Bundesministerium für Wirtschaft und Technologie
Berlin, den 28. Juni 2013
Parlamentarischer Staatssekretär
An den Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Winfried Kretschmann
Sehr geehrter Herr Bundesratspräsident,
namens der Bundesregierung übersende ich Ihnen in der Anlage die Antwort der Bundesregierung zum Beschluss des Bundesrates zu der "Entschließung des Bundesrates zum verbrauchergerechten Einsatz der Radiofrequenztechnologie RFID" (Drucksache 048/11(B) ).
Mit freundlichen Grüßen
Hans-Joachim Otto
Stellungnahme der Bundesregierung zur "Entschließung des Bundesrates zum verbrauchergerechten Einsatz der Radiofrequenztechnologie RFID"
(Beschluss des Bundesrates vom 18.03.2011 (Drs. 048/11 (PDF) ))
Zu 1. Potenziale der RFID-Technologie und informationelle Selbstbestimmung der Verbraucherinnen und Verbraucher
Die Radiofrequenz-Identifikation (RFID) ist auch aus Sicht der Bundesregierung eine wichtige Schlüsseltechnologie mit einem hohen Innovations- und Wachstumspotenzial. Ziel der Bundesregierung ist es daher, das große Potenzial dieser Querschnittstechnologie für Wachstum und Beschäftigung voll auszuschöpfen. Insofern sind ein hohes Maß an Akzeptanz und Vertrauen von Verbraucherinnen und Verbraucher in die Datensicherheit und in den Schutz der persönlichen Daten besonders wichtige Faktoren für die erfolgreiche Einführung der RFID-Technologie. In diesem Zusammenhang ist auch für die Bundesregierung die informationelle Selbstbestimmung der Verbraucherinnen und Verbraucher über ihre persönlichen Daten von großer Bedeutung.
Zu 2. Aufforderung der Bundesregierung:
Die "Empfehlung der Europäischen Kommission zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen" vom 12. Mai 2009 (2009/387/EG) auf nationaler Ebene umzusetzen und zu konkretisieren."
Die Initiative der Europäischen Kommission (EU-KOM) mit der "Empfehlung der Kommission zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen" vom 12.05.2009, das Vertrauen und den Datenschutz der Verbraucherinnen und Verbraucher bei RFID-gestützten Anwendungen zu stärken, wird von der Bundesregierung begrüßt, da diese Fragen und die technologiespezifischen Herausforderungen dieser Querschnittstechnologie aufgrund ihres grenzüberschreitenden Charakters nur auf europäischer und globaler Ebene gelöst werden können. Wesentliche Elemente dieser Empfehlung wurden auf Initiative der Europäischen Kommission durch relevante europäische und deutsche Industrie- und Anwenderverbände der RFID-Technologie mit Unterstützung des Bundesministeriums für Wirtschaft und Technologie (BMWi) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bereits auf den Weg gebracht und befinden sich in der Umsetzung.
Aus Sicht der Bundesregierung sind dabei vor allem die nachfolgenden Aktivitäten auf nationaler und europäischer Ebene zu nennen, die im Fokus der Datenschutz-Empfehlung für RFID-gestützte Anwendungen der EU-KOM stehen:
- Die Entwicklung eines Rahmens für Datenschutzfolgeabschätzungen für RFID-Anwendungen
Auf Initiative der EU-KOM und mit Unterstützung der Bundesregierung, insbesondere des BMWi und BSI, wurde ein europäischer Rahmen für Datenschutzfolgeabschätzungen bei RFID-Anwendungen (Privacy Impact Assessment (PIA) - Framework) - als eine weltweit erstmalige Selbstverpflichtung der europäischen und deutschen Wirtschaft im Bereich des Datenschutzes bei RFID-Anwendungen - unter maßgeblicher Beteiligung der deutschen Branchenverbände BITKOM (Verband der Anbieter von Informations- und Kommunikationstechnologien) und AIM-D (Verband der Anbieter für Identifikationstechnologien) entwickelt. Die Vereinbarung für einen "Rahmen zur Folgenabschätzung in Bezug auf den Datenschutz und die Wahrung der Privatsphäre bei RFID-Anwendungen" (PIA-Framework) wurde von der Art. 29-Datenschutzgruppe der Europäischen Union am 11. Februar 2011 gebilligt und unter der Beteiligung der deutschen Verbände BITKOM und AIM sowie im Beisein der Vizepräsidentin der EU-KOM Neelie Kroes am 6. April 2011 unterzeichnet. Die Bundesregierung hält den PIA-Framework für einen guten Ansatz zur Stärkung des Datenschutzes bei der Nutzung der RFID-Technologie durch die Wirtschaft und hat in der vom BMWi geleiteten "Dialogplattform Internet der Dinge/RFID", in der relevante Akteure des Bundes und der Wirtschaft zum Thema RFID vertreten sind, für die Anwendung des Datenschutzrahmens geworben. Darüber hinaus hat das BMWi die Schirmherrschaft über eine gemeinsame Initiative des AIMD-Verbandes mit dem BSI und BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) zur Sensibilisierung der deutschen Wirtschaft zu dem PIA-Framework in Branchenverbänden, u.a. im Verband der Deutschen Automobilindustrie, übernommen.
