RFID-Einsatz: Logistik-Sicherheit dank richtiger Vertragsgestaltung mit Partnern: Rund-Funk unerwünscht

Die richtige Vertragsgestaltung mit externen und internen Partnern sorgt dafür, dass es beim Einsatz von RFID mit Sicherheit keine bösen ­Überraschungen gibt.

In der Logistik gibt es bei der Wareneingangskontrolle, im Lager, beim Warenausgang oder bei der Retourenbearbeitung vielfältige Einsatzmöglichkeiten für RFID. Die Technologie schafft nicht nur Ordnung, sie ist auch ein wichtiges Hilfsmittel in puncto Sicherheit: die funkenden Helfer minimieren Verlustrisiken und erleichtern im Ernstfall die Schadensabwicklung mit den Versicherern. Aber nicht nur Güter, Ladehilfs- und Beförderungsmittel werden zuverlässig erfasst, sondern auch das Arbeitsverhalten von Arbeitnehmern, Kaufgewohnheiten von Kunden oder die Zugangskontrolle. RFID ermöglicht dem Verwender damit insgesamt eine optimale Überwachung.

Gerade dieser Aspekt wirft die Frage nach der gesellschaftlichen Verträglichkeit der Technologienutzung auf. Sie muss verfassungsrechtlich garantierte Rechte der Betroffenen, wie z.B. das „allgemeine Persönlichkeitsrecht“, wahren. Ohne entsprechende Einwilligung des Betroffenen oder gesetzliche Ermächtigungsregelungen sind Eingriffe in die Privatsphäre unzulässig. Es ist daher notwendig, den Einsatz von Technologien, die mit derartigen Gefährdungspotenzialen einhergehen, entsprechend rechtlich einzubetten. In besonderer Weise gilt dies für den Datenschutz.

RFID und juristisches ­Risikomanagement
Vertragsrechtlicher Regelungsbedarf ­ergibt sich vornehmlich aus zwei Blickrichtungen. Zum einen müssen die Verantwortlichkeiten für den Betrieb von Transpondern, Lesegeräten sowie die Übermittlung der Daten, deren Verarbeitung und ihre Speicherung geregelt werden. Ist die Verarbeitung personenbezogener Daten ­beabsichtigt, bedarf es einer Einverständniserklärung des Betroffenen, die den Anforderungen des Bundesdatenschutzgesetzes entspricht.

Dies ist dann der Fall, wenn der RFID-Tag personenbezogene Daten speichert oder nicht personenbezogene Daten auf dem Chip für den Verwender die Möglichkeit eröffnen diese einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen. Wenn feststeht, dass durch die Verknüpfung der Daten kein Bezug zu einer konkreten Person hergestellt werden kann, ist der Anwendungsbereich des Datenschutzrechts nicht eröffnet. Erfolgt die Erhebung personenbezogener Daten, muss diese für den Betroffenen erkenn- und nachvollziehbar sein.

Aufgrund der unterschiedlichen Gestaltungsmöglichkeiten sind die Datenschutzerfordernisse bei der Nutzung von RFID-Tags anhand des konkreten Einsatzes zu bestimmen.

Bringt ein Unternehmen Chips zum Einsatz, ist es die i.S.d. Bundesdatenschutzgesetzes ausgebende Stelle und damit für die Sicherung der datenschutzrechtlichen Anforderungen verantwortlich. Dies gilt auch dann, wenn es ein drittes Unternehmen mit der Durchführung der entsprechenden Maßnahmen beauftragt. Bedeutsam ist diese Frage für die Gestaltung vertraglicher Beziehungen. Es muss klar sein, wer die verarbeitende Stelle ist, da diese Information dem von der Datenerhebung Betroffenen bei der Erhebung mitgeteilt werden muss. Ferner ist es notwendig, die Zweckbestimmung der Erhebung, Datenverarbeitung und Nutzung mitzuteilen. Sollen die Daten an Dritte gehen, muss der Betroffene unterrichtet werden, wann die Datenübermittlung erfolgen soll, welche konkreten personenbezogenen Inhalte ein RFID-Tag enhält sowie die Möglichkeit der Löschung bzw. Deaktivierung und die Lokalisierung der RFID-Tags.


Verschiedene Regelungsbereiche
Je nach Struktur der Systemgestaltung sind unter anderem die folgenden Regelungsbereiche betroffen:

• Wer bringt die RFID-Tags an?
• Welche Informationen enthalten diese und wann werden sie von wem ausgelesen?
• Wer speichert, verarbeitet und übermittelt die jeweiligen Daten?

Entsprechende Verträge müssen zwingend Regelungen über die Verpflichtung zur Einhaltung des Datenschutzes aufweisen. Ferner ist eine interne Datenschutzkontrolle Pflicht. Das Auskunftsrecht des Betroffenen muss gewährleistet sein. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist in der Regel notwendig. Dies sollte eine unabhängige Person im Unternehmen sein, die IT-technisches und juristisches Know-how miteinander vereint. Wer sich als Unternehmen nicht selbst um Datenschutz kümmern kann, ist mit Leistungen eines fachlich geeigneten externen Experten gut bedient.


Geht es um das Nachvollziehen von Warenbewegungen, könnten Profile erstellt werden. In diesem Fall sind u.a. Kunden-, bzw. Mitarbeiterrechte betroffen. Erlaubt die Auswertung der gewonnenen Informationen die Kontrolle des Arbeitsverhaltens von Mitarbeitern, sind Betriebsräte einzubeziehen. Durch vertrauensbildende Maßnahmen sollten sich die Mitarbeiter begleitet fühlen, wenn entsprechende Prozesse in ihrem Unternehmen eingeführt und Einwilligungserklärungen eingeholt werden.

Arbeitsverträge und Verträge mit Auftragnehmern gilt es gegebenenfalls anzupassen. Es ist zwar möglich, eine Einwilligungserklärung in den allgemeinen Geschäftsbeziehungen zu verstecken. Dies ist aber nur begrenzt zu empfehlen, weil der Einwilligende Kenntnis über das Ob und Wie der Datenverarbeitung erlangen muss. Ist dies nicht der Fall, besteht die Gefahr des Verstoßes gegen datenschutzrechtliche Bestimmungen. In der Folge entstehen unter Umständen nicht nur Schadensersatzansprüche, weitaus unangenehmer ist der Imageschaden des Unternehmens, das in unzulässiger Weise personenbezogene Daten erhoben, verarbeitet bzw. weitergeleitet hat. la

Autor: Prof. Dr. Andreas Müglich, Fachbereich Wirtschaftsrecht der Fachhochschule Gelsenkirchen.