Eine unverwechselbare Kennzeichnung von Waren ist datenschutzrechtlich irrelevant, solange ein Personenbezug nicht hergestellt werden kann. Die Ordnung und Kontrolle von Lagerbeständen ist dafür ein gutes Beispiel. Anders verhält es sich, wenn die Technik in einer Weise eingesetzt wird, um Daten über die persönlichen/sachlichen Verhältnisse einzelner Personen zu gewinnen. Die Nutzung von RFID-Chips kann z. B. bei Verwendung einer Kunden- oder Kreditkarte im Zusammenhang mit der Bezahlung der Ware zu einer Kombination von Produkt- und Käuferdaten führen. Das kann Grundlage für die Erstellung von Käuferprofilen insbesondere für die Werbung sein.
Ähnliches gilt für das sog. „Tracking“: Das Einkaufsverhalten eines Kunden könnte anhand eines in die Pfandmarke für den Einkaufswagen eingeführten RFID-Chips durch in den Verkaufsräumen aufgestellte Lesegeräte nachvollzogen werden (vergleichbar mit der Verfolgung von Clickstreams aufgrund abgelegter Cookies).
Die Sorge vor einer Verkettung zwischen unsichtbarem „Tag“ und Erkenntnissen über das persönliche Verhalten von Menschen führte zu kritischen Stellungnahmen der Bundes- und der Landesdatenschutzbeauftragten und zu Anfragen im Deutschen Bundestag geführt. Eine Änderung der gesetzlichen Bestimmungen im ist allerdings gegenwärtig nicht zu erwarten. Diejenigen, die RFID-Tags bereits einsetzen oder einsetzen wollen, sollten mit Rücksicht auf die bestehende Rechtslage folgende zwei Lösungswege im Blick haben:
Jeglicher Personenbezug wird vermieden. Es bleibt bei bloßer Warenkennzeichnung, gegebenenfalls mit Verfallsdatum oder ähnlichen Informationen, die insbesondere die Vorratshaltung steuern können.
Sofern der Personenbezug hergestellt wird, bedarf es, da eine Zulässigkeit nach den Regeln des Bundesdatenschutzgesetzes (BDSG) kaum ableitbar sein dürfte, (vorsorglich) einer regelmäßig schriftlich zu erteilenden Einwilligung der betroffenen Person. Letztere kann im Zusammenhang mit der Ausgabe von Kundenkarten vorgesehen werden. Dabei ist der Kunde zunächst über die eingesetzte Technik und die verfolgten Datenverarbeitungszwecke klar und verständlich zu unterrichten. Der Kunde hat dann ein Recht auf Auskunft, ggf. Berichtigung oder Löschung der zu seiner Person gespeicherten Daten.