Wann kommt das Gesetz zu den Schnüffelchips?

Als wir im kalten Januar 2012 mit unserem RFID-Lesegerät in die Bielefelder Fußgängerzone gingen, schlug unsere Aktion hohe Wellen. Jetzt gibt es Bewegung.
Bild
Aktion vor dem Gerry-Weber-Laden in Bielefeld.

Als wir im kalten Januar 2012 mit unserem RFID-Lesegerät in die Bielefelder Fußgängerzone gingen, schlug unsere Aktion hohe Wellen:

Wir zeigten, wie einfach man mit den kleinen Funkchips, die sich versteckt auslesen lassen, viel über die Menschen herausfinden kann: Wo sie sich wann aufgehalten haben und wohin sie gehen, zum Beispiel. Der WDR und viele bundesweite Tageszeitungen berichteten.

Mit dieser Aktion haben wir eine Debatte entfacht und unsere Kampagne „Stop RFID“ auf die nächste Stufe gehoben. Und auch in den vergangenen zwei Jahren sind wir nicht untätig geblieben: Gespräche auf Parteitagen mit Politikern, Stellungnahmen zum Einsatz von RFID und vieles mehr. Unsere Kernforderung dabei: Die kleinen RFID-Etiketten dürfen nicht in den Produkten, beispielsweise der Kleidung, bleiben, sondern müssen an der Kasse entfernt werden – und nicht bloß deaktiviert werden. Es reicht auch keineswegs, den Kunden die Möglichkeit zu geben, die Schnüffelchips zu entfernen, denn Datenschutz muss der Standard sein.

Eine Petition an den deutschen Bundestag, die kurz nach unserer Aktion eingereicht wurde, zeitigt jetzt späte und unverhoffte Folgen. Die Petition hat das nötige Quorum nämlich nicht erreicht, dennoch sieht der Petitionsausschuss das Thema als sehr wichtig an und überweist sie an die Bundesregierung, die den Inhalt in Erwägung ziehen soll.

Die Begründung dieses Schrittes seitens des Petitionsausschusses ist erstaunlich deutlich:

Im Hinblick auf den hohen Stellenwert, den der Ausschuss dem Datenschutz beimisst, und angesichts der Gefahr, dass bei RFID-Systemen ein Missbrauch personenbeziehbarer oder personenbezogener Datenaufzeichnungen vom Verbraucher unbemerkt erfolgen kann, hält der Petitionsausschuss die derzeit geltende Rechtslage für nicht angemessen … Weiterhin empfiehlt der Ausschuss, die Petition den Fraktionen des Deutschen Bundestages zur Kenntnis zu geben, weil sie als Anregung für eine parlamentarische Initiative geeignet erscheint.

Interessant dabei ist, dass die Bundesregierung 2008 noch keinen Handlungsbedarf sah, weil die RFID-Technik noch nicht weit genug verbreitet gewesen sei, um ein Datenschutzrisiko darzustellen. Mittlerweile scheint diese Schwelle also überschritten und der Petitionsausschuss plädiert für gesetzliche Regelungen. Diese Verbreitung hat sich die Bundesregierung, so der Petitionsausschuss weiter, auch selbst zuzuschreiben, weil sie den flächendeckenden Einsatz von RFID im Reisepass und Personalausweis forcierte.

Ob die Gesetzesinitiative noch vor der EU-Datenschutzverordnung kommen wird, ist fraglich. Denn – nicht zuletzt dank unseres Einsatzes – ist RFID auch in der EU-Datenschutzverordnung ein Thema und könnte dort abschließend geregelt sein. Sicher ist aber, dass die Selbstverpflichtungen der Wirtschaft in Bezug auf den Datenschutz bei RFID-Schnüffelchips klar als gescheitert betrachtet werden können. Denn das so genannte Privacy Impact Assessment (PIA) ist für Firmen freiwillig und wird deshalb entweder gar nicht durchgeführt oder nicht veröffentlicht.