- Die Entwicklung eines PIA-Leitfadens und von anwendungsspezifischen technischen Richtlinien für die Informationssicherheit und den Datenschutz
Aus Sicht der Bundesregierung ist der Schutz von persönlichen Daten eng mit der Sicherheit der zu übertragenden und zu verarbeitenden Daten - Stichwort: Informationssicherheit - verbunden. Zudem lässt sich beides aufgrund des Querschnittcharakters der RFID-Technologie nur anwendungsspezifisch sinnvoll und effizient auf einem hohen Schutzniveau umsetzen. Das BSI hat deshalb gemeinsam mit der Wirtschaftsuniversität Wien ein Projekt zur Erstellung eines sogenannten Privacy-Impact-Assessment-Leitfadens (PIA-Leitfaden) gestartet. Dieser Leitfaden wird neben der verständlichen Beschreibung der notwendigen Schritte zur Durchführung eines PIAs für ausgesuchte Anwendungsfälle Maßnahmenbeschreibungen enthalten, welche die bisherigen Dokumente des BSI zu Sicherheit und Datenschutz bei RFID-Anwendungen (Technische Richtlinien für den sicheren RFID-Einsatz=TR RFID) ergänzen. Somit wird mit der Kombination von PIA-Leitfaden und TR RFID eine vollständige Abdeckung von Fragen der Informationssicherheit und des Datenschutzes bei RFID-Anwendungen erreicht werden. Das BSI hat u.A. "Technische Richtlinien für den sicheren RFID-Einsatz" (BSI TR-03126) für die folgenden Einsatzgebiete in Angriff genommen bzw. entwickelt und auf seiner Webseite veröffentlicht:
- - Zutritt zu Veranstaltungen (Event - Ticketing)
- - Nutzung öffentlicher Verkehrsmittel (ÖPV - Ticketing und Near field Communication (NFC) - Ticketing)
- - Verwendung von Electronic Productcode(EPC)- konformen Transpondern in der Handelskette.
Die TR-RFID des BSI sollen als Leitfaden für Hersteller und Anwender von spezifischen RFID-Lösungen in Bezug auf Funktions- und Informationssicherheit sowie Datenschutz dienen, für Transparenz bei der Datensicherheit sorgen und die Grundlage für die Vergabe eines Zertifikats durch eine Zertifizierungsstelle bilden. Die durch das BSI für die TR-RFID entwickelte Methodik zur Abschätzung von Sicherheitsvorfällen ist ein integraler Bestandteil des PIA-Framework und insofern kompatibel mit diesem europäischen Rahmenwerk zur Datenschutzfolgeabschätzung. Damit ist eine europäische Anwendung der BSI TR-03126 implizit gegeben und schon heute möglich. Nähere Informationen zu der Richtlinienreihe TR-03126 sind verfügbar auf der Webseite des BSI unter dem Link: Publikationen/TechnischeRichtlinien/tr03126/index" title="Externer Verweis">https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03126/index htm .html
- Die Kennzeichnung von RFID-Chips
Die Bundesregierung sieht in der Kennzeichnung von RFID eine wichtige Maßnahme zur Schaffung von Transparenz und Vertrauen bei der Nutzung von RFID. Sie begrüßt daher die Initiative der Kommission zur Entwicklung und Standardisierung eines "Gemeinsamen Europäischen RFID-Zeichens" im Rahmen des Normungsmandats M/436 zur RFID-Technologie an die europäischen Standardisierungsorganisationen CEN/CENELEC und ETSI (ESO"s). Dabei wird von der Bundesregierung das Vorgehen der Kommission, bestehend aus einer Kombination von Selbstregulierung mittels "Richtlinien für die Anwendung eines gemeinsamen europäischen RFID-Zeichens" (vom 15.01.2012) und technischer Regulierung mittels eines europäischen Standards für ein RFID-Zeichen als ein geeigneter Ansatz zur Umsetzung der RFID-Richtlinie in den Punkten Information, Transparenz und Einsatz von RFID im Einzelhandel unterstützt.
