© AIM-D – 2012 wrh - Page 1www.AIM-D.de - www.AIMglobal.org

Aktivitäten zum RFID-Datenschutzin der europäischen Politik

Vortrag auf dem Bluestar Technology Summit in Frankfurt am 24.4.2012

IoTWolf-Ruediger HansenAIM-D e.V. Deutschland – Österreich - Schweiz Industrieverband für Automatische Identifikation und mobile SystemeRichard-Weber-Str. 29 - 68623 Lampertheim (Germany)T: +49 6206 131 77 - M: +49 171 2257 520 - hansen@AIM-D.de

Stand: 18.4.2011 – 16:00 Uhr

© AIM-D – 2012 wrh - Page 2www.AIM-D.de - www.AIMglobal.org

AIM – the global AutoID network

A global network of technology and solution providers 1972 founded in the USA > 700 members in 43 countries

AIM-D: Germany - Austria - Switzerland > 140 members Innovative SMEs, concerns and research institutes

with global reach

Our market focus is AutoID AutoID and mobility technology solutions Technology spectrum:

Bar code 2D (Matrix-) Code RFID sensors actuators smart objects

IoT

© AIM-D – 2012 wrh - Page 3www.AIM-D.de - www.AIMglobal.org

AIM’s Mission regarding Data Protection

AIM is committed to the PIA Framework.

(1) AIM supports the individuals’ right to privacy regarding the handling of their personal data according to the German Federal Data Protection Act (BDSG) and the EU charter

(2) AIM members will gain competitive advantages

>> by providing PIA-compliant solutions

>> by supporting their customers – i. e. RFID operators – to understand and implement PIA requirements.

Therefore, we at AIM do support the political efforts to insure data protection and are a member

>> of the European IoT* Experts Group (Brussels) and of

>> the Dialogue Platform IoT/RFID at the German Ministry of Economy and Technology (Berlin)

IoT = Internet of Things

© AIM-D – 2012 wrh - Page 4www.AIM-D.de - www.AIMglobal.org

Aktivitäten zum RFID-DatenschutzInhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen

* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung

© AIM-D – 2012 wrh - Page 5www.AIM-D.de - www.AIMglobal.org

Vielfältige Bedrohungen des Datenschutzes

Indikationen des Datenhungers großerUnternehmen aus DER SPIEGEL (2/2011):

Facebook: Nutzer sind zum Wirtschaftsgut geworden; Wert je Adresse: 100 €

Scraping als Geschäftsmodell breitet sich aus: Sammlung persönlicher Details aus Diskussionsforen

Cookies verfolgen die Wege der Internet-Nutzer Das immer gleiche Ziel: Mit gezielter Werbung

billiger Kunden gewinnen. Dimension des Datenhungers der Industrie am

Beispiel dieses Zitates von Eric Schmidt, CEO, Google:

„Ich glaube, die meisten Leute wollen nicht, dass Google ihre Fragen beantwortet, sondern dass Google ihnen sagt, was sie als nächstes tun sollen.“

© AIM-D – 2012 wrh - Page 6www.AIM-D.de - www.AIMglobal.org

Datenschutz-Aspekte

Datenschutz

Generelle Ziele Wahrung der informationellen Selbstbestimmung der Bürger.

Schutz von Unternehmensdaten - Sichere Identitäten

GefahrUnautorisierte Sammlung

und Weitergabe persönlicher Daten

und Profile

AngstUnsichtbare Übertragung von Daten zwischen RFID-Etiketten und RFID Readern mit Radiowellen erzeugt

Politische SichtBedürfnis zur Regulierung des Datenschutzes

Natürlicher Konflikt zur Förderung von Industrie und weltwirtschaftlicher Position Europas

Politische Aktivitäten:EU-Empfehlung für RFID-Datenschutz - PIA Framework

Technische Richtlinie RFID und PIA Guideline vom BSI

© AIM-D – 2012 wrh - Page 7www.AIM-D.de - www.AIMglobal.org

AutoID-Technologien

Linearer BarcodeDie klassische Lösung

im Handel und in vielen anderen

Industriesektoren

Zweidimensionaler CodeMehr Datenspeicher Auf kleinerer Fläche,Direktmarkierung auf metallischen Flächen

möglich,elektronische Abbildung

auf Displays (Smart Phones),hohe Fehlertoleranz

RFIDLesbar ohne Sichtverbindung,

Pulk-Lesung unterstützt,Vielzahl an technologischen Varianten und Frequenzen,

beschreibbarer Datenspeicher,koppelbar mit Sensoren.

