Aktivitäten zum RFID-Datenschutz in der europäischen

Transcription

Aktivitäten zum RFID-Datenschutz in der europäischen
Aktivitäten zum RFID-Datenschutz
in der europäischen Politik
Vortrag auf dem Bluestar Technology Summit
in Frankfurt am 24.4.2012
IoT
Wolf-Ruediger Hansen
AIM-D e.V.
Deutschland – Österreich - Schweiz
Industrieverband für Automatische Identifikation und
mobile Systeme
Richard-Weber-Str. 29 - 68623 Lampertheim (Germany)
T: +49 6206 131 77 - M: +49 171 2257 520 - [email protected]
Stand: 18.4.2011 – 16:00 Uhr
www.AIM-D.de
- www.AIMglobal.org
© AIM-D – 2012 wrh - Page 1
AIM – the global AutoID network
 A global network of technology and solution providers
 1972 founded in the USA
IoT
 > 700 members in 43 countries
 AIM-D: Germany - Austria - Switzerland
 > 140 members
 Innovative SMEs, concerns and research institutes
with global reach
 Our market focus is
AutoID
 AutoID and mobility technology solutions
 Technology spectrum:
 Bar code  2D (Matrix-) Code  RFID
 sensors  actuators
 smart objects
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 2
AIM’s Mission regarding Data Protection
AIM is committed to the PIA Framework.
(1) AIM supports the individuals’ right to privacy regarding the handling of
their personal data according to the German Federal Data Protection Act
(BDSG) and the EU charter
(2) AIM members will gain competitive advantages
>> by providing PIA-compliant solutions
>> by supporting their customers – i. e. RFID operators – to
understand and implement PIA requirements.
Therefore, we at AIM do support the political efforts to insure data
protection and are a member
>> of the European IoT* Experts Group (Brussels) and of
>> the Dialogue Platform IoT/RFID at the German Ministry of Economy
and Technology (Berlin)
IoT = Internet of Things
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 3
Aktivitäten zum RFID-Datenschutz
Inhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 4
Vielfältige Bedrohungen des Datenschutzes
Indikationen des Datenhungers großer
Unternehmen aus DER SPIEGEL (2/2011):
 Facebook: Nutzer sind zum Wirtschaftsgut
geworden; Wert je Adresse: 100 €
 Scraping als Geschäftsmodell breitet sich aus:
Sammlung persönlicher Details aus Diskussionsforen
 Cookies verfolgen die Wege der Internet-Nutzer
 Das immer gleiche Ziel: Mit gezielter Werbung
billiger Kunden gewinnen.
 Dimension des Datenhungers der Industrie am
Beispiel dieses Zitates von Eric Schmidt, CEO,
Google:
„Ich glaube, die meisten Leute wollen nicht, dass
Google ihre Fragen beantwortet, sondern dass
Google ihnen sagt, was sie als nächstes tun sollen.“
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 5
Datenschutz-Aspekte
Generelle Ziele
Wahrung der informationellen Selbstbestimmung der Bürger.
Schutz von Unternehmensdaten - Sichere Identitäten
Gefahr
Angst
Unautorisierte Sammlung
und Weitergabe
persönlicher Daten
und Profile
Datenschutz
Unsichtbare Übertragung
von Daten zwischen RFIDEtiketten und RFID Readern
mit Radiowellen erzeugt
Politische Sicht
Bedürfnis zur Regulierung des Datenschutzes
Natürlicher Konflikt zur Förderung von Industrie
und weltwirtschaftlicher Position Europas
Politische Aktivitäten:
EU-Empfehlung für RFID-Datenschutz - PIA Framework
Technische Richtlinie RFID und PIA Guideline vom BSI
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 6
AutoID-Technologien
Optische Techniken
Elektronische Techniken
Linearer Barcode
Zweidimensionaler Code
RFID
Die klassische Lösung
im Handel
Mehr Datenspeicher
Lesbar ohne Sichtverbindung,
Auf kleinerer Fläche,
Pulk-Lesung unterstützt,
Direktmarkierung auf
metallischen Flächen
möglich,
Vielzahl an technologischen
Varianten und Frequenzen,
und in vielen anderen
Industriesektoren
elektronische Abbildung
auf Displays (Smart Phones),
hohe Fehlertoleranz
beschreibbarer Datenspeicher,
koppelbar mit Sensoren.
Aber:
Sensible elektromagnetische
Randbedingungen
Weitere AutoID-Technologien:
Fingerabdruck, Iris-Erkennung, Gesichtsform, Oberflächenstrukturen u.a.
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 7
Wo steht der Markt mit RFID?
Innovatoren im Konsumgüterbereich mit RFID/UHF

