Datenschutz als Verbraucherschutz: Neue Herausforderungen am

Datenschutz als Verbraucherschutz: Neue Herausforderungen am Beispiel
von Smart Chips und Kundenkarten
Immens gestiegene Informationssammlungen und -verarbeitungen sowohl im öffentlichen als
auch im nicht-öffentlichen Bereich kennzeichnen die heutige datenschutzrechtliche
Problemlage. Das Selbstbestimmungsrecht des Einzelnen ist gefährdet, wenn bei
Entscheidungsprozessen nicht mehr auf manuell zusammengetragene Karteien und Akten
zurückgegriffen wird, sondern Entscheidungen ausschließlich auf mit Hilfe der automatischen
Datenverarbeitung gewonnene Einzelangaben gestützt werden. Diese Daten können
darüber hinaus mit anderen Datensammlungen zu einem teilweise oder weitgehend
vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene Einfluss
auf deren Richtigkeit oder weitere Verwendung hätte.
Ohne Frage haben die Technologien der Informations- und Kommunikationsgesellschaft
unseren privaten und beruflichen Alltag erleichtert und auch bereichert. Es darf aber nicht
verkannt werden, dass dadurch auch erhebliche Missbrauchspotentiale entstanden sind, deren
Kontrolle aufgrund der fehlenden Transparenz immer schwieriger wird.
Auch gerade im Bereich von Werbung, Markt- und Meinungsforschung werden mittels immer
neuer Verfahren immer mehr Kundendaten zusammengetragen und ausgewertet, um zu
immer ausgefeilteren Kundenprofilen zu kommen, z.B. unter Verwendung von "DataWarehousing" und "Data- Mining- Tools".
Einen nicht unwesentlichen Beitrag zu den Datenbergen leistet der Konsument selber.
Unbewusst und automatisch hinterlässt er im täglichen Leben seine Datenspuren, wenn er z.B.
telefoniert, eine Flugreise bucht oder einkaufen geht. Durch entsprechende Anreize wie Boni
der unterschiedlichsten Art fallen diese Daten vermehrt und regelmäßig an. Unterstützt wird
dieser Mechanismus durch den technischen Fortschritt in Form von Scannerkassen und - in
sehr naher Zukunft - durch die RFID- Technologie.
Laut einer Emnid- Umfrage soll die sog. Kundenkarte für viele Deutsche nach der
Krankenversicherungs- und ec- Karte die wichtigste Karte in der Brieftasche geworden sein.
Laut der Kartenanbieter sollen die Verbraucher an das Unternehmen oder die hinter der
Kundenkarte stehenden Konzerne gebunden werden und ihre Käufe auf die entsprechenden
Geschäfte konzentrieren. Doch geht das Interesse der Unternehmen in aller Regel weiter. Als
Gegenleistung für die Rabattgewährung wollen sie auch etwas vom Kunden erfahren.
Angaben zu Interessen, Konsum- und Kaufgewohnheiten, soziale und familiäre Verhältnisse
werden zum Teil auf den Anmeldeformularen abgefragt oder aber subtil über das tatsächliche
Kaufverhalten in Erfahrung gebracht.
Profilbildung ist generell fragwürdig, wie auch das Bundesverfassungsgericht festgestellt hat.
Das Zusammenstellen von personenbezogenen Daten eines bestimmten Menschen, das sein
Verhalten ganz oder teilweise abbildet und ihn dadurch für Dritte berechen- und verfügbar
macht, ist schon dann problematisch, wenn dies mit seinem Wissen geschieht, weil er im
Zweifelsfall die weitreichenden Konsequenzen nicht abschätzen kann. Erfolgt dies aber
mittels heimlicher Datenerhebungen oder –übermittlungen, liegt ein schwerer Verstoß gegen
das informationelle Selbstbestimmungsrecht vor.