Aber:Sensible elektromagnetische

Randbedingungen

Weitere AutoID-Technologien: Fingerabdruck, Iris-Erkennung, Gesichtsform, Oberflächenstrukturen u.a.

Optische Techniken Elektronische Techniken

© AIM-D – 2012 wrh - Page 8www.AIM-D.de - www.AIMglobal.org

Wo steht der Markt mit RFID?

Innovatoren im Konsumgüterbereich mit RFID/UHF Gerry Weber: RFID an allen Kleidungsstücken (ca. 30 Millionen pro Jahr) Container Centralen: RFID an allen Roll-Containern (ca. 4 Millionen)

Bürger-Anwendungen: Personalausweise, Reisepässe, Skipässe Ausweise in Parkhäusern Demnächst: Kreditkarten als Smart Cards Spinde in Schwimmbädern

Automotive-Sektor Zentralverriegelung und Wegfahrsperre in Autos Kennzeichnung von Bauteilen Ausleihe von Fahrzeugen

Die kritische Datenschutzstimme: FoeBUD

Kontinuierliches Ergebnis der AIM-Umfragen zur wirtschaftlichen Entwicklung des RFID-Umsatzes der Anbieter:

Jährliches Umsatzwachstum deutlich im zweistelligen Prozentbereich.

© AIM-D – 2012 wrh - Page 9www.AIM-D.de - www.AIMglobal.org

PIA-Prozess bei Gerry Weber

Statement von Gerry Weber, RFID-Innovator im Fashion-Sektor:

Ziel: Logistik Pro: Pure RFID Operations

„Wir werden, wie in PIA vorgegeben, die Privacy-Ziele und konkreten Bedrohungen mit konkreten Bewertungen hinterlegen und konkrete Maßnahmen dazu formulieren. Durch die Zusammenarbeit mit Frau Prof. Spiekermann und dem BSI sind wir hier glücklicherweise nicht auf uns alleine gestellt. Das Ergebnis werden wir sauber dokumentieren, und dann versuchen daraus für den Fashionbereich möglichst allgemeingültige Bedrohungsformulierungen und Maßnahmen abzuleiten. Das wird sicherlich ein iterativer Prozess.“

Im Idealfall ist das Branchen-Template dann ein Aufsatz auf der BSI-Richtlinie…

Denkbar zum Beispiel: Template für kleine Shops, die RFID nur für den Kassiervorgang verwenden; keine Verarbeitung oder Weitergabe der Daten.

Aktuelle Veröffentlichung über Gerry Weber mit Video beim WDR (16.1.2012):

www.wdr.de/tv/markt/sendungsbeitraege/2012/0116/01_rfid-chips.jspMit einem kritischen Beitrag der Datenschutzorganisation FoeBUD e.V. www.foebud.org

© AIM-D – 2012 wrh - Page 10www.AIM-D.de - www.AIMglobal.org

Transparency with the RFID Sign

Infos unter www.gerryweber.com/rfid

Goal of the RFID SignInformation of customers in the shops about the usage of RFID Tags attached to fashion articles.

Design corresponding with the version currently being standardized by CEN/CENELEC.

„European RFID Sign“

Comprising Emblem according to ISO/IEC 29160 Name of the RFID operator Web address providing the document about

the PIA at this company.RFID Sign as used by Gerry Weber

© AIM-D – 2012 wrh - Page 11www.AIM-D.de - www.AIMglobal.org

The Reach of RFID PIAPrivacy by Design is a major requirement of PIA regarding RFID systems and the variety of systems processing RFID data. But it does not address all IT systems.

RFID RFID local data central data business partnerTag Reader processing processing systems

Data flow and possibly backflow

Subject to RFID PIA:The “RFID System”

Including external interfaces

Special threat: unrecognized reading.Mitigation: select proper frequencies

and/or PET

Cloud ComputingInternet of Things

The new EU Data Protection Directive 2012 will claim a

general PIA for:Other systems

© AIM-D – 2012 wrh - Page 12www.AIM-D.de - www.AIMglobal.org

Die „Cloud“ mit dem „Internet der Dinge“

Realer Warenfluss

AutoIDReader

AutoIDReader

AutoIDReader

AutoIDReader

AutoIDReader

Physische Identitäten

Kommunikationsebene - „Broker“

Markierungen - Sensoren

.

Sensors.

