Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© AIM-D – 2012 wrh - Page 1www.AIM-D.de - www.AIMglobal.org
Aktivitäten zum RFID-Datenschutzin der europäischen Politik
Vortrag auf dem Bluestar Technology Summit in Frankfurt am 24.4.2012
IoTWolf-Ruediger HansenAIM-D e.V. Deutschland – Österreich - Schweiz Industrieverband für Automatische Identifikation und mobile SystemeRichard-Weber-Str. 29 - 68623 Lampertheim (Germany)T: +49 6206 131 77 - M: +49 171 2257 520 - [email protected]
Stand: 18.4.2011 – 16:00 Uhr
© AIM-D – 2012 wrh - Page 2www.AIM-D.de - www.AIMglobal.org
AIM – the global AutoID network
A global network of technology and solution providers 1972 founded in the USA > 700 members in 43 countries
AIM-D: Germany - Austria - Switzerland > 140 members Innovative SMEs, concerns and research institutes
with global reach
Our market focus is AutoID AutoID and mobility technology solutions Technology spectrum:
Bar code 2D (Matrix-) Code RFID sensors actuators smart objects
IoT
© AIM-D – 2012 wrh - Page 3www.AIM-D.de - www.AIMglobal.org
AIM’s Mission regarding Data Protection
AIM is committed to the PIA Framework.
(1) AIM supports the individuals’ right to privacy regarding the handling of their personal data according to the German Federal Data Protection Act (BDSG) and the EU charter
(2) AIM members will gain competitive advantages
>> by providing PIA-compliant solutions
>> by supporting their customers – i. e. RFID operators – to understand and implement PIA requirements.
Therefore, we at AIM do support the political efforts to insure data protection and are a member
>> of the European IoT* Experts Group (Brussels) and of
>> the Dialogue Platform IoT/RFID at the German Ministry of Economy and Technology (Berlin)
IoT = Internet of Things
© AIM-D – 2012 wrh - Page 4www.AIM-D.de - www.AIMglobal.org
Aktivitäten zum RFID-DatenschutzInhalt
Porträt des Industrieverbandes AIM
Positionierung des Datenschutzes
RFID: Technik, Markt, Internet der Dinge
Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland
PIA: Privacy Impact Assessment – die Aufgabe der Anwender
Effizienzsteigerung mit Templates
AIM PIA Workshops
Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
© AIM-D – 2012 wrh - Page 5www.AIM-D.de - www.AIMglobal.org
Vielfältige Bedrohungen des Datenschutzes
Indikationen des Datenhungers großerUnternehmen aus DER SPIEGEL (2/2011):
Facebook: Nutzer sind zum Wirtschaftsgut geworden; Wert je Adresse: 100 €
Scraping als Geschäftsmodell breitet sich aus: Sammlung persönlicher Details aus Diskussionsforen
Cookies verfolgen die Wege der Internet-Nutzer Das immer gleiche Ziel: Mit gezielter Werbung
billiger Kunden gewinnen. Dimension des Datenhungers der Industrie am
Beispiel dieses Zitates von Eric Schmidt, CEO, Google:
„Ich glaube, die meisten Leute wollen nicht, dass Google ihre Fragen beantwortet, sondern dass Google ihnen sagt, was sie als nächstes tun sollen.“
© AIM-D – 2012 wrh - Page 6www.AIM-D.de - www.AIMglobal.org
Datenschutz-Aspekte
Datenschutz
Generelle Ziele Wahrung der informationellen Selbstbestimmung der Bürger.