Das datenschutzrechtliche Kernprinzip ist in diesem Umfeld die Zweckbindung. Nach der
EG- Datenschutzrichtlinie 95/46/EG, die durch das Bundesdatenschutzgesetz Eingang in
unsere nationale Gesetzgebung gefunden hat, dürfen Daten nur zu dem Zweck verarbeitet
werden, zu dem sie erhoben worden sind. Am Beispiel eines Kaufvertrages zeigt sich, dass
diejenigen Daten verarbeitet werden können, die zur Abwicklung des Vertrages notwendig
2
sind. Wenn der Vertrag erfüllt ist, ist eine weitere Verarbeitung und Nutzung nicht mehr
durch das Zweckbindungsgebot gedeckt. Bei der Profilbildung ist die Vervollständigung des
Konsumentenprofils immer nur eine sekundäre Zielsetzung, die durch die eigentliche
ursprüngliche Zielsetzung nicht abgedeckt ist. Der Aufbau von personenbezogenen
Datensammlungen, deren Daten mittels Data- Warehousing und Data- Mining gewonnen
werden, verstößt daher gegen das Zweckbindungsgebot.
Den rettenden Anker sehen Marketingexperten in dieser Situation in der Einwilligung der
betroffenen Person. Diese wird in der Praxis eingeholt, indem der Kunde im Rahmen der
allgemeinen Geschäftsbedingungen unterschreibt, dass er sich mit einer weiteren Bearbeitung
seiner Daten zu „Marketingzwecken“ einverstanden erklärt. Doch sollte man sich davor
hüten zu meinen, eine Unterschrift an dieser Stelle macht das Ganze datenschutzrechtlich
unbedenklich.
Eine wirksame Einwilligung setzt nämlich Informiertheit voraus; d.h. der Betroffene muss
sich der Bedeutung seiner Einwilligung im Klaren sein. Er muss wissen, wozu welche Daten
abgefragt werden, welche Daten über ihn gespeichert werden und zu welchem Zweck dies
geschieht. Transparent sein muss für ihn auch, an wen Daten über ihn weitergegeben werden
sollen.
Ich bin mir sicher, dass den Wenigsten z.B. bewusst ist, dass die Freigabe zu
Marketingzwecke auch eine Verwendung im Ausland einschließen kann. So bietet die
Direktmarketing-Industrie in den USA personenbezogene Informationen über deutsche
Verbraucher zum Kauf an, die für Werbezwecke weltweit genutzt werden können. Haben die
Daten erst einmal diesen Weg genommen, sind sie dem Einfluss der Betroffenen endgültig
entzogen. Ebenso wenig dürfte bekannt sein, dass die Anbieter von Adressen letztlich keine
Kontrolle darüber haben, ob die Daten tatsächlich ausschließlich für Werbezwecke oder etwa
auch zu Kredit- oder Personalbeurteilungen verwendet werden. An der Wirksamkeit
derartiger pauschaler Einwilligungen habe ich daher Zweifel. Ohne wirksame Einwilligung
wären jedoch die angesprochenen Verwendungen unzulässig.
Data- Warehousing Konzepte führen bei den Unternehmen zu riesigen Datensammlungen
über die Konsumenten. Was ursprünglich beim Staat befürchtet wurde, wird nun in der
Privatwirtschaft aufgebaut: Datenzentralen, die Informationen über das Verhalten einzelner
Personen enthalten, ohne dass hierzu eine primäre Notwendigkeit besteht.
Das Risikopotential aus datenschutzrechtlicher Sicht zeigt sich etwa bei den
Kreditkartenunternehmen, die Informationen über das Kaufverhalten von Millionen von
Kunden speichern oder bei Fluggesellschaften, die über Reisedaten von Tausenden von
Passagieren verfügen.
Damit kein Missverständnis entsteht: Ich will damit nicht sagen, dass all diese Daten bei den
betreffenden Unternehmen zweckentfremdet genutzt werden. Doch besteht die Gefahr bereits
darin, dass immense Datenmengen aus den unterschiedlichsten Bereichen und die
eingesetzten Data- Warehousing- Konzepte zu einer Überwachungs- und Kontrollmöglichkeit
führen.