Neue Steuerungssysteme auf der Middleware-Ebene

Klassische ERP-Systeme

„Sensoconomy“Neue Systeme für

Business Intelligence:

© AIM-D – 2012 wrh - Page 13www.AIM-D.de - www.AIMglobal.org

Zwischenfazit

Der RFID Hype ist vorbei.

RFID ist in zahlreichen Anwendungsgebieten in der Ausbreitung begriffen.

Es ist zu unterscheiden:

Datenschutzgefahren durch RFID:

zum Beispiel durch unbemerktes Ausspähen.

Datenschutzgefahren in Datenbanken, in denen „RFID-Daten“ gesammelt werden:

Das ist nicht mehr ursächlich dem RFID-Einsatz zuzurechnen, denn die Datenbanken werden aus allen denkbaren Quellen gefüttert.

© AIM-D – 2012 wrh - Page 14www.AIM-D.de - www.AIMglobal.org

Aktivitäten zum RFID-DatenschutzInhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen

* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung

© AIM-D – 2012 wrh - Page 15www.AIM-D.de - www.AIMglobal.org

Mit Datenschutz befasste Entitäten

EP: Europäisches Parlament EC: Europäische Kommission ENISA: European Network and Information Security Agency

Bundesregierung BSI: Bundesamt für Sicherheit in der Informationstechnik BfD: Bundesbeauftragter für den Datenschutz ULD: Unabhängiges Landeszentrum für Datenschutz in Schlewig-Holstein

Verbände: AIM, BITKOM, GS1 Datenschutzverbände: FoeBUD, EDRI, … Universität Wien (Prof. Dr. Sarah Spiekermann) Fraunhofergesellschaft: Forschungscluster „Sichere Identität“ in Berlin

… und andere.

© AIM-D – 2012 wrh - Page 16www.AIM-D.de - www.AIMglobal.org

Die Basis: Bundesdatenschutzgesetz (BDSG)

vom 20. Dezember 1990, neugefasst, zuletzt geändert in 2009

Mit 48 Paragraphen, darunter:

§1: (1) Zweck: … den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

§1: (2) Geltungsbereich: für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen …

§4g: (1) Überwachung durch den betrieblichen Beauftragten für den Datenschutz

Der Datenschutzbeauftragte ist im Unternehmen auch der Verantwortliche

für die europäische Datenschutzfolgeabschätzung (PIA).

© AIM-D – 2012 wrh - Page 17www.AIM-D.de - www.AIMglobal.org

Europäische Datenschutz-Historie

1990 Bundesdatenschutzgesetz (BDSG)

1995 EP Directive 95/46/EC based on the European Charter of Fundamental Rights

2008 EC M436 Standardization Mandate RFIDBased on COM (2007) 228 on Promoting Data Protection by Privacy Enhancement Technologies (PET)

May 2009 EC Recommendation on the implementation of RFID privacy and data protection: “soft legislation”

April 2011 The PIA Framework edited by the RFID Informal Working Group chaired by the European Commission

By May 2011 Member States should inform the Commission

May 2012 The Commission will provide a report on the implementation of the Recommendation

Possible next step: “Hard” RFID legislation to be initiated

© AIM-D – 2012 wrh - Page 18www.AIM-D.de - www.AIMglobal.org

The PIA Process

The European Data Protection Process

May 2009: EC Recommendation

on the implementation of RFID privacy

and data protection: “soft legislation”

April 2011: The PIA Framework

endorsed by the European “Article 29 Data Protection

Working Party (29WP)”

* Article 29 Working Party, the assembly of the European DPAs (Data Protection Authorities)

Goal 2RFID Informal Working Group:

A process of self-regulation

by the “industry”Result:

The PIA Framework

Goal 1The European

RFID Sign

Based on an ISO standard and worked

out by ETSI STF 396

© AIM-D – 2012 wrh - Page 19www.AIM-D.de - www.AIMglobal.org

The Data Protection Hat-trick

Information Security

Safety Privacy

Informations-sicherheit:

VerfügbarkeitVertraulichkeit

IntegritätAuthentizität

NichtabstreitbarkeitVerbindlichkeit

Funktions-sicherheit

StörungssicherheitFehlertoleranz

Datenschutz

AnonymitätPseudonymität

UnverknüpfbarkeitUnbeobachtbarkeit

Sichere Informationssysteme

Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008

© AIM-D – 2012 wrh - Page 20www.AIM-D.de - www.AIMglobal.org

….PIA

Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008

The Hat-trick: Safety - Security - Privacy

PIA Framework as endorsed by A29WP and industry

PIA Guideline by BSI and WU Vienna

(Prof. Dr. Sarah Spiekermann)www.bsi.bund.de/PIA

PIA Templates under development at AIM for small applications,

at GS1 for retail applications, … where else?