Schutz von Unternehmensdaten - Sichere Identitäten
GefahrUnautorisierte Sammlung
und Weitergabe persönlicher Daten
und Profile
AngstUnsichtbare Übertragung von Daten zwischen RFID-Etiketten und RFID Readern mit Radiowellen erzeugt
Politische SichtBedürfnis zur Regulierung des Datenschutzes
Natürlicher Konflikt zur Förderung von Industrie und weltwirtschaftlicher Position Europas
Politische Aktivitäten:EU-Empfehlung für RFID-Datenschutz - PIA Framework
Technische Richtlinie RFID und PIA Guideline vom BSI
© AIM-D – 2012 wrh - Page 7www.AIM-D.de - www.AIMglobal.org
AutoID-Technologien
Linearer BarcodeDie klassische Lösung
im Handel und in vielen anderen
Industriesektoren
Zweidimensionaler CodeMehr Datenspeicher Auf kleinerer Fläche,Direktmarkierung auf metallischen Flächen
möglich,elektronische Abbildung
auf Displays (Smart Phones),hohe Fehlertoleranz
RFIDLesbar ohne Sichtverbindung,
Pulk-Lesung unterstützt,Vielzahl an technologischen Varianten und Frequenzen,
beschreibbarer Datenspeicher,koppelbar mit Sensoren.
Aber:Sensible elektromagnetische
Randbedingungen
Weitere AutoID-Technologien: Fingerabdruck, Iris-Erkennung, Gesichtsform, Oberflächenstrukturen u.a.
Optische Techniken Elektronische Techniken
© AIM-D – 2012 wrh - Page 8www.AIM-D.de - www.AIMglobal.org
Wo steht der Markt mit RFID?
Innovatoren im Konsumgüterbereich mit RFID/UHF Gerry Weber: RFID an allen Kleidungsstücken (ca. 30 Millionen pro Jahr) Container Centralen: RFID an allen Roll-Containern (ca. 4 Millionen)
Bürger-Anwendungen: Personalausweise, Reisepässe, Skipässe Ausweise in Parkhäusern Demnächst: Kreditkarten als Smart Cards Spinde in Schwimmbädern
Automotive-Sektor Zentralverriegelung und Wegfahrsperre in Autos Kennzeichnung von Bauteilen Ausleihe von Fahrzeugen
Die kritische Datenschutzstimme: FoeBUD
Kontinuierliches Ergebnis der AIM-Umfragen zur wirtschaftlichen Entwicklung des RFID-Umsatzes der Anbieter:
Jährliches Umsatzwachstum deutlich im zweistelligen Prozentbereich.
© AIM-D – 2012 wrh - Page 9www.AIM-D.de - www.AIMglobal.org
PIA-Prozess bei Gerry Weber
Statement von Gerry Weber, RFID-Innovator im Fashion-Sektor:
Ziel: Logistik Pro: Pure RFID Operations
„Wir werden, wie in PIA vorgegeben, die Privacy-Ziele und konkreten Bedrohungen mit konkreten Bewertungen hinterlegen und konkrete Maßnahmen dazu formulieren. Durch die Zusammenarbeit mit Frau Prof. Spiekermann und dem BSI sind wir hier glücklicherweise nicht auf uns alleine gestellt. Das Ergebnis werden wir sauber dokumentieren, und dann versuchen daraus für den Fashionbereich möglichst allgemeingültige Bedrohungsformulierungen und Maßnahmen abzuleiten. Das wird sicherlich ein iterativer Prozess.“
Im Idealfall ist das Branchen-Template dann ein Aufsatz auf der BSI-Richtlinie…
Denkbar zum Beispiel: Template für kleine Shops, die RFID nur für den Kassiervorgang verwenden; keine Verarbeitung oder Weitergabe der Daten.
Aktuelle Veröffentlichung über Gerry Weber mit Video beim WDR (16.1.2012):
www.wdr.de/tv/markt/sendungsbeitraege/2012/0116/01_rfid-chips.jspMit einem kritischen Beitrag der Datenschutzorganisation FoeBUD e.V. www.foebud.org
© AIM-D – 2012 wrh - Page 10www.AIM-D.de - www.AIMglobal.org
Transparency with the RFID Sign
Infos unter www.gerryweber.com/rfid
Goal of the RFID SignInformation of customers in the shops about the usage of RFID Tags attached to fashion articles.
Design corresponding with the version currently being standardized by CEN/CENELEC.