Gerry Weber: RFID an allen Kleidungsstücken (ca. 30 Millionen pro Jahr)

Container Centralen: RFID an allen Roll-Containern (ca. 4 Millionen)
Bürger-Anwendungen:

Personalausweise, Reisepässe, Skipässe

Ausweise in Parkhäusern

Demnächst: Kreditkarten als Smart Cards

Spinde in Schwimmbädern
Automotive-Sektor

Zentralverriegelung und Wegfahrsperre in Autos

Kennzeichnung von Bauteilen

Ausleihe von Fahrzeugen
Die kritische Datenschutzstimme:

FoeBUD
www.AIM-D.de
-
www.AIMglobal.org
Kontinuierliches Ergebnis der
AIM-Umfragen zur
wirtschaftlichen Entwicklung
des RFID-Umsatzes der
Anbieter:
Jährliches Umsatzwachstum
deutlich im zweistelligen
Prozentbereich.
© AIM-D – 2012 wrh - Page 8
PIA-Prozess bei Gerry Weber
Statement von Gerry Weber, RFID-Innovator im Fashion-Sektor:

Ziel: Logistik Pro: Pure RFID Operations

„Wir werden, wie in PIA vorgegeben, die Privacy-Ziele und konkreten Bedrohungen mit konkreten
Bewertungen hinterlegen und konkrete Maßnahmen dazu formulieren. Durch die
Zusammenarbeit mit Frau Prof. Spiekermann und dem BSI sind wir hier glücklicherweise nicht
auf uns alleine gestellt. Das Ergebnis werden wir sauber dokumentieren, und dann versuchen
daraus für den Fashionbereich möglichst allgemeingültige Bedrohungsformulierungen und
Maßnahmen abzuleiten. Das wird sicherlich ein iterativer Prozess.“

Im Idealfall ist das Branchen-Template dann ein
Aufsatz auf der BSI-Richtlinie…

Denkbar zum Beispiel: Template für kleine Shops, die RFID nur für den Kassiervorgang
verwenden; keine Verarbeitung oder Weitergabe der Daten.
Aktuelle Veröffentlichung über Gerry Weber mit Video beim WDR (16.1.2012):

www.wdr.de/tv/markt/sendungsbeitraege/2012/0116/01_rfid-chips.jsp
Mit einem kritischen Beitrag der Datenschutzorganisation FoeBUD e.V.
www.foebud.org
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 9
Transparency with the RFID Sign
Goal of the RFID Sign
Information of customers in the shops about
the usage of RFID Tags attached to fashion
articles.
Design
corresponding with the version currently
being standardized by CEN/CENELEC.
„European RFID Sign“
RFID Sign as used by
Gerry Weber
Comprising
 Emblem according to ISO/IEC 29160
 Name of the RFID operator
 Web address providing the document about
the PIA at this company.
Infos unter www.gerryweber.com/rfid
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 10
The Reach of RFID PIA
Privacy by Design is a major requirement of PIA regarding RFID systems and the variety
of systems processing RFID data. But it does not address all IT systems.
Subject to RFID PIA:
The “RFID System”
Including external interfaces
The new EU Data Protection
Directive 2012 will claim a
general PIA for:
Other systems
Data flow and possibly backflow
RFID
Tag
RFID
Reader
local data
processing
Special threat: unrecognized reading.
Mitigation: select proper frequencies
and/or PET
www.AIM-D.de
-
www.AIMglobal.org
central data
processing
business partner
systems
Cloud Computing
Internet of Things
© AIM-D – 2012 wrh - Page 11
Die „Cloud“ mit dem „Internet der Dinge“
„Sensoconomy“
Neue Systeme für
Business
Intelligence:
Klassische
ERP-Systeme
Neue Steuerungssysteme auf der Middleware-Ebene
Kommunikationsebene - „Broker“
AutoID
Reader
AutoID
Reader
AutoID
Reader
AutoID
Reader
.
Sensors
Physische Identitäten
AutoID
Reader
Realer Warenfluss
.
Markierungen - Sensoren
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 12
Zwischenfazit
Der RFID Hype ist vorbei.
RFID ist in zahlreichen Anwendungsgebieten in der Ausbreitung begriffen.
Es ist zu unterscheiden:

