Mindestens Ordnungswidrigkeit
Rechtlich wäre dies eine erneute Datenerhebung, für die weder eine gesetzliche Grundlage bestünde noch eine Einwilligung des Betroffenen vorläge. Das erneute Auslesen solcher Daten wäre also datenschutzrechtlich unzulässig und damit - wie jede wesentliche Zuwiderhandlung gegen datenschutzrechtliche Vorschriften - mindestens eine Ordnungswidrigkeit (nach Paragraf 43, Absatz 2, Nummer 1, BDSG). In einigen Fällen - bei Datenerhebungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern beziehungsweise einen anderen zu schädigen - wäre es sogar strafbar. Gemäß Paragraf 44 des BDSG könnte dies mit einer Geldstrafe oder einer Freiheitsstrafe bis zu zwei Jahren geahndet weden. Das Bußgeld für eine Ordnungswidrigkeit kann immerhin bis zu 250 000 Euro betragen. Das wäre aber fast "Kleingeld" im Vergleich zu dem Imageschaden, der entstünde, wenn eine planmäßige Außerachtlassung datenschutzrechtlicher Bestimmungen öffentlich ruchbar würde und das betreffende Unternehmen für negative Schlagzeilen sorgte.
Für das Unternehmen, das ursprünglich den RFID-Chip angebracht und aktiviert hat, scheidet eine Strafbarkeit oder Ordnungswidrigkeit im Hinblick auf nachgelagerte Auslesevorgänge in der Regel aus. Ihm fehlt der hierfür erforderliche Vorsatz. Eine proaktive Wahrung des Rechts auf informationelle Selbstbestimmung erforderte es aber, dass Deaktivierungsgeräte zur Verfügung gestellt und die Kunden auf die Nutzung und die Handhabung dieser Geräte hingewiesen werden.
Alle an einer RFID-unterstützten Lieferkette Beteiligten sollten die Art und Weise der Nutzung der so generierten Daten miteinander vereinbaren und im Hinblick auf datenschutzrechtliche Risiken gegebenenfalls Selbstverpflichtungen eingehen, beispielsweise zum Aufstellen von Deaktivierungsgeräten. Die Inhalte solcher Selbstverpflichtungen hängen von den individuellen Absichten und Interessen der Beteiligten ab.