In diesem Zusammenhang stellt sich auch die Frage nach der Datenqualität. Nicht nur die
ursprünglichen Quellen mit ihren unterschiedlichen Fehleranfälligkeiten, sondern auch die aus
Data- Mining Prozessen gewonnenen neuen Informationen unterliegen in keiner Weise einer
Kontrolle durch die betroffenen Personen. Hinzu kommt, dass das Data- Warehoese Konzepte
auch in Bezug auf die Aufbewahrung der Daten keine Grenzen setzen. Im Gegenteil: Für die
Aussagekraft der Profile sind Daten über eine möglichst lange Zeitspanne von Interesse, da
sie ein Verhalten um so besser interpretieren lassen. Eine unbeschränkte Aufbewahrung der
Daten ist aber nicht nur datenschutzrechtlich unzulässig, sie hat auch direkten Einfluss auf die
Datenintegrität, ohne dass die Fehlerquelle mit Sicherheit ausgemacht werden kann.
3
Was die Kundenkarten angeht, ist er oft selbst die Quelle seiner Daten; er muss keine
Kundenkarte verwenden, ohne davon überzeugt zu sein. Aus Datenschutzsicht ist zu fordern,
dass die Position des Verbrauchers durch verbesserte Transparenz gestärkt wird. Jeder muss
wissen, wozu welche Daten abgefragt werden, welche Daten über ihn gespeichert werden, zu
welchem Zweck dies geschieht und ob die Daten weitergegeben werden, welche
Unternehmen hinter der Karte stehen und inwieweit sein Kaufverhalten zu einem
Kundenprofil zusammengeführt wird. Erst genaue Informationen geben ihm die Möglichkeit
abzuwägen und frei zu entscheiden, ob er für die ihm gewährten Vorteile auch die damit
einhergehenden Gefahren oder konkreten Nachteile in Kauf nehmen will. Ferner sollte er ggf.
von der Möglichkeit Gebrauch machen, nicht in die Verwendung seiner Daten für
"Marketingzwecke" ( hinter diesem Wort verbirgt sich häufig die Profilbildung )
einzuwilligen bzw. erteilte Einwilligungen zu widerrufen.
Vom Verbraucher kaum beeinflussbar ist bisher die RFID- Technologie. Wie sie funktioniert,
hat mein Vorredner gerade erklärt, so dass ich darauf nicht weiter eingehen muss.
Die RFID- Chips werden für eine Reihe unterschiedlicher Zwecke eingesetzt, z.B. zur
Kennzeichnung von Containern in der Logistik, von Büchern in der Bibliothek etc. In fast
allen Branchen gibt es Bestrebungen, über RFID Produkte zu kennzeichnen und Warenströme
zu automatisieren. Die Funkchips werden bisher überwiegend nicht mit direkt
personenbezogenen Informationen wie etwa Kreditkarten, Videoaufzeichnungen usw.
verknüpft, sie dienen derweil noch allein der Produktkennzeichnung. Es besteht jedoch die
Gefahr, dass mit der breiten Einführung von gekennzeichneten Waren Verbindungen
zwischen den RFID- Kennungen und dem Käufer bzw. Nutzer der Ware hergestellt und
registriert werden. Auch könnte in Zukunft der Personenbezug unbemerkt durch
Identitätspapiere mit RFID- Chip hergestellt werden. Dies könnte sogar ohne Kenntnis des
Betroffenen geschehen. Die Funktransponder sind so klein, dass man sie als Verbraucher
kaum erkennen kann und eine explizite Kennzeichnungspflicht gibt es bisher nicht. Außerdem
brauchen die Chips keinen Anstoß des "Trägers", um aktiv zu werden, denn sobald sie in die
Reichweite eines passenden Lesegeräts gelangen, werden Daten ausgetauscht.
Auch Visa, Personalpapiere, Kleidungsstücke, Medikamentenpackungen und die
Eintrittskarten zur Fußball-WM 2006 sollen - so die Diskussion - mit RFID- Technologie
ausgestattet werden. Es ist sogar daran gedacht, RFID auf Geldscheine aufzubringen. Auf der
diesjährigen CEBIT wurde eine hochwertige RFID- Lösung vorgestellt, die sich in
Verpackungen für Medikamente integrieren lassen soll, die "erste intelligente
Arzneiverpackung". Diese neuen RFID- Chips verfügen über 32 Kbyte Speicher und können
damit nach Angaben des Herstellers mehrere Druckseiten verschlüsselter Daten speichern und
bearbeiten. Damit soll jede Entnahme eines Medikaments aufgezeichnet und mit einer
Zeitmarke versehen werden. Die Technik kann mit einem elektronischen Tagebuch und
Erinnerungen durch akustische Signale ergänzt werden. Hier geht es um sensible
personenbezogene Daten und man kann sich vorstellen, was geschieht, wenn diese in die
falschen Hände geraten.