I

The risk management approach as used by the BSI Technical Guidelines RFID*

and by the PIA Framework

Assessment of residual risks

Definition of Targets

Definition of protection demand categories

Identification of relevant safeguards

Information securitySafety Privacy

© AIM-D – 2012 wrh - Page 21www.AIM-D.de - www.AIMglobal.org

PIA-Zeremonie bei der Europäischen Kommission in Brüssel am 6.4.2011

32 Teilnehmer von Volkswagen, BSI, AIM, BITKOM, ERRT, Universitäten, GS1, ENISA u.a.unter Leitung von Gerald Santucci von der Europäischen KommissionReihe hinten: - Sprafke - Hange …..Reihe Mitte: - … - Rees - Spiekermann - Lopera - Corduant - … - Walk – Jimenez – … - Krisch – FriessReihe vorn: - … - Helmbrecht – Kroes – Kohnstamm – Bonn - Richards – Santucci – Skehan - …

© AIM-D – 2012 wrh - Page 22www.AIM-D.de - www.AIMglobal.org

Aktivitäten zum RFID-DatenschutzInhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen

* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung

© AIM-D – 2012 wrh - Page 23www.AIM-D.de - www.AIMglobal.org

PIA Anfangsanalyse: Vollständiges oder vereinfachtes PIA?

Abb. 1: Entscheidungsbaum: Muss ein PIA durchgeführt werden und wenn „ja“, welcher Level?

PIA Framework: 2.1 Anfangsanalyse, Seite 8

Frage 1: Verarbeitet die RFID-Anwendung personenbezogene Daten oder verknüpft sie RFID-Daten mit personenbezogenen Daten?

Frage 2a: Enthalten die RFID Tags

persönliche Daten?

?

Frage 2b: Werden die verwendeten RFID Tags wahrscheinlich von

einer Person getragen?

Level 3

Vollständiges PIA

(Full scale PIA)

Level 1 Level 0

Vereinfachtes PIA

(Small scale PIA)Kein PIA

?

Ja

Ja Nein

Nein

?Ja Nein

Level 2Level 3

Anmerkung 1:„Personenbezogene Daten“ im Sinne von 95/46/EC sind alle Informationen bezüglich einer bestimmten oder bestimmbaren Person („betroffene Person“)…

Anmerkung 2:Eine RFID-Anwendung ist ein System, das Daten durch Nutzung von RFID Tags und Readern verarbeitet und dabei von einem Hintergrundsystem oder einer Kommunikations-Infrastruktur unterstützt wird.

Vorschrift: Muss dokumentiert und den Datenschutzbehörden auf Anfrage vorgelegt werden.(Ziff. 2.1, Seite 7)

© AIM-D – 2012 wrh - Page 24www.AIM-D.de - www.AIMglobal.org

Referenzmodell des PIA-Prozesses*

Geplantes RFID-Anwendungsdesign

Wahrscheinlichkeit von Bedrohungen,

Ausmaß der Folgen, angemessene Maßnahmen

Schritt 1: Beschreibung der Anwendung

Umfassende Beschreibung der Anwendung

Liste durchgeführterund geplanterMaßnahmen

Liste der Risiken und ihre Wahrscheinlichkeiten

Bericht über die Datenschutzfolge-

abschätzung(PIA Report)

Schritt 4: Dokumentation der Schlussfolgerung und der verbleibenden Risiken

*PIA Framework: Risiko-Abschätzung, Seite 9 - 10

… dokumentieren, wie diese Risiken auf proaktive

Weise durch technische und organisatorische Kontrollmaßnahmen gemindert werden.

Schritt 2: Ermittlung bestehender Risiken

Schritt 3: Ermittlung vorhandener und geplanter

Maßnahmen

© AIM-D – 2012 wrh - Page 25www.AIM-D.de - www.AIMglobal.org

Risikominimierung durch Schutzmaßnahmen

Bedrohungen werden mit Wahrscheinlichkeiten bewertet.

Schutzmaßnahmen werden nur für wahrscheinliche Risiken ergriffen.

Schutzmaßnahmen können technischer und organisatorischer Art sein.

Der Bewertungsgang und die verbleibenden Risiken werden im PIA Report transparent dargestellt.

