RFID (Radio Frequency Identification Device) zählt zu den Technologien automatischer Identifikationen, welche dazu eingesetzt werden, Objekte zu identifizieren. Dabei werden sehr kleine und kostengünstige Funkchips praktisch unsichtbar in Alltagsgegenstände integriert. Diese können von entsprechenden Lesegeräten identifiziert werden.
Vom Grundsatz her ist diese Technologie nicht neu. Man findet sie beispielsweise bei der Zeitmessung im Sport, wo RFID's in Startnummern eingelassen sind, bei der Sicherung gegen Diebstahl von Büchern in Bibliotheken oder Kleidern in Boutiquen.
Seit kurzem müssen von Gesetzes wegen in der Schweiz auch RFID-Chips Hunden unter die Haut gespritzt werden, um jederzeit feststellen zu können, wer der Eigentümer ist und, gegebenenfalls, wo sich der Hund befindet.
Im unternehmerischen Bereich gibt es verschiedene interessante Einsatzmöglichkeiten von RFID, zum Teil sind diese in Pilotprojekten schon umgesetzt. RFID kann eingesetzt werden, um betriebliche Prozesse zu überwachen, zu automatisieren und somit auch zu beschleunigen und kostengünstiger zu gestalten. So kann der Weg verderblicher Waren wie Lebensmittel vom Wareneingang bis zur Distribution über das Kaufhausregal verfolgt werden. Im Kaufhaus selbst können an der Kasse sämtliche Artikel über die Chips und nicht mehr über Barcodescanner erfasst werden. In letzter Konsequenz erübrigt sich somit Personal an der Kasse, da kein Objekt die RFID-Leseschranke passieren kann, ohne eindeutig einem bestimmten Subjekt (Käufer) zugeordnet zu werden, verbunden mit der Verrechnung des zu bezahlenden Betrages auf dessen Konto respektive Kreditkarte.
In Deutschland wurde von der Metro Group bereits ein sogenannter Futurestore eingerichtet, der nach diesem Prinzip funktioniert. Einige Detailhändler haben den Einsatz von RFID auch bereits konkret vorbereitet und sämtliche Artikel mit einem RFID versehen, setzen diese Technik aber letztendlich noch nicht um.
Wird RFID innerbetrieblich oder zwischen Betrieben, beispielsweise zwischen Zulieferanten und Detailhändlern, verwendet, steht und fällt der Erfolg mit der Funktionsfähigkeit des Systems, das heisst mit der Relevanz der Aussagen und Auswertungen, welche das System liefert. Das System als solches und dessen Einsatz muss somit absolut verlässlich sein. Wie bei jedem IT-Projekt müssen folglich die Anforderungen ans System gegenüber dem RFID-Lieferanten präzise spezifiziert werden, insbesondere auch notwendige Schnittstellen zu einem vor- oder nachgelagerten Geschäftspartner. Diese technischen Rahmenbedingungen sind mit dem Geschäftspartner im Detail abzusprechen, mit Vorteil berücksichtigt man denselben Lieferanten und übernimmt die Verantwortung für die Folgen technischer Fehler, welche im eigenen Bereich auftreten. Um das Vertrauen des Vertragspartners sicherzustellen, sollte diesem in relevante Funktionen oder Parameter Einsicht gewährt werden (ev. auch einem unabhängigen Dritten). Zudem sind regelmässige Kontrollen durchzuführen und diese dem Vertragspartner offen zu legen.
RFID ermöglicht die eindeutige Zuordnung von über RFIDs individualisierten Objekten, also beispielsweise eines konkreten Gegenstandes zu einer Kreditkarte. Über die Zuordnung kann die Karte einer Person zugeordnet werden, kann somit ein konkretes Objekt eindeutig einer Person zugeordnet werden. Mit dieser Verknüpfung lassen sich Aussagen über Personen machen, sei dies, was ihr Konsumverhalten anbelangt, sei dies über ihren Aufenthaltsort und den damit verbundenen Beruf oder ihr Freizeitverhalten.
Dabei ist man schnell im Bereich von Arten von Datenbearbeitungen, welche einen erhöhten Schutz geniessen, wie das Bearbeiten besonders schützenswerter Personendaten oder das Erstellen und Bearbeiten von Persönlichkeitsprofilen. Solche Datenauswertungen brauchen auf jeden Fall eine ausdrückliche Zustimmung der betroffenen Person.
Im Future-Store der Metro Group ist darum vorgesehen, dass bei sämtlicher Ware das RFID deaktiviert wird. Damit soll verhindert werden, dass nachträglich die in die Ware eingelassenen Chips wieder gelesen werden können und somit beispielsweise indirekt Aufenthaltskontrollen von Personen möglich sind.