Datenschutzgefahren durch RFID:


zum Beispiel durch unbemerktes Ausspähen.
Datenschutzgefahren in Datenbanken, in denen „RFID-Daten“ gesammelt
werden:

www.AIM-D.de
Das ist nicht mehr ursächlich dem RFID-Einsatz zuzurechnen, denn
die Datenbanken werden aus allen denkbaren Quellen gefüttert.
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 13
Aktivitäten zum RFID-Datenschutz
Inhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 14
Mit Datenschutz befasste Entitäten

EP: Europäisches Parlament

EC: Europäische Kommission

ENISA: European Network and Information Security Agency

Bundesregierung

BSI: Bundesamt für Sicherheit in der Informationstechnik

BfD: Bundesbeauftragter für den Datenschutz

ULD: Unabhängiges Landeszentrum für Datenschutz in Schlewig-Holstein

Verbände: AIM, BITKOM, GS1

Datenschutzverbände: FoeBUD, EDRI, …

Universität Wien (Prof. Dr. Sarah Spiekermann)

Fraunhofergesellschaft: Forschungscluster „Sichere Identität“ in Berlin
… und andere.
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 15
Die Basis: Bundesdatenschutzgesetz (BDSG)
 vom 20. Dezember 1990, neugefasst, zuletzt geändert in 2009
 Mit 48 Paragraphen, darunter:
 §1: (1) Zweck: … den Einzelnen davor schützen, dass er durch den Umgang mit
seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt
wird.
 §1: (2) Geltungsbereich: für die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen …
 §4g: (1) Überwachung durch den betrieblichen
Beauftragten für den Datenschutz
 Der Datenschutzbeauftragte ist im Unternehmen
auch der Verantwortliche
für die europäische Datenschutzfolgeabschätzung (PIA).
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 16
Europäische Datenschutz-Historie
1990
Bundesdatenschutzgesetz (BDSG)
1995
EP Directive 95/46/EC based on the European Charter of Fundamental Rights
2008
EC M436 Standardization Mandate RFID
Based on COM (2007) 228 on Promoting Data Protection by Privacy
Enhancement Technologies (PET)
May 2009
EC Recommendation on the implementation of RFID privacy
and data protection: “soft legislation”
April 2011
The PIA Framework edited by the RFID Informal Working Group
chaired by the European Commission
By May 2011 Member States should inform the Commission
May 2012
The Commission will provide a report on the implementation of the
Recommendation
Possible next step: “Hard” RFID legislation to be initiated
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 17
The European Data Protection Process
May 2009:
Goal 1
The European
RFID Sign
Based on an ISO
standard and worked
out by
EC Recommendation
on the implementation of
RFID privacy
and data protection:
“soft legislation”
Goal 2
RFID Informal
Working Group:
A process of
self-regulation
by the “industry”
April 2011:
Result:
The PIA Framework
endorsed by the European
“Article 29 Data Protection
Working Party (29WP)”
The PIA Framework
ETSI STF 396
The PIA
Process
* Article 29 Working Party, the assembly of the European DPAs (Data Protection Authorities)
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 18
The Data Protection Hat-trick
Sichere Informationssysteme
Safety
Informationssicherheit:
Verfügbarkeit
Vertraulichkeit
Integrität
Authentizität
Nichtabstreitbarkeit
Verbindlichkeit
Information
Security
Privacy
Funktionssicherheit
Datenschutz
Störungssicherheit
Fehlertoleranz
Anonymität
Pseudonymität
Unverknüpfbarkeit
Unbeobachtbarkeit
Source: TG 03126 – Technical Guidelines for the Secure
Use of RFID, BSI, Bonn, Germany, 2008
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 19
The Hat-trick: Safety - Security - Privacy
The risk management approach as used by
the BSI Technical Guidelines RFID*
and by the PIA Framework
Information security
Safety
Privacy
Definition of Targets
Definition of protection demand categories
Identification of relevant safeguards
Assessment of residual risks
I
….PIA
PIA Framework as endorsed by
A29WP and industry
PIA Guideline
by BSI and WU Vienna
(Prof. Dr. Sarah Spiekermann)
www.bsi.bund.de/PIA
PIA Templates under development
at AIM for small applications,
at GS1 for retail applications, …
where else?
Source: TG 03126 – Technical Guidelines for the Secure
Use of RFID, BSI, Bonn, Germany, 2008
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 20