DenkbareRisiken

Wahr-schein-lichkeit,

dass diese nicht

auftreten

Risiken ermitteln und maßnahmen treffen (Quelle: PIA Guideline WP5 BSI/Spiekermann, Seite 25)

Im Kontext realis-tische Risiken

Maß-nahmen

zur Risiko-

Minderung

Risiko-Ausmaß

PIA-Schritte

Rest-Risiken

Maßnahmen hinsichtlich

Technik, Management,

Verfahren

© AIM-D – 2012 wrh - Page 26www.AIM-D.de - www.AIMglobal.org

Europäischer Ausblick

2012 erwartet: Neuauflage der europäischen Datenschutz-Direktive mit der Verpflichtung zur Datenschutzfolgeabschätzung (PIA)

für alle Anwendungskontexte (nicht nur RFID)

Bericht von BBC am 23 January 2012 EU proposes 'right to be forgotten' by internet firmswww.bbc.co.uk/news/technology-16677370Viviane Reding - at the Digital Life Design (DLD) conferencein Munich – said that individuals must be given control over their information A new law promising internet users the "right to be forgotten"will be proposed by the European Commission on Wednesday. It says people will be able to ask for data about them to be deleted and firms will have to comply unless there are "legitimate" grounds to retain it. The move is part of a wide-ranging overhaul of the commission's 1995 Data Protection Directive. Some tech firms have expressed concern about the reach of the new bill….

Mehr dazu unterhttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

© AIM-D – 2012 wrh - Page 27www.AIM-D.de - www.AIMglobal.org

Aktivitäten zum RFID-DatenschutzInhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen

* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung

© AIM-D – 2012 wrh - Page 28www.AIM-D.de - www.AIMglobal.org

PIA-Muster (Templates)

Ziff. 1.1: Muster für Datenschutzfolgenabschätzungen… branchen- oder anwendungsorientierte oder sonstige besondere Vorlagen für Datenschutzfolgenabschätzungen, um Berichte bereitzustellen.

Ziff. 2: Effizienzsteigerung mit Mustern… Muster für Datenschutzfolgenabschätzungen für bestimmte Anwendungen oder Wirtschaftssektoren. … Berichte für ähnliche RFID-Anwendungen effizienter erstellen.

Ziff. 2.2: Branchenübergreifende Vereinfachung der Risko-ErmittlungAuf die Risikoermittlung kann ausführlicher in sektorspezifischen Mustern eingegangen werden…

Nicht geregelt: Wer erstellt die Muster / Templates?Aufgabe der Branchenverbände?

Anforderung gemäß PIA Framework:

© AIM-D – 2012 wrh - Page 29www.AIM-D.de - www.AIMglobal.org

PIA Snap Shot: Kleiner Shop

Prozess am Beispiel eines Mode-Shops wie Gerry Weber (GW).Annahme: das Kassensystem des Shops speichert nur die Bon-Daten, keinerlei Kundendaten. Es stellt keine Verbindung zwischen den Bon-Daten und den Daten der Kreditkarte her.

1 2 3 4 5

Anlieferung der Ware mit RFID Tags im KartonVereinnahmung

Shop- und Regal-

Management,Inventur

Zahlung an Kasse, ggf. mit (Smart) Kreditkarte

Elektronische Waren-

sicherung mit RFID

After Sales

ServicesMit RFID

Shop

PIA-Anfangsanalyse: Schritte 1 und 2: irrelevant für PIA, aber Basis für den Business Case bei GW. Schritt 4 irrelevant, wenn wie bei GW kein Bezug zu Personen hergestellt wird. Schritt 5 ist für den Business Case von GW irrelevant. Schritt 3: Werden personenbezogene RFID-Daten verarbeitet oder verknüpft? Annahme: Nein. Werden RFID Tags wahrscheinlich von Personen getragen?

Nein, wenn die RFID Tags automatisch deaktiviert werden. (Opt-in-Methode) Ja, wenn der Tag aktiv bleibt – bei GW bis zur dritten Wäsche / Reinigung

Kein PIA Small Scale PIA

© AIM-D – 2012 wrh - Page 30www.AIM-D.de - www.AIMglobal.org

AIM PIA Workshops

Started in June 2011to be continued in 2012 In cooperation with

Humboldt University Berlin, BITKOM, Technical University Munich, VDA (German Automotive Manufacturers Association) in BerlinFeig Electronic, Deister Electronic, Smart-Tec and more

Attendees from AIM member companies and BITKOM, Daimler, Datev, Skidata, Tourist Office Bavaria, VDA, Volkswagen, ZF Friedrichshafen, TÜV Rheinland, BMWi