Diese Beispiele zeigen, dass es bei dem Einsatz der Technologie nicht allein um
Logistikkontrolle und Diebstahlschutz geht. Derzeit mögen diese Komponenten noch im
Vordergrund stehen, doch wird die Gefahr immer realer, dass durch die fortschreitende
Verbreitung dieser Technologie eine ganz neue Dimension des "gläsernen Kunden" entstehen
wird.
An dieser Stelle stellt sich die Frage, wie wir diesen ganz konkreten datenschutzrechtlichen
Gefahren begegnen können. Insbesondere ist zu klären, ob die Funk- Etiketten den
gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes unterfallen.
Hier ist zwischen den unterschiedlichen Grundtypen der Funk- Chips zu unterscheiden.
4
Die Technologie der leistungsfähigeren, der sog. "intelligenten" RFIDs unterscheidet sich
kaum noch von der Technologie der klassischen kontaktbehafteten Smart Cards mit eigener
Verarbeitungskapazität. Sie erlaubt es, auf den Chips personenbezogene Daten zu speichern
und zu verarbeiten und erfüllt damit die Hauptvoraussetzungen für das Vorliegen sog.
"mobiler personenbezogener Speicher- oder Verarbeitungsmedien" i.S. d. § 3 Absatz 10
BDSG. Zwar unterscheiden sich heute RFIDs noch dadurch von Smart Cards, dass sie von
vornherein nur warenbezogene Daten, nicht aber personenbezogene Daten enthalten.
Vorhaben, Ausweise mit RFID- Chips zu versehen, würden dies grundlegend ändern, da dann
die Chips von vornherein personenbezogene Daten enthalten würden. Für die rechtliche
Einordnung als "mobile personenbezogene Speicher- und Verarbeitungsmedien" ist das
jedoch ohne Belang. Es ist ausreichend, wenn die Möglichkeit der Speicherung
personenbezogener Daten besteht. Hinzukommen muss die Verarbeitungsfunktion - über die
Speicherung hinaus - auf dem Chip selber, um den Voraussetzungen des § 3 Abs.10 zu
genügen.
Die "intelligenten" Prozessorchips unterfallen in ihrer Anwendung den Einschränkungen des
§ 6 c BDSG. Danach müssen Kommunikationsvorgänge, die auf dem Chip eine
Datenverarbeitung auslösen, dem Betroffenen eindeutig erkennbar sein. Eine unbemerkbare
Auslesung der Daten, etwa beim Vorbeigehen an einem versteckten Lesegerät, wäre
gesetzeswidrig. Gemäß § 6c Absatz 3 BDSG müsste ein solches Auslesen signalisiert werden.
Die Signalisierung jeglicher Funkübertragung ist technisch nur schwer umsetzbar. Alternativ
müssen den Verbrauchern Mechanismen an die Hand gegeben werden, die eine
Kommunikation unterbinden. Dies scheint derzeit nur durch sogenannte Blockertags möglich
zu sein, die die Lesegeräte derart überlasten, dass eine Identifikation des richtigen Signals
nicht möglich ist. Da die Lesegeräte der RFID- Systeme nicht die Seriennummern aller
erreichbaren RFID- Tags gleichzeitig lesen können, lesen sie diese der Reihe nach aus.
Das Blocker-Tag simuliert jedoch gegenüber dem Lesegerät eine schier unendliche
Zahl adressierbarer RFID- Labels, die sich unmöglich alle nacheinander abfragen
lassen. Eine Kommunikation mit den „echten“ Tags im Lesebereich kommt mit hoher
Wahrscheinlichkeit nicht zustande, da der Leser eine nahezu endlose Anzahl von
vergeblichen Tag-Anforderungen abarbeiten muss.