PIA-Zeremonie bei der Europäischen Kommission
in Brüssel am 6.4.2011
32 Teilnehmer von Volkswagen, BSI, AIM, BITKOM, ERRT, Universitäten, GS1, ENISA u.a.
unter Leitung von Gerald Santucci von der Europäischen Kommission
Reihe hinten:
- Sprafke - Hange …..
Reihe Mitte: - …
- Rees - Spiekermann - Lopera - Corduant - … - Walk – Jimenez – … - Krisch – Friess
Reihe vorn:
-…
- Helmbrecht – Kroes – Kohnstamm – Bonn - Richards – Santucci – Skehan - …
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 21
Aktivitäten zum RFID-Datenschutz
Inhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 22
PIA Anfangsanalyse:
Vollständiges oder vereinfachtes PIA?
Frage 1: Verarbeitet die RFID-Anwendung personenbezogene Daten
oder verknüpft sie RFID-Daten mit personenbezogenen Daten?
Ja
Frage 2a: Enthalten
die RFID Tags
persönliche Daten?
Ja
?
Level
Level3 3
Nein
?
Frage 2b: Werden die verwendeten
RFID Tags wahrscheinlich von
einer Person getragen?
Ja
Nein
Level 2
Vollständiges
PIA
(Full scale PIA)
?
Nein
Level 1
Level 0
Vereinfachtes
PIA
(Small scale PIA)
Kein PIA
Abb. 1: Entscheidungsbaum: Muss ein PIA durchgeführt werden und wenn „ja“, welcher Level?
PIA Framework: 2.1 Anfangsanalyse, Seite 8
www.AIM-D.de
-
www.AIMglobal.org
Anmerkung 1:
„Personenbezogene Daten“
im Sinne von 95/46/EC sind
alle Informationen bezüglich
einer bestimmten oder
bestimmbaren Person
(„betroffene Person“)…
Anmerkung 2:
Eine RFID-Anwendung ist
ein System, das Daten
durch Nutzung von RFID
Tags und Readern
verarbeitet und dabei von
einem Hintergrundsystem
oder einer KommunikationsInfrastruktur unterstützt wird.
Vorschrift:
Muss dokumentiert und den
Datenschutzbehörden auf
Anfrage vorgelegt werden.
(Ziff. 2.1, Seite 7)
© AIM-D – 2012 wrh - Page 23
Referenzmodell des PIA-Prozesses*
Geplantes RFIDAnwendungsdesign
Schritt 1: Beschreibung
der Anwendung
Umfassende Beschreibung
der Anwendung
Schritt 2: Ermittlung
bestehender Risiken
Liste der Risiken und
ihre Wahrscheinlichkeiten
Schritt 3: Ermittlung
vorhandener und geplanter
Maßnahmen
Liste durchgeführter
und geplanter
Maßnahmen
Schritt 4: Dokumentation
der Schlussfolgerung und
der verbleibenden Risiken
Bericht über die
Datenschutzfolgeabschätzung
(PIA Report)
Wahrscheinlichkeit von
Bedrohungen,
Ausmaß der Folgen,
angemessene Maßnahmen
… dokumentieren, wie
diese Risiken auf proaktive
Weise durch technische
und organisatorische
Kontrollmaßnahmen
gemindert werden.
*PIA Framework: Risiko-Abschätzung, Seite 9 - 10
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 24
Risikominimierung durch Schutzmaßnahmen
Risiko-Ausmaß
Denkbare
Risiken
Wahrscheinlichkeit,
dass
diese
nicht
auftreten
Im
Kontext
realistische
Risiken
Maßnahmen
hinsichtlich
Technik,
Management,
Verfahren
Maßnahmen
zur
RisikoMinderung
RestRisiken
 Bedrohungen werden mit
Wahrscheinlichkeiten
bewertet.
 Schutzmaßnahmen werden
nur für wahrscheinliche
Risiken ergriffen.
 Schutzmaßnahmen können
technischer und
organisatorischer Art sein.
 Der Bewertungsgang und
die verbleibenden Risiken
werden im PIA Report
transparent dargestellt.
PIA-Schritte
Risiken ermitteln und maßnahmen treffen (Quelle: PIA Guideline WP5 BSI/Spiekermann, Seite 25)
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 25
Europäischer Ausblick
2012 erwartet: Neuauflage der europäischen Datenschutz-Direktive
 mit der Verpflichtung zur Datenschutzfolgeabschätzung (PIA)
für alle Anwendungskontexte (nicht nur RFID)
Bericht von BBC am 23 January 2012
EU proposes 'right to be forgotten' by internet firms
www.bbc.co.uk/news/technology-16677370
Viviane Reding - at the Digital Life Design (DLD) conference
in Munich – said that individuals must be given control
over their information
A new law promising internet users the "right to be forgotten"
will be proposed by the European Commission on Wednesday.
It says people will be able to ask for data about them to be deleted and firms will have to comply unless
there are "legitimate" grounds to retain it. The move is part of a wide-ranging overhaul of the
commission's 1995 Data Protection Directive. Some tech firms have expressed concern about the
reach of the new bill….
Mehr dazu unter
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 26
Aktivitäten zum RFID-Datenschutz
Inhalt

