RFID- oder NFC-Chips: Diese Datenschutz-Maßnahmen sind nötig
Welche Technik steckt hinter RFID und NFC?
Der RFID-Chip (auch Transponder oder Tag) ist eine Sende- / Empfangseinheit, die von außen drahtlos induktiv oder per Funksignal angesprochen wird. Sie gibt bestimmte Daten des Chips beispielsweise an Kassen- und Warenwirtschafts-Systeme preis. Das Auslesen erfolgt im Nahbereich (an der Kasse) induktiv, im Fernbereich bis zu 30 Metern über Funk.
Die passiven Chips benötigen keine eigene Stromversorgung, da die Stromversorgung über elektromagnetische Felder erfolgt.
Basierend auf den RFID-Standards wurden die NFC-Chips (Near Field Communications) entwickelt, die in Kreditkarten, Chips bei Zeiterfassungssystemen, Chips zur Zutrittskontrolle und insbesondere in Smartphones zum Einsatz kommen.
Was sagt das Datenschutzrecht zu RFID und NFC?
Durch die Regelungen der Datenschutz-Grundverordnung (DSGVO) ergeben sich für RFID- und NFC-Chips besondere Anforderungen. Denn der Chip ist in der Lage, Daten preiszugeben, ohne dass der oder die Betroffene dies weiß oder aktiv initiiert.
Welche Forderungen bestehen für den Einsatz von RFID?
Bereits zur 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (am 26./27. Oktober 2006) wurde die Entschließung „Verbindliche Regelungen für den Einsatz von RFID-Technologien“ veröffentlicht.
Für den Schutz der Persönlichkeitsrechte Betroffener sind danach folgende Forderungen zu berücksichtigen, die auch jetzt noch Gültigkeit besitzen:
- Transparenz:
Alle Betroffenen sind umfassend über Einsatz, Verwendungszweck und Inhalt von RFID-Tags zu informieren. - Kennzeichnungspflicht:
Nicht nur die eingesetzten RFID-Tags selbst, sondern auch die Kommunikationsvorgänge, die die Chips auslösen, müssen für die Betroffenen leicht zu erkennen sein. Eine heimliche Anwendung ist unzulässig. - Keine heimliche Profilbildung:
Daten von RFID-Tags aus verschiedenen Produkten dürfen nur so verarbeitet werden, dass personenbezogene Verhaltens-, Nutzungs- und Bewegungsprofile ausschließlich mit Wissen und Zustimmung der Betroffenen erstellt werden können. Soweit eine eindeutige Identifizierung einzelner Gegenstände für einen bestimmten Anwendungszweck nicht erforderlich ist, gilt es, auf eine Speicherung eindeutig identifizierender Merkmale auf den RFID-Tags zu verzichten. - Vermeidung der unbefugten Kenntnisnahme:
Das unbefugte Auslesen der gespeicherten Daten ist beispielsweise durch Verschlüsselung bei ihrer Speicherung und Übertragung zu unterbinden. - Deaktivierung:
Vor allem im Handels- und Dienstleistungssektor muss die Möglichkeit bestehen, RFID-Tags dauerhaft zu deaktivieren oder die darauf enthaltenen Daten zu löschen. Das gilt insbesondere, wenn Daten für die Zwecke nicht mehr erforderlich sind, für die sie auf dem RFID-Tag gespeichert wurden.
Welche Forderungen bestehen für den Einsatz von NFC?
Für die datenschutzgerechte Verwendung von NFC haben die Aufsichtsbehörden im März 2018 einen Beschluss der DSK (Datenschutzkonferenz) zum kontaktlosen Bezahlen veröffentlicht:
Danach bestehen die Datenschützer auf
- der Möglichkeit, bestimmte NFC-Dienste anonym zu nutzen (anonyme E-Tickets),
- Transparenz über die jeweils per NFC übertragenen Daten und deren Absicherung,
- Datensparsamkeit bei der Speicherung auf den NFC-Chips
- sowie die Unterweisung der Nutzer, die NFC-Schnittstelle nur bei tatsächlichem Bedarf zu aktivieren.
Weitere Hinweise der Aufsichtsbehörden sind:
- Die Karten ausgebenden Institute sind verpflichtet, umfassende und verständliche Informationen für Nutzerinnen und Nutzer über Datenhaltung und -verarbeitung bereitzustellen. Bei Bezahlverfahren, die ein Smartphone voraussetzen, ist weiterhin über die damit einhergehenden besonderen Risiken zu informieren. Zudem sind Hinweise zur Risikominimierung zu geben.
- Die Kundinnen und Kunden sind darüber zu unterrichten, dass eine kostenlose Schutzhülle in der Standardversion zur Verfügung steht.
- Durch Voreinstellung muss sichergestellt sein, dass die NFC-Funktion zunächst deaktiviert ist. Den Kundinnen und Kunden ist zu ermöglichen, die NFC-Funktion jederzeit abzuschalten. Alternativ besteht die Möglichkeit, Karten ohne NFC-Funktion anzubieten, ohne dass für Kundinnen und Kunden Mehrkosten entstehen.
- Um das unberechtigte Auslesen etwaiger personenbeziehbarer Daten zu verhindern, ist die drahtlose Kommunikation zwischen (virtueller) Karte und Terminal zu verschlüsseln. Auch bleiben weitere Maßnahmen zur technisch-organisatorischen Absicherung von NFC-basierten Konzepten – wie etwa die Randomisierung der Kartennummer – fortgesetzt aktuell.
- Die Möglichkeit des kontaktlosen Auslesens einer wiederkehrenden Kennziffer (zum Beispiel der Kartennummer), die sich unter Umständen zu Zwecken der Profilbildung heranziehen lässt, ist grundsätzlich nicht erwünscht.
- Bei Bezahlverfahren, die ein Smartphone voraussetzen, ist die Bezahl-App von den ausgebenden Kreditinstituten aktuell zu halten. Die Kundinnen und Kunden sind anzuhalten, nur die aktuellen Software- und Betriebssystem-Versionen einzusetzen. Bei nicht aktualisierten Software- und Betriebssystem-Versionen ist mindestens kontinuierlich und unübersehbar darauf hinzuweisen, wenn die Anwendungen zu Sicherheitsrisiken führen.
Ist eine Datenschutz-Folgenabschätzung erforderlich?
Entsprechend Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden mittlerweile Listen mit Verarbeitungstätigkeiten veröffentlicht, bei denen verpflichtend eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist.
In der Muss-Liste der deutschen Aufsichtsbehörden finden sich folgende Fälle, bei denen RFID oder NFC zum Einsatz kommt und eine DSFA vorzusehen ist, als Beispiele:
- Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS), um das Personal zu sichern (Wachpersonal, Feuerwehrleute),wertvolles Eigentum des Arbeitgebers oder eines Dritten zu schützen (LKW mit Ladung, Geldtransport) oder um Arbeitseinsätze im Außendienst zu koordinieren.
- Einsatz von RFID/NFC durch Apps oder Karten: Eine Bank setzt die NFC-Technologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern.