- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Datenschutz-Maßnahmen bei RFID- oder NFC-Chips

RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.

Die Technik hinter RFID und NFC

Der RFID-Chip (auch Transponder oder Tag) ist eine Sende-/Empfangseinheit, die von außen drahtlos induktiv oder per Funksignal angesprochen wird. Sie gibt bestimmte Daten des Chips beispielsweise an Kassen- und Warenwirtschafts-Systeme preis. Das Auslesen erfolgt im Nahbereich (an der Kasse) induktiv, im Fernbereich bis zu 30 Metern über Funk.

Die passiven Chips benötigen keine eigene Stromversorgung, da die Stromversorgung über elektromagnetische Felder erfolgt.

Basierend auf den RFID-Standards wurden die NFC-Chips (Near Field Communications) entwickelt, die in Kreditkarten und in Smartphones [1] zum Einsatz kommen.

Datenschutzrecht

Durch die Regelungen der Datenschutz-Grundverordnung (DSGVO) ergeben sich für RFID- und NFC-Chips besondere Anforderungen. Denn der Chip ist in der Lage, Daten preiszugeben, ohne dass der oder die Betroffene [2] dies weiß oder aktiv initiiert.

Forderungen für den Einsatz von RFID

Bereits zur 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (am 26./27. Oktober 2006) wurde die Entschließung „Verbindliche Regelungen für den Einsatz von RFID-Technologien“ [3] veröffentlicht. Für den Schutz der Persönlichkeitsrechte Betroffener sind danach folgende Forderungen zu berücksichtigen, die auch jetzt noch Gültigkeit besitzen:

Forderungen für den Einsatz von NFC

Für die datenschutzgerechte Verwendung von NFC haben die Aufsichtsbehörden im März 2018 einen Beschluss der DSK (Datenschutzkonferenz) zum kontaktlosen Bezahlen veröffentlicht:

Danach bestehen die Datenschützer auf

Weitere Hinweise der Aufsichtsbehörden sind:

An Datenschutz-Folgenabschätzung denken

Gemäß Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden mittlerweile Listen mit Verarbeitungstätigkeiten veröffentlicht [8], bei denen verpflichtend eine Datenschutz-Folgenabschätzung (DSFA) [9] durchzuführen ist.

In der Muss-Liste der deutschen Aufsichtsbehörden finden sich folgende Fälle, bei denen RFID oder NFC zum Einsatz kommt und eine DSFA vorzusehen ist, als Beispiele:

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.