Porträt des Industrieverbandes AIM

Positionierung des Datenschutzes

RFID: Technik, Markt, Internet der Dinge

Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland

PIA: Privacy Impact Assessment – die Aufgabe der Anwender

Effizienzsteigerung mit Templates

AIM PIA Workshops

Anhang: Quellen zum Nachlesen
* PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 27
PIA-Muster (Templates)
Anforderung gemäß PIA Framework:
Ziff. 1.1: Muster für Datenschutzfolgenabschätzungen
… branchen- oder anwendungsorientierte oder sonstige besondere Vorlagen
für Datenschutzfolgenabschätzungen, um Berichte bereitzustellen.
Ziff. 2: Effizienzsteigerung mit Mustern
… Muster für Datenschutzfolgenabschätzungen für bestimmte Anwendungen
oder Wirtschaftssektoren. … Berichte für ähnliche RFID-Anwendungen
effizienter erstellen.
Ziff. 2.2: Branchenübergreifende Vereinfachung der Risko-Ermittlung
Auf die Risikoermittlung kann ausführlicher in sektorspezifischen Mustern
eingegangen werden…
Nicht geregelt: Wer erstellt die Muster / Templates?
Aufgabe der Branchenverbände?
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 28
PIA Snap Shot: Kleiner Shop
Prozess am Beispiel eines Mode-Shops wie Gerry Weber (GW).
Annahme: das Kassensystem des Shops speichert nur die Bon-Daten, keinerlei Kundendaten.
Es stellt keine Verbindung zwischen den Bon-Daten und den Daten der Kreditkarte her.
Shop
1
2
Anlieferung der
Ware mit RFID
Tags im Karton
Vereinnahmung
Shop- und
RegalManagement,
Inventur
3
Zahlung an
Kasse, ggf.
mit (Smart)
Kreditkarte
4
5
Elektronische
Warensicherung mit
RFID
After
Sales
Services
Mit RFID
PIA-Anfangsanalyse:
 Schritte 1 und 2: irrelevant für PIA, aber Basis für den Business Case bei GW.
 Schritt 4 irrelevant, wenn wie bei GW kein Bezug zu Personen hergestellt wird.
 Schritt 5 ist für den Business Case von GW irrelevant.
 Schritt 3: Werden personenbezogene RFID-Daten verarbeitet oder verknüpft? Annahme: Nein.
 Werden RFID Tags wahrscheinlich von Personen getragen?
 Nein, wenn die RFID Tags automatisch deaktiviert werden. (Opt-in-Methode)
 Kein PIA
 Ja, wenn der Tag aktiv bleibt – bei GW bis zur dritten Wäsche / Reinigung
 Small Scale PIA
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 29
AIM PIA Workshops
Organized by AIM – supported by the
German Federal Ministry of Economics and Technology
Started in June 2011
Typical one day program:
to be continued in 2012

Introduction into the PIA process and
PIA requirements (W.-R. Hansen, AIM)
Humboldt University Berlin, BITKOM,
Technical University Munich,
VDA (German Automotive Manufacturers
Association) in Berlin

About personal data (J. Landvogt, BfDI)