Bislang sind solche Geräte in Europa jedoch noch nicht erfolgreich getestet. Zudem könnte
durch derartige "Blocker-Tags" die Funktionsfähigkeit der IT- Systeme generell gefährdet
werden, soweit sie RFID- Funktionen integrieren. Notwendig sind deshalb ergänzende bzw.
alternative Maßnahmen und technische Einrichtungen, durch die sich die Transparenz des
Datenverarbeitungsvorgangs gewährleisten lässt. Ich denke hier insbesondere an öffentliche
Lesegeräte, die Informationen des RFID- Chips ermitteln und anzeigen, damit den
Anforderungen des Datenschutzrechts ( § 3 Abs. 2 BDSG ) Rechnung getragen wird.
Sie sehen, die neue Technologie der RFID- Chips entwickelt sich nicht im rechtsfreien Raum.
Allerdings muss zur Eindämmung der drohenden datenschutzrechtlichen Gefahren die
Einhaltung der gesetzlichen Vorschriften konsequent betrieben werden.
"Einfache" RFIDs, die z.B. nur die Speicherung einer Identifikationsnummer ermöglichen
und nicht dafür ausgelegt sind, zusätzlich auch weitere, direkt personenbezogene Daten zu
speichern, erfüllen die Anforderungen des § 3 Absatz 10 BDSG nicht. Diese "einfachen" oder
auch "dummen" RFIDs können aber unter Datenschutzgesichtspunkten auch eine Gefahr
darstellen und zwar im Kontext mit Datenverarbeitungssystemen wie z.B. Kredit- oder
Kundenkarten; dann können mit ihnen ebenfalls Kundenprofile erstellt werden. In einem
solchen Datenverarbeitungskontext unterfallen sie dann auch den Regelungen des BDSG, da
eine personenbezogene Datenverarbeitung vorliegt. Da sie keinen Prozessorchip enthalten,
handelt es sich aber nicht um "mobile personenbezogene Speicher- und
5
Verarbeitungsmedien" i.S. von §§ 3 Abs.10, 6c BDSG. Ob die dann geltenden
Einschränkungen und Hinweispflichten des BDSG in der Praxis ausreichen, bleibt
abzuwarten. Eventuell muss der Gesetzgeber hier dergestalt nachbessern, dass auch in diesen
Fällen die Einschränkungen des § 6c BDSG zur Anwendung kommen.
Angesichts des zunehmenden Einsatzes der RFID- Technologie fordern die
Datenschutzbeauftragten des Bundes und der Länder sowie die Internationale Konferenz der
Datenschutzbeauftragten, dass die Grundsätze des Datenschutzrechts bereits beim Design,
aber auch bei der Einführung und der Verwendung von RFID- Technologie berücksichtigt
werden. Insbesondere
• sollte jeder Datenverarbeiter vor der Einführung von RFID- Etiketten, die mit
personenbezogenen Daten verknüpfbar sind oder die zur Bildung von Konsumprofilen
führen, zunächst Alternativen in Betracht ziehen, die das gleiche Ziel ohne die Erhebung
von personenbezogenen Informationen oder die Bildung von Kundenprofilen erreichen;
• müssen personenbezogene Daten offen und transparent erhoben werden;
• dürfen personenbezogene Daten nur für den speziellen Zweck verwendet werden, für den
sie ursprünglich erhoben worden sind und dürfen auch nur solange aufbewahrt werden,
wie es zur Erreichung dieses Zwecks erforderlich ist;
• sollten Betroffene die Möglichkeit haben, RFID- Etiketten in ihrem Besitz zu deaktivieren
oder die darauf gespeicherten Daten zu löschen.
Nur durch einen offenen Umgang mit dieser Technologie können auch bei Einsatz der RFIDTechnologie die in den Datenschutzgesetzen geforderte Zweckbindung, Datensparsamkeit
und Vertraulichkeit bei der Verarbeitung personenbezogenen Daten sichergestellt werden.
Das Recht auf informationelle Selbstbestimmung muss auch bei der Nutzung neuer
technologischer Möglichkeiten gewährleistet werden.
6