Typical one day program: Introduction into the PIA process and

PIA requirements (W.-R. Hansen, AIM) About personal data (J. Landvogt, BfDI) About the BSI Technical Guidelines RFID

(H. Kelter, BSI) About PIA templates (Hansen, Kelter) The RFID operator’s view

(S. Bourguignon, Daimler) Planned:

Examples of PIA templates and exercises

Organized by AIM – supported by the German Federal Ministry of Economics and Technology

© AIM-D – 2012 wrh - Page 31www.AIM-D.de - www.AIMglobal.org

Fazit: Stärken und Schwächen des PIA-Prozesses

Stärken und Chancen

Starke europäische Position gegenüber den USA, die einen eher lässigen Blick auf Datenschutz einnehmen..

Datenschutz und wirtschaftliche Entwicklung müssen ausgewogen sein.

Datenschutzziele sollten die Wettbewerbsfähigkeit europäischer Unternehmen nicht behindern.

Die besonderen europäischen Erfahrungen sind ein Wettbewerbsvorteil hinsichtlich:

Breite der RFID-Frequenzen (HF/LF/UHF…) und

Privacy Enhancement Technologies (PET)

Schwächen

Das Interesse an der PIA-Umsetzung bei den großen Anwender- und IT-Firmen ist bisher eher schwach.

Ebenso bei den Lieferanten von ERP-Systemen.

PIA Templates sind bisher kaum verfügbar.

In den EU-Ländern ist bisher keine abgestimmte Vorgehensweise für Informations- und Funktionssicherheit als Vorraussetzung für Datenschutz erkennbar. Die TR RFID des BSI können diesem Ziel dienen.

© AIM-D – 2012 wrh - Page 32www.AIM-D.de - www.AIMglobal.org

Attachement

Reading stuff and

references

© AIM-D – 2012 wrh - Page 33www.AIM-D.de - www.AIMglobal.org

Anhang: Quellen und Web-AdressenDeutsches Bundesdatenschutzgesetz (BDSG) – 1.9.2009

http://www.bfdi.bund.de/SharedDocs/Publikationen/GesetzeVerordnungen/BDSG.html?nn=408916Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSDI): www.bsi.de

TG 03126 Technical Guidelines for the Secure Use of RFID (published in German and English)www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03126/index_htm.htmlPrivacy Impact Assessment Guideline www.bsi.bund.de/PIA

European Network and Information Security Agency: www.enisa.europa.euDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: www.bfdi.de--------------------------------------Article 29 Data Protection Working Party: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htmEuropäisches Parlament: Direktive 95/46/EG über persönlichen Datenschutz

http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_de.pdfEuropäisches Parlament und Rat: Richtlinie 1999/5/EC: R&TTE Directive“

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:091:0010:0010:EN:PDFEuropean Commission: COM(2007) 228 Communication on Promoting Data Protection by Privacy Enhancing Technologies (PET)

http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0228en01.pdfEuropäische Kommission: M436 Standardisierungsmandat (8. Dezember 2008)

www.etsi.org/WebSite/document/aboutETSI/EC_Mandates/EC%20Mandate%20436%20RFID.pdfEuropean Directive 2009/136/EC amending directive 2002/58/EC

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:EN:PDFEuropäische Kommission: Empfehlung für RFID-Datenschutz und Datensicherheit (12. Mai 2009)

Englisch: http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdfDeutsch: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:DE:PDF

European Privacy and Impact Assessment Framework by Industry (11. Februar 2011)http://ec.europa.eu/information_society/policy/rfid/pia/index_en.htm

© AIM-D – 2012 wrh - Page 34www.AIM-D.de - www.AIMglobal.org

Reading StuffWolfram, Gampl, Gabriel (Eds.): „The RFID Roadmap: The Next Steps for Europe“, Springer 2008

Hansen/Gillert: „RFID for the Optimization of Business Processes“, Wiley, UK, 2008(In Deutsch im Carl Hanser Verlag, München)

Vermesan, Friess (Eds.): „Internet of Things -Global Technological and Societal Trends -Smart Environments and Spaces to Green ICT“, The River Publishers, Denmark, 2011 www.riverpublishers.com

Uckelmann, Harrrison, Michahelles (Eds.): “Architecting the Internet of Things”, Springer Verlag Berlin

Wright, David; de Hert, Paul (Eds.):„Privacy Impact Assessment“Springer, Series Law, Governance and Technology, Vol. 6, 2012www.springer.com