Aktivitäten zum RFID-Datenschutz in der europäischen
Transcription
Aktivitäten zum RFID-Datenschutz in der europäischen
Aktivitäten zum RFID-Datenschutz in der europäischen Politik Vortrag auf dem Bluestar Technology Summit in Frankfurt am 24.4.2012 IoT Wolf-Ruediger Hansen AIM-D e.V. Deutschland – Österreich - Schweiz Industrieverband für Automatische Identifikation und mobile Systeme Richard-Weber-Str. 29 - 68623 Lampertheim (Germany) T: +49 6206 131 77 - M: +49 171 2257 520 - [email protected] Stand: 18.4.2011 – 16:00 Uhr www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 1 AIM – the global AutoID network A global network of technology and solution providers 1972 founded in the USA IoT > 700 members in 43 countries AIM-D: Germany - Austria - Switzerland > 140 members Innovative SMEs, concerns and research institutes with global reach Our market focus is AutoID AutoID and mobility technology solutions Technology spectrum: Bar code 2D (Matrix-) Code RFID sensors actuators smart objects www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 2 AIM’s Mission regarding Data Protection AIM is committed to the PIA Framework. (1) AIM supports the individuals’ right to privacy regarding the