Beschluss des Bundesrates
Entschließung des Bundesrates zum verbrauchergerechten Einsatz der Radiofrequenztechnologie RFID

Der Bundesrat hat in seiner 881. Sitzung am 18. März 2011 beschlossen, die aus der Anlage ersichtliche Entschließung zu fassen.

Anlage
Entschließung des Bundesrates zum verbrauchergerechten Einsatz der Radiofrequenztechnologie RFID

Begründung:

Zu 1.:

Die RFID (Radiofrequenz-Identifikations)-Technologie ist wie der bekannte optische Barcode, Magnetstreifenkarten und (Geld-)Kartenchips eine Technologie zur automatischen Identifikation von Gegenständen und Lebewesen. RFID ermöglicht eine eindeutige Identifizierung jedes Produktes, ohne auf Verpackungen aufzufallen und ohne eine Sicht- oder Kontaktverbindung zu benötigen. Die Möglichkeit der kontaktlosen eindeutigen Identifikation von Produkten macht RFID zu einer Querschnittstechnologie mit großem Potential und vielfältigen Anwendungsfeldern. Die Einsatzmöglichkeiten reichen von der Fälschungssicherheit über Zahlungssysteme bis hin zu Logistik und Produktion.

RFID birgt nicht nur große Chancen für die Wirtschaft, sondern auch für die Verbraucherinnen und Verbraucher. Sie profitieren von sinkenden Produktionskosten und schnelleren Bezahlsystemen ebenso wie von eindeutig identifizierbaren und damit rückverfolgbaren Produkten. Risiken bestehen vor allem im Bereich des Datenschutzes mit der Gefahr, dass bei RFID-Systemen ein Missbrauch personenbeziehbarer oder personenbezogener Datenaufzeichnungen bei mangelnden Vorkehrungen einfacher oder vom Verbraucher unbemerkt erfolgen kann.

Zu 2.:

Im Mai 2009 veröffentliche die EU-Kommission eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen (2009/387/EG, veröffentlicht in ABl. L 122 vom 16.5.2009, S. 47ff.). Darin werden die Mitgliedsstaaten unter anderem in folgenden Bereichen zum Handeln aufgefordert:

Abgesehen von einfachen Anwendungen beispielweise zum Diebstahlschutz im Einzelhandel oder bei Wegfahrsperren in Autos wurde die RFID-Technologie bisher vor allem im Bereich der Produktion und Logistik oder in Form von Zeiterfassungschips, Skipässen, Veranstaltungskarten sowie Pilotprojekten im Endkundenbereich eingesetzt. In den letzten Jahren ist eine deutliche Zunahme des RFID-Einsatzes im regulären Geschäftsbetrieb zu verzeichnen: Immer mehr Bibliotheken, Kantinen und Krankenhäuser setzen RFID in Ausweisen, Bezahlkarten und Patientenarmbändern ein. Neben dem elektronischen Reisepass enthält auch der elektronische Personalausweis einen RFID-Chip. Im Einzelhandel sind erste Waren zu finden, die den RFID-Chip als Teil des Produktes integrieren, beispielsweise in Form eines eingenähten Etiketts bei Textilien. Dieses wird von den Verbraucherinnen und Verbrauchern anders als ein außen angehängtes Papieretikett vor dem Tragen nicht automatisch entfernt.

Die RFID-Technologie kann nur dann Erfolg haben, wenn diese beim Verbraucher breite Akzeptanz findet. Die EU-Empfehlung bietet hierfür eine gute Basis. Bisher hat die Bundesregierung keine ausreichenden Aktivitäten für eine verbindliche Umsetzung der Empfehlung auf nationaler Ebene gezeigt. Zudem ist zur Gewährleistung des Verbraucherschutzes eine Konkretisierung besonders im Bereich der Kennzeichnung erforderlich.

Die EU-Empfehlung zu RFID und Datenschutz sieht zur Kennzeichnung von mit RFID-Chips versehenen Produkten im Einzelhandel eine Bereichskennzeichnung vor. Diese Vorgabe wäre mit einem allgemeinen Hinweis beispielsweise am Eingang des Verkaufsortes erfüllt. Um die für die Verbraucherinnen und Verbraucher notwendige Transparenz zu gewährleisten, ist jedoch ein konkreter Hinweis im Zusammenhang mit dem betreffenden Produkt zu prüfen. Denn ohne einen Hinweis darauf, in welchen Produkten sich der RFID-Chip befindet, ist es Verbraucherinnen und Verbrauchern u. U. nicht möglich, den Chip bewusst deaktivieren zu lassen. Die Kennzeichnung von mit RFID-Chips versehenen Produkten in verbraucherrelevanten Bereichen auch außerhalb des Einzelhandels ist in diesem Zusammenhang ebenfalls zu prüfen. Eine Kennzeichnung von RFID ist Voraussetzung für die Wahrnehmung der Rechte im Bereich des Datenschutzes.

Im Sinne der Wiedererkennbarkeit sollte die Kennzeichnung anhand eines einheitlichen und einfachen, verständlichen Logos erfolgen. Die Vorarbeiten der Wirtschaft zur Entwicklung eines EU-einheitlichen Logos haben begonnen, sind aber noch nicht abgeschlossen.