„European RFID Sign“
Comprising Emblem according to ISO/IEC 29160 Name of the RFID operator Web address providing the document about
the PIA at this company.RFID Sign as used by Gerry Weber
© AIM-D – 2012 wrh - Page 11www.AIM-D.de - www.AIMglobal.org
The Reach of RFID PIAPrivacy by Design is a major requirement of PIA regarding RFID systems and the variety of systems processing RFID data. But it does not address all IT systems.
RFID RFID local data central data business partnerTag Reader processing processing systems
Data flow and possibly backflow
Subject to RFID PIA:The “RFID System”
Including external interfaces
Special threat: unrecognized reading.Mitigation: select proper frequencies
and/or PET
Cloud ComputingInternet of Things
The new EU Data Protection Directive 2012 will claim a
general PIA for:Other systems
© AIM-D – 2012 wrh - Page 12www.AIM-D.de - www.AIMglobal.org
Die „Cloud“ mit dem „Internet der Dinge“
Realer Warenfluss
AutoIDReader
AutoIDReader
AutoIDReader
AutoIDReader
AutoIDReader
Physische Identitäten
Kommunikationsebene - „Broker“
Markierungen - Sensoren
.
Sensors.
Neue Steuerungssysteme auf der Middleware-Ebene
Klassische ERP-Systeme
„Sensoconomy“Neue Systeme für
Business Intelligence:
© AIM-D – 2012 wrh - Page 13www.AIM-D.de - www.AIMglobal.org
Zwischenfazit
Der RFID Hype ist vorbei.
RFID ist in zahlreichen Anwendungsgebieten in der Ausbreitung begriffen.
Es ist zu unterscheiden:
Datenschutzgefahren durch RFID:
zum Beispiel durch unbemerktes Ausspähen.
Datenschutzgefahren in Datenbanken, in denen „RFID-Daten“ gesammelt werden:
Das ist nicht mehr ursächlich dem RFID-Einsatz zuzurechnen, denn die Datenbanken werden aus allen denkbaren Quellen gefüttert.
© AIM-D – 2012 wrh - Page 14www.AIM-D.de - www.AIMglobal.org
Aktivitäten zum RFID-DatenschutzInhalt
Porträt des Industrieverbandes AIM
Positionierung des Datenschutzes
RFID: Technik, Markt, Internet der Dinge
Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland
PIA: Privacy Impact Assessment – die Aufgabe der Anwender
Effizienzsteigerung mit Templates
AIM PIA Workshops
Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
© AIM-D – 2012 wrh - Page 15www.AIM-D.de - www.AIMglobal.org
Mit Datenschutz befasste Entitäten
EP: Europäisches Parlament EC: Europäische Kommission ENISA: European Network and Information Security Agency
Bundesregierung BSI: Bundesamt für Sicherheit in der Informationstechnik BfD: Bundesbeauftragter für den Datenschutz ULD: Unabhängiges Landeszentrum für Datenschutz in Schlewig-Holstein
Verbände: AIM, BITKOM, GS1 Datenschutzverbände: FoeBUD, EDRI, … Universität Wien (Prof. Dr. Sarah Spiekermann) Fraunhofergesellschaft: Forschungscluster „Sichere Identität“ in Berlin
… und andere.
© AIM-D – 2012 wrh - Page 16www.AIM-D.de - www.AIMglobal.org
Die Basis: Bundesdatenschutzgesetz (BDSG)
vom 20. Dezember 1990, neugefasst, zuletzt geändert in 2009
Mit 48 Paragraphen, darunter:
§1: (1) Zweck: … den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
§1: (2) Geltungsbereich: für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen …
§4g: (1) Überwachung durch den betrieblichen Beauftragten für den Datenschutz
Der Datenschutzbeauftragte ist im Unternehmen auch der Verantwortliche
für die europäische Datenschutzfolgeabschätzung (PIA).