Auf der Zuordnung von gewissen Kaufgegenständen zu einer bestimmten Person basiert einerseits die Folge, es sei ein Kaufvertrag abgeschlossen worden und die Kaufgegenstände seien auf den Käufer übergegangen. Die Aussage, ein bestimmter Artikel befinde sich auf dem Weg ins Hochregallager lässt andererseits den Schluss zu, es seien heute so und so viele Stück davon in der Produktion durch die Mitarbeitende X verarbeitet worden, was möglicherweise lohnrelevant oder immerhin leistungskontrollrelevant ist. Die Tatsache, dass mittels RFID festgestellt werden kann, dass ein bestimmtes Konsumgut vom Produzenten an den Detaillisten ausgeliefert wurde, löst hinwiederum automatisch eine Fakturierung und eine Nachbestellung für das Lager aus.
Die Aussagen, welche das RFID liefert, sind somit Basis für Rückschlüsse auf betriebswirtschaftlich, aber auch rechtlich relevante Lebensabläufe und Lebenssachverhalte. In diesem Zusammenhang stellt sich die Frage, ob die RFID-Daten eine genügende Beweiseignung für eben diese Sachverhalte bieten. Im inner- oder interbetrieblichen Kontext muss dieses Thema unbedingt auch vertraglich geregelt und einer Lösung zugeführt werden, haben doch aktuell digitale Dokumente zivilprozessual keine Urkundenqualität.
Im Verhältnis zum Konsumenten sollte dies, wo möglich, analog gehandhabt werden. Unter dem Aspekt des Konsumentenschutzes ist dieser aber auf jeden Fall über den Einsatz von RFID und den daraus gezogenen Folgerungen unter Einräumung einer angemessenen Frist für Reklamationen und Wahrung des Datenschutzes zu orientieren.
Für das Feststellen und Beweisen von strafrelevanten Tatsachen, wie beispielsweise Diebstahl, genügen aber digitale Urkunden, soweit und sofern mit Sicherheit festgestellt werden kann, dass die Daten korrekt erhoben und aufbewahrt, das heisst anschliessend nicht verändert wurden.
RFID-Daten müssen archiviert werden, sofern sie zum Beispiel als Geschäftskorrespondenz gemäss GeBüV (Geschäftsbücherverordnung), der Ausführungsverordnung betreffend Führung und Aufbewahrung der Geschäftsbücher zu Artikel 957 Abs. 5 OR, zu qualifizieren sind. Als Geschäftskorrespondenz gelten grundsätzlich sämtliche Unterlagen, welche Aufschluss über den Abschluss und die Abwicklung von Rechtsgeschäften geben.
Die Daten, welche durch den Einsatz von RFID generiert werden, sind allerdings sicher nicht Geschäftskorrespondenz im klassischen Sinn, wie beispielsweise Briefe, Verträge oder Bankbelege. Bei RFID-Einsatz und daraus generierten Daten handelt es sich eher um technische Hilfsmittel und Medien, wie sie beim Einsatz eines Barcodes mit Scanner oder beim Einsatz von Sprachübertragung über Fund anfallen. In diesem Sinne sind die RFID-Daten wohl eher nicht als Geschäftskorrespondenz zu qualifizieren. Analog würde dies auch der herrschenden Rechtsmeinung entsprechen, die davon ausgeht, Telefonnotizen (und auch Telefongespräche) seien nicht als Geschäftskorrespondenz zu betrachten.
Die Regelungen mit Geschäftspartnern rund um den Einsatz von RFID, wie oben ausgeführt, sollten aber unbedingt als Geschäftskorrespondenz aufbewahrt werden. Die Aufbewahrungsfrist dafür beträgt grundsätzlich 10 Jahre, wobei die Informationsträger regelmässig auf Integrität und Lesbarkeit zu überprüfen sind. Die ganze Form der Aufbewahrung ist zudem zu dokumentieren.
Zusammenfassend kann gesagt werden, dass der RFID-Einsatz eine Basis für Rückschlüsse auf rechtlich relevante Sachverhalte bildet, den Einschränkungen des Datenschutzes unterliegt und mit Zurückhaltung archiviert werden sollte.
Ursula Sury ist selbstständige Rechtsanwältin in Luzern und Zug, mit Spezialgebiet Informatikrecht. An der Hochschule für Wirtschaft koordiniert sie die Fachrichtung Wirtschaftsinformatik.
Info: www.advokatinnen.ch