Im Bereich der Verbraucherinformation fordert die EU-Empfehlung von den Mitgliedsstaaten Maßnahmen, die RFID ins öffentliche Bewusstsein rücken. Bisher sind von Seiten der Bundesregierung kaum relevante Aktivitäten zur Verbraucherinformation zu verzeichnen. Eine Verbraucherinformation ist mindestens dort zu fordern, wo Verbraucherinnen und Verbraucher mit Produkten, die RFID-Chips enthalten, konfrontiert werden. Über die Information am Produkt hinaus sollten Kommunikationsvorgänge, die in Bezug auf RFID-Chips eine Verarbeitung auslösen, für die Verbraucherinnen und Verbraucher erkennbar sein (optische/akustische Signalisierung).

Im Bereich des Datenschutzes wurde durch die Wirtschaft auf EU-Ebene ein Rahmenkonzept für die Durchführung einer Datenschutzfolgeabschätzung vorgelegt. Der Entwurf wurde im Juli 2010 durch die Artikel 29- Datenschutzgruppe abgelehnt. Mit einer Veröffentlichung der im November 2010 vorgelegten Änderungen durch die EU-Kommission wird im April 2011 gerechnet. Der Prozess der Entwicklung eines einheitlichen Logos endet voraussichtlich im Mai 2012. Ein gültiges Rahmenkonzept existiert also derzeit nicht. Angesichts der Tatsache, dass immer mehr mit RFID ausgestattete Produkte auf den Markt gelangen, müssen verbindliche Vorgaben für eine Datenschutzfolgeabschätzung und ein Datenschutzkonzept der Betreiber entwickelt werden. Da die in der EU-Empfehlung genannten Anforderungen an die Deaktivierung der RFID-Chips vom Ergebnis der Datenschutzfolgeabschätzung abhängig gemacht werden, fehlen auch in diesem Bereich klare Vorgaben.

Verbraucherinnen und Verbraucher, die in- und außerhalb des Einzelhandels mit RFID in Berührung kommen, sehen sich momentan einer Situation gegenüber, in der die betreffenden Produkte nicht oder mit verschiedenen Logos gekennzeichnet sind. Informationen über die Technologie sind bis auf Ausnahmen am Verkaufsort nicht erhältlich. Einheitliche, verlässliche Vorgaben für ein Datenschutzkonzept beim Einsatz von RFID und für die Deaktivierung der Chips existieren nicht.

Klare und eindeutige Kennzeichnungsvorgaben, eine ausreichende Verbraucherinformation und die Gewährleistung des Schutzes der persönlichen Daten sind nicht nur wichtig für die Verbraucherakzeptanz der RFID-Technologie. Auch die Unternehmen, die RFID einsetzen, sind auf klare Vorgaben angewiesen. Dies bestätigten die Diskussionen mit Wirtschaft, Verbraucherverbänden und Datenschützern im Verbraucherdialog RFID in Rheinland-Pfalz, der im August 2010 abgeschlossen wurde. Es besteht daher Handlungsbedarf.

Zu 3.:

In ihrer Unterrichtung vom 13. Januar 2008 "Bericht der Bundesregierung zu den Aktivitäten, Planungen und zu einem möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie" (BT Drucksache. 16/7891, S. 10 - 14) spricht sich die Bundesregierung für den Vorrang einer Selbstverpflichtung der Wirtschaft aus. Diese sollte nach Auffassung der Bundesregierung die Bereiche Transparenz und Kennzeichnungspflicht, verbindlicher Verzicht auf heimliche Profilbildung, Datensicherheit, Deaktivierungsmöglichkeit und Datensparsamkeit abdecken und wirksame Sanktionsmechanismen beinhalten.

Sollte in absehbarer Zeit keine effektive Selbstverpflichtung durch die Wirtschaft zustande kommen, spricht sich auch die Bundesregierung dafür aus, eine gesetzliche Regelung zu prüfen. Der gesetzgeberische Handlungsbedarf ist nach Auffassung der Bundesregierung spätestens dann erneut zu prüfen, wenn RFID in der Verbrauchersphäre einen größeren Verbreitungsgrad erreicht. Angesichts der zunehmenden Verbreitung von RFID sowohl im privatwirtschaftlichen als auch im öffentlichen Bereich (Einführung des elektronischen Reisepasses und Personalausweises) liegen diese Voraussetzungen inzwischen vor. Es ist insofern folgerichtig, einen Abschluss der Beratungen über eine Selbstverpflichtung, in absehbarer Zeit anzustreben und, sollte dies nicht gelingen, eine gesetzliche Regelung auf den Weg zu bringen.

Zu 4.:

Der Bundesrat sieht die Gefahr, dass einzelne Unternehmen sich durch sehr weitgehende, oftmals für die betroffenen Kunden kaum erkennbare oder wenig verständliche Einwilligungserklärungen die Möglichkeit zur Erstellung von Kunden- und Persönlichkeitsprofilen zu verschaffen versuchen. Gerade bei Alltagsgeschäften dürfen jedoch an die Aufmerksamkeit der betroffenen Verbraucher gegenüber häufig als "Datenschutzerklärung" bezeichneten Einwilligungserklärungen keine überzogenen und realitätsfernen Anforderungen gestellt werden. Daher müssen auch bei Einführung von Kennzeichnungs- und Informationspflichten für RFID-Anwendungen weiterhin die Anforderungen an die Wirksamkeit datenschutzrechtlicher Einwilligungen nach § 4a BDSG Beachtung finden und der Kernbereich des Persönlichkeitsrechts unangetastet bleiben.