© AIM-D – 2012 wrh - Page 17www.AIM-D.de - www.AIMglobal.org
Europäische Datenschutz-Historie
1990 Bundesdatenschutzgesetz (BDSG)
1995 EP Directive 95/46/EC based on the European Charter of Fundamental Rights
2008 EC M436 Standardization Mandate RFIDBased on COM (2007) 228 on Promoting Data Protection by Privacy Enhancement Technologies (PET)
May 2009 EC Recommendation on the implementation of RFID privacy and data protection: “soft legislation”
April 2011 The PIA Framework edited by the RFID Informal Working Group chaired by the European Commission
By May 2011 Member States should inform the Commission
May 2012 The Commission will provide a report on the implementation of the Recommendation
Possible next step: “Hard” RFID legislation to be initiated
© AIM-D – 2012 wrh - Page 18www.AIM-D.de - www.AIMglobal.org
The PIA Process
The European Data Protection Process
May 2009: EC Recommendation
on the implementation of RFID privacy
and data protection: “soft legislation”
April 2011: The PIA Framework
endorsed by the European “Article 29 Data Protection
Working Party (29WP)”
* Article 29 Working Party, the assembly of the European DPAs (Data Protection Authorities)
Goal 2RFID Informal Working Group:
A process of self-regulation
by the “industry”Result:
The PIA Framework
Goal 1The European
RFID Sign
Based on an ISO standard and worked
out by ETSI STF 396
© AIM-D – 2012 wrh - Page 19www.AIM-D.de - www.AIMglobal.org
The Data Protection Hat-trick
Information Security
Safety Privacy
Informations-sicherheit:
VerfügbarkeitVertraulichkeit
IntegritätAuthentizität
NichtabstreitbarkeitVerbindlichkeit
Funktions-sicherheit
StörungssicherheitFehlertoleranz
Datenschutz
AnonymitätPseudonymität
UnverknüpfbarkeitUnbeobachtbarkeit
Sichere Informationssysteme
Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008
© AIM-D – 2012 wrh - Page 20www.AIM-D.de - www.AIMglobal.org
….PIA
Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008
The Hat-trick: Safety - Security - Privacy
PIA Framework as endorsed by A29WP and industry
PIA Guideline by BSI and WU Vienna
(Prof. Dr. Sarah Spiekermann)www.bsi.bund.de/PIA
PIA Templates under development at AIM for small applications,
at GS1 for retail applications, … where else?
I
The risk management approach as used by the BSI Technical Guidelines RFID*
and by the PIA Framework
Assessment of residual risks
Definition of Targets
Definition of protection demand categories
Identification of relevant safeguards
Information securitySafety Privacy
© AIM-D – 2012 wrh - Page 21www.AIM-D.de - www.AIMglobal.org
PIA-Zeremonie bei der Europäischen Kommission in Brüssel am 6.4.2011
32 Teilnehmer von Volkswagen, BSI, AIM, BITKOM, ERRT, Universitäten, GS1, ENISA u.a.unter Leitung von Gerald Santucci von der Europäischen KommissionReihe hinten: - Sprafke - Hange …..Reihe Mitte: - … - Rees - Spiekermann - Lopera - Corduant - … - Walk – Jimenez – … - Krisch – FriessReihe vorn: - … - Helmbrecht – Kroes – Kohnstamm – Bonn - Richards – Santucci – Skehan - …
© AIM-D – 2012 wrh - Page 22www.AIM-D.de - www.AIMglobal.org
Aktivitäten zum RFID-DatenschutzInhalt
Porträt des Industrieverbandes AIM
Positionierung des Datenschutzes
RFID: Technik, Markt, Internet der Dinge
Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland
PIA: Privacy Impact Assessment – die Aufgabe der Anwender
Effizienzsteigerung mit Templates
AIM PIA Workshops
Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
© AIM-D – 2012 wrh - Page 23www.AIM-D.de - www.AIMglobal.org
PIA Anfangsanalyse: Vollständiges oder vereinfachtes PIA?
Abb. 1: Entscheidungsbaum: Muss ein PIA durchgeführt werden und wenn „ja“, welcher Level?
PIA Framework: 2.1 Anfangsanalyse, Seite 8
Frage 1: Verarbeitet die RFID-Anwendung personenbezogene Daten oder verknüpft sie RFID-Daten mit personenbezogenen Daten?