About the BSI Technical Guidelines RFID
(H. Kelter, BSI)

About PIA templates (Hansen, Kelter)
Feig Electronic, Deister Electronic,
Smart-Tec and more

The RFID operator’s view
(S. Bourguignon, Daimler)

Planned:
Examples of PIA templates
and exercises


In cooperation with
Attendees from
AIM member companies and
BITKOM, Daimler, Datev, Skidata,
Tourist Office Bavaria, VDA, Volkswagen,
ZF Friedrichshafen, TÜV Rheinland, BMWi
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 30
Fazit: Stärken und Schwächen des PIA-Prozesses
Stärken und Chancen
Schwächen

Starke europäische Position gegenüber
den USA, die einen eher lässigen Blick
auf Datenschutz einnehmen..


Datenschutz und wirtschaftliche
Entwicklung müssen ausgewogen sein.
 Datenschutzziele sollten die
Wettbewerbsfähigkeit europäischer
Unternehmen nicht behindern.

Die besonderen europäischen
Erfahrungen sind ein Wettbewerbsvorteil
hinsichtlich:
 Breite der RFID-Frequenzen
(HF/LF/UHF…) und
Das Interesse an der PIA-Umsetzung
bei den großen Anwender- und ITFirmen ist bisher eher schwach.
 Ebenso bei den Lieferanten von
ERP-Systemen.

PIA Templates sind bisher kaum
verfügbar.

In den EU-Ländern ist bisher keine
abgestimmte Vorgehensweise für
Informations- und Funktionssicherheit
als Vorraussetzung für Datenschutz
erkennbar. Die TR RFID des BSI
können diesem Ziel dienen.
 Privacy Enhancement Technologies
(PET)
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 31
Attachement
Reading stuff
and
references
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 32
Anhang: Quellen und Web-Adressen
Deutsches Bundesdatenschutzgesetz (BDSG) – 1.9.2009
http://www.bfdi.bund.de/SharedDocs/Publikationen/GesetzeVerordnungen/BDSG.html?nn=408916
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSDI): www.bsi.de
TG 03126 Technical Guidelines for the Secure Use of RFID (published in German and English)
www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03126/index_htm.html
Privacy Impact Assessment Guideline www.bsi.bund.de/PIA
European Network and Information Security Agency: www.enisa.europa.eu
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: www.bfdi.de
-------------------------------------Article 29 Data Protection Working Party: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
Europäisches Parlament: Direktive 95/46/EG über persönlichen Datenschutz
http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_de.pdf
Europäisches Parlament und Rat: Richtlinie 1999/5/EC: R&TTE Directive“
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:091:0010:0010:EN:PDF
European Commission: COM(2007) 228 Communication on Promoting Data Protection by Privacy Enhancing Technologies (PET)
http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0228en01.pdf
Europäische Kommission: M436 Standardisierungsmandat (8. Dezember 2008)
www.etsi.org/WebSite/document/aboutETSI/EC_Mandates/EC%20Mandate%20436%20RFID.pdf
European Directive 2009/136/EC amending directive 2002/58/EC
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:EN:PDF
Europäische Kommission: Empfehlung für RFID-Datenschutz und Datensicherheit (12. Mai 2009)
Englisch: http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf
Deutsch: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:DE:PDF
European Privacy and Impact Assessment Framework by Industry (11. Februar 2011)
http://ec.europa.eu/information_society/policy/rfid/pia/index_en.htm
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 33
Reading Stuff
Wolfram, Gampl, Gabriel (Eds.):
„The RFID Roadmap:
The Next Steps for Europe“, Springer 2008
Hansen/Gillert:
„RFID for the Optimization of Business
Processes“, Wiley, UK, 2008
(In Deutsch im Carl Hanser Verlag, München)
Vermesan, Friess (Eds.): „Internet of Things Global Technological and Societal Trends Smart Environments and Spaces to Green ICT“,
The River Publishers, Denmark, 2011
www.riverpublishers.com
Uckelmann, Harrrison, Michahelles (Eds.):
“Architecting the Internet of Things”,
Springer Verlag Berlin
Wright, David; de Hert, Paul (Eds.):
„Privacy Impact Assessment“
Springer, Series Law, Governance and
Technology, Vol. 6, 2012
www.springer.com
www.AIM-D.de
-
www.AIMglobal.org
© AIM-D – 2012 wrh - Page 34