbedarf.
Zu 3.:
In ihrer Unterrichtung vom 13. Januar 2008 "Bericht der Bundesregierung zu den Aktivitäten, Planungen und zu einem möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie" (BT Drucksache. 16/7891, S. 10 - 14) spricht sich die Bundesregierung für den Vorrang einer Selbstverpflichtung der Wirtschaft aus. Diese sollte nach Auffassung der Bundesregierung die Bereiche Transparenz und Kennzeichnungspflicht, verbindlicher Verzicht auf heimliche Profilbildung, Datensicherheit, Deaktivierungsmöglichkeit und Datensparsamkeit abdecken und wirksame Sanktionsmechanismen beinhalten.
Sollte in absehbarer Zeit keine effektive Selbstverpflichtung durch die Wirtschaft zustande kommen, spricht sich auch die Bundesregierung dafür aus, eine gesetzliche Regelung zu prüfen. Der gesetzgeberische Handlungsbedarf ist nach Auffassung der Bundesregierung spätestens dann erneut zu prüfen, wenn RFID in der Verbrauchersphäre einen größeren Verbreitungsgrad erreicht. Angesichts der zunehmenden Verbreitung von RFID sowohl im privatwirtschaftlichen als auch im öffentlichen Bereich (Einführung des elektronischen Reisepasses und Personalausweises) liegen diese Voraussetzungen inzwischen vor. Es ist insofern folgerichtig, einen Abschluss der Beratungen über eine Selbstverpflichtung, in absehbarer Zeit anzustreben und, sollte dies nicht gelingen, eine gesetzliche Regelung auf den Weg zu bringen.
Zu 4.:
Der Bundesrat sieht die Gefahr, dass einzelne Unternehmen sich durch sehr weitgehende, oftmals für die betroffenen Kunden kaum erkennbare oder wenig verständliche Einwilligungserklärungen die Möglichkeit zur Erstellung von Kunden- und Persönlichkeitsprofilen zu verschaffen versuchen. Gerade bei Alltagsgeschäften dürfen jedoch an die Aufmerksamkeit der betroffenen Verbraucher gegenüber häufig als "Datenschutzerklärung" bezeichneten Einwilligungserklärungen keine überzogenen und realitätsfernen Anforderungen gestellt werden. Daher müssen auch bei Einführung von Kennzeichnungs- und Informationspflichten für RFID-Anwendungen weiterhin die Anforderungen an die Wirksamkeit datenschutzrechtlicher Einwilligungen nach § 4a BDSG Beachtung finden und der Kernbereich des Persönlichkeitsrechts unangetastet bleiben.