Frage 2a: Enthalten die RFID Tags
persönliche Daten?
?
Frage 2b: Werden die verwendeten RFID Tags wahrscheinlich von
einer Person getragen?
Level 3
Vollständiges PIA
(Full scale PIA)
Level 1 Level 0
Vereinfachtes PIA
(Small scale PIA)Kein PIA
?
Ja
Ja Nein
Nein
?Ja Nein
Level 2Level 3
Anmerkung 1:„Personenbezogene Daten“ im Sinne von 95/46/EC sind alle Informationen bezüglich einer bestimmten oder bestimmbaren Person („betroffene Person“)…
Anmerkung 2:Eine RFID-Anwendung ist ein System, das Daten durch Nutzung von RFID Tags und Readern verarbeitet und dabei von einem Hintergrundsystem oder einer Kommunikations-Infrastruktur unterstützt wird.
Vorschrift: Muss dokumentiert und den Datenschutzbehörden auf Anfrage vorgelegt werden.(Ziff. 2.1, Seite 7)
© AIM-D – 2012 wrh - Page 24www.AIM-D.de - www.AIMglobal.org
Referenzmodell des PIA-Prozesses*
Geplantes RFID-Anwendungsdesign
Wahrscheinlichkeit von Bedrohungen,
Ausmaß der Folgen, angemessene Maßnahmen
Schritt 1: Beschreibung der Anwendung
Umfassende Beschreibung der Anwendung
Liste durchgeführterund geplanterMaßnahmen
Liste der Risiken und ihre Wahrscheinlichkeiten
Bericht über die Datenschutzfolge-
abschätzung(PIA Report)
Schritt 4: Dokumentation der Schlussfolgerung und der verbleibenden Risiken
*PIA Framework: Risiko-Abschätzung, Seite 9 - 10
… dokumentieren, wie diese Risiken auf proaktive
Weise durch technische und organisatorische Kontrollmaßnahmen gemindert werden.
Schritt 2: Ermittlung bestehender Risiken
Schritt 3: Ermittlung vorhandener und geplanter
Maßnahmen
© AIM-D – 2012 wrh - Page 25www.AIM-D.de - www.AIMglobal.org
Risikominimierung durch Schutzmaßnahmen
Bedrohungen werden mit Wahrscheinlichkeiten bewertet.
Schutzmaßnahmen werden nur für wahrscheinliche Risiken ergriffen.
Schutzmaßnahmen können technischer und organisatorischer Art sein.
Der Bewertungsgang und die verbleibenden Risiken werden im PIA Report transparent dargestellt.
DenkbareRisiken
Wahr-schein-lichkeit,
dass diese nicht
auftreten
Risiken ermitteln und maßnahmen treffen (Quelle: PIA Guideline WP5 BSI/Spiekermann, Seite 25)
Im Kontext realis-tische Risiken
Maß-nahmen
zur Risiko-
Minderung
Risiko-Ausmaß
PIA-Schritte
Rest-Risiken
Maßnahmen hinsichtlich
Technik, Management,
Verfahren
© AIM-D – 2012 wrh - Page 26www.AIM-D.de - www.AIMglobal.org
Europäischer Ausblick
2012 erwartet: Neuauflage der europäischen Datenschutz-Direktive mit der Verpflichtung zur Datenschutzfolgeabschätzung (PIA)
für alle Anwendungskontexte (nicht nur RFID)
Bericht von BBC am 23 January 2012 EU proposes 'right to be forgotten' by internet firmswww.bbc.co.uk/news/technology-16677370Viviane Reding - at the Digital Life Design (DLD) conferencein Munich – said that individuals must be given control over their information A new law promising internet users the "right to be forgotten"will be proposed by the European Commission on Wednesday. It says people will be able to ask for data about them to be deleted and firms will have to comply unless there are "legitimate" grounds to retain it. The move is part of a wide-ranging overhaul of the commission's 1995 Data Protection Directive. Some tech firms have expressed concern about the reach of the new bill….