- Zur Forderung einer einfachen und für die Verbraucherinnen und Verbraucher nachvollziehbaren Deaktivierung der RFID-Chips
Der Forderung einer generellen Deaktivierung der RFID-Chips auf der Ebene der Verbraucher (im Einzelhandel am sog. Point of Sale) wird zugestimmt. Dabei sind ggf. branchenspezifische Prozesse nach dem Verkaufsvorgang (sog. After-Sales-Prozesse), wie z.B. Garantieleistungen, zu berücksichtigen, die eine Nicht-Deaktivierung bzw. Aktivierung des Tags voraussetzen. Transparenz und Entscheidungsfreiheit für Verbraucher müssen auch für solche Anwendungen gewährleistet bleiben. PIA-Framework und RFID-Kennzeichen sind wichtige Grundlagen auch für den Weiterbetrieb bzw. die Wiederinbetriebnahme der RFID-Tags nach dem Verkaufsvorgang am Point of Sale.
Zu 3. Aufforderung der Bundesregierung:
Die "Verhandlungen mit der Wirtschaft über eine Selbstverpflichtung zum Einsatz von RFID in Richtung einer international - zumindest europaweit einheitlichen - Regelung wieder aufzunehmen."
Die Bundesregierung unterstützt das Grundanliegen der Sicherstellung eines angemessenen Daten- und Verbraucherschutzes beim Einsatz der RFID-Technologie im Einzelhandel. Die Umsetzung der europäischen Selbstverpflichtung für Datenschutzfolgenabschätzungen (PIA-Framework) in Verbindung mit den technischen Richtlinien des BSI für den sicheren RFID-Einsatz im Einzelhandel und einer Kennzeichnung von RFID sind nach Ansicht der Bundesregierung hierfür geeignete Instrumente.
Angesichts der von der deutschen und europäischen Wirtschaft zu den unter Punkt 2. aufgeführten Umsetzungsmaßnahmen zur Datenschutz-Empfehlung der EU-KOM hält die Bundesregierung Verhandlungen für eine Selbstverpflichtungserklärung deutscher Unternehmen nicht für erforderlich. Sowohl eine nationale Selbstverpflichtung und als auch eine technologiespezifische Datenschutzlösung wäre wegen des globalen Charakters der RFID-Technologie und der modernen Internet-Technologien kaum zielführend. Vielmehr kommt es jetzt darauf an, den unter Punkt 2. beschriebenen Weg zur Umsetzung der Datenschutz-Empfehlung der EU-KOM im Bereich der RFID-Anwendungen weiter konsequent zu beschreiten.
Zu 4.
"Der Bundesrat betont, dass durch die Kennzeichnung von RFID-Chips und Verbraucherinformationen weder die Anforderungen an die Wirksamkeit von datenschutzrechtlichen Einwilligungen abgesenkt werden dürfen noch Eingriffe in den unantastbaren Bereich des Persönlichkeitsrechts gerechtfertigt werden können. "
Bei der Kennzeichnung von RFID-Chips geht die Bundesregierung - wie mit der Entschließung des Bundesrates gefordert - davon aus, dass die Persönlichkeitsrechte im Hinblick auf die datenschutzrechtlichen Einwilligungen gemäß dem Bundesdatenschutzgesetz vollumfänglich gewahrt bleiben.