Die Art. 29 Datenschutzgruppe hat in ihrem Workingpaper 180 Stellung genommen zum Einsatz von RFID Technik. Das zur Zeit nur in der englischen Version erhältliche Workingpaper “Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications”
Vor der Einführung von RFID Technik sollen die datenschutzrelevanten Persönlichkeitsbeeinträchtigungen in geeigneter Weise geprüft und bewertet werden. Die Prüfberichte sollen für Berechtigte verfügbar sein und somit eine Transparenz des Verfahrens sicherstellen.
Das Analyseverfahren soll in zwei Schritten erfolgen. In einer ersten Phase soll ermittelt werden wie umfangreich die Prüfung der Eingriffe in Persönlichkeitsrechte ist. Soweit tatsächlich personenbezogene Daten verarbeitet werden, ist eine umfassende Prüfung der Rechte der Betroffenen erforderlich.
Im Rahmen der Risikoanalyse sollen folgende Punkte behandelt werden:
- Charakteriesierung der Datenverarbeitungen mit Datentypen, Datenflüsse, verwendete Technik, Speicherung und Transfer von Daten
- Risikoanalyse der Verletzung von Persönlichkeitsrechten bei Verlust von Vertraulichkeit im System
- Kontrollmechnismen, die die vorherigen Risiken minieren.
- Maßnahmen zur Sicherung der Persönlichkeitsrechte der Betroffenen.
Die von der Art. 29 Gruppe zusammengestellt Anforderung waren im Prinzip so auch schon über die Notwendigkeit einer Vorabkontrolle nach § 4d Abs. 5 BDSG im deutschen Recht verankert. In der Praxis wurde insbesondere die Risikoanalyse bisher nicht mit der erforderlichen Ernsthaftigkeit betrieben.