Mehr dazu unterhttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
© AIM-D – 2012 wrh - Page 27www.AIM-D.de - www.AIMglobal.org
Aktivitäten zum RFID-DatenschutzInhalt
Porträt des Industrieverbandes AIM
Positionierung des Datenschutzes
RFID: Technik, Markt, Internet der Dinge
Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland
PIA: Privacy Impact Assessment – die Aufgabe der Anwender
Effizienzsteigerung mit Templates
AIM PIA Workshops
Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
© AIM-D – 2012 wrh - Page 28www.AIM-D.de - www.AIMglobal.org
PIA-Muster (Templates)
Ziff. 1.1: Muster für Datenschutzfolgenabschätzungen… branchen- oder anwendungsorientierte oder sonstige besondere Vorlagen für Datenschutzfolgenabschätzungen, um Berichte bereitzustellen.
Ziff. 2: Effizienzsteigerung mit Mustern… Muster für Datenschutzfolgenabschätzungen für bestimmte Anwendungen oder Wirtschaftssektoren. … Berichte für ähnliche RFID-Anwendungen effizienter erstellen.
Ziff. 2.2: Branchenübergreifende Vereinfachung der Risko-ErmittlungAuf die Risikoermittlung kann ausführlicher in sektorspezifischen Mustern eingegangen werden…
Nicht geregelt: Wer erstellt die Muster / Templates?Aufgabe der Branchenverbände?
Anforderung gemäß PIA Framework:
© AIM-D – 2012 wrh - Page 29www.AIM-D.de - www.AIMglobal.org
PIA Snap Shot: Kleiner Shop
Prozess am Beispiel eines Mode-Shops wie Gerry Weber (GW).Annahme: das Kassensystem des Shops speichert nur die Bon-Daten, keinerlei Kundendaten. Es stellt keine Verbindung zwischen den Bon-Daten und den Daten der Kreditkarte her.
1 2 3 4 5
Anlieferung der Ware mit RFID Tags im KartonVereinnahmung
Shop- und Regal-
Management,Inventur
Zahlung an Kasse, ggf. mit (Smart) Kreditkarte
Elektronische Waren-
sicherung mit RFID
After Sales
ServicesMit RFID
Shop
PIA-Anfangsanalyse: Schritte 1 und 2: irrelevant für PIA, aber Basis für den Business Case bei GW. Schritt 4 irrelevant, wenn wie bei GW kein Bezug zu Personen hergestellt wird. Schritt 5 ist für den Business Case von GW irrelevant. Schritt 3: Werden personenbezogene RFID-Daten verarbeitet oder verknüpft? Annahme: Nein. Werden RFID Tags wahrscheinlich von Personen getragen?
Nein, wenn die RFID Tags automatisch deaktiviert werden. (Opt-in-Methode) Ja, wenn der Tag aktiv bleibt – bei GW bis zur dritten Wäsche / Reinigung
Kein PIA Small Scale PIA
© AIM-D – 2012 wrh - Page 30www.AIM-D.de - www.AIMglobal.org
AIM PIA Workshops
Started in June 2011to be continued in 2012 In cooperation with
Humboldt University Berlin, BITKOM, Technical University Munich, VDA (German Automotive Manufacturers Association) in BerlinFeig Electronic, Deister Electronic, Smart-Tec and more
Attendees from AIM member companies and BITKOM, Daimler, Datev, Skidata, Tourist Office Bavaria, VDA, Volkswagen, ZF Friedrichshafen, TÜV Rheinland, BMWi
Typical one day program: Introduction into the PIA process and
PIA requirements (W.-R. Hansen, AIM) About personal data (J. Landvogt, BfDI) About the BSI Technical Guidelines RFID
(H. Kelter, BSI) About PIA templates (Hansen, Kelter) The RFID operator’s view
(S. Bourguignon, Daimler) Planned:
Examples of PIA templates and exercises
Organized by AIM – supported by the German Federal Ministry of Economics and Technology
© AIM-D – 2012 wrh - Page 31www.AIM-D.de - www.AIMglobal.org
Fazit: Stärken und Schwächen des PIA-Prozesses
Stärken und Chancen
Starke europäische Position gegenüber den USA, die einen eher lässigen Blick auf Datenschutz einnehmen..
Datenschutz und wirtschaftliche Entwicklung müssen ausgewogen sein.
Datenschutzziele sollten die Wettbewerbsfähigkeit europäischer Unternehmen nicht behindern.
Die besonderen europäischen Erfahrungen sind ein Wettbewerbsvorteil hinsichtlich:
Breite der RFID-Frequenzen (HF/LF/UHF…) und
Privacy Enhancement Technologies (PET)
Schwächen
Das Interesse an der PIA-Umsetzung bei den großen Anwender- und IT-Firmen ist bisher eher schwach.
Ebenso bei den Lieferanten von ERP-Systemen.
PIA Templates sind bisher kaum verfügbar.
In den EU-Ländern ist bisher keine abgestimmte Vorgehensweise für Informations- und Funktionssicherheit als Vorraussetzung für Datenschutz erkennbar. Die TR RFID des BSI können diesem Ziel dienen.
© AIM-D – 2012 wrh - Page 32www.AIM-D.de - www.AIMglobal.org
Attachement
Reading stuff and
references
© AIM-D – 2012 wrh - Page 33www.AIM-D.de - www.AIMglobal.org
Anhang: Quellen und Web-AdressenDeutsches Bundesdatenschutzgesetz (BDSG) – 1.9.2009
http://www.bfdi.bund.de/SharedDocs/Publikationen/GesetzeVerordnungen/BDSG.html?nn=408916Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSDI): www.bsi.de
TG 03126 Technical Guidelines for the Secure Use of RFID (published in German and English)www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03126/index_htm.htmlPrivacy Impact Assessment Guideline www.bsi.bund.de/PIA
European Network and Information Security Agency: www.enisa.europa.euDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: www.bfdi.de--------------------------------------Article 29 Data Protection Working Party: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htmEuropäisches Parlament: Direktive 95/46/EG über persönlichen Datenschutz
http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_de.pdfEuropäisches Parlament und Rat: Richtlinie 1999/5/EC: R&TTE Directive“
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:091:0010:0010:EN:PDFEuropean Commission: COM(2007) 228 Communication on Promoting Data Protection by Privacy Enhancing Technologies (PET)
http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0228en01.pdfEuropäische Kommission: M436 Standardisierungsmandat (8. Dezember 2008)
www.etsi.org/WebSite/document/aboutETSI/EC_Mandates/EC%20Mandate%20436%20RFID.pdfEuropean Directive 2009/136/EC amending directive 2002/58/EC
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:EN:PDFEuropäische Kommission: Empfehlung für RFID-Datenschutz und Datensicherheit (12. Mai 2009)
Englisch: http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdfDeutsch: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:DE:PDF
European Privacy and Impact Assessment Framework by Industry (11. Februar 2011)http://ec.europa.eu/information_society/policy/rfid/pia/index_en.htm
© AIM-D – 2012 wrh - Page 34www.AIM-D.de - www.AIMglobal.org
Reading StuffWolfram, Gampl, Gabriel (Eds.): „The RFID Roadmap: The Next Steps for Europe“, Springer 2008
Hansen/Gillert: „RFID for the Optimization of Business Processes“, Wiley, UK, 2008(In Deutsch im Carl Hanser Verlag, München)
Vermesan, Friess (Eds.): „Internet of Things -Global Technological and Societal Trends -Smart Environments and Spaces to Green ICT“, The River Publishers, Denmark, 2011 www.riverpublishers.com
Uckelmann, Harrrison, Michahelles (Eds.): “Architecting the Internet of Things”, Springer Verlag Berlin
Wright, David; de Hert, Paul (Eds.):„Privacy Impact Assessment“Springer, Series Law, Governance and Technology, Vol. 6, 2012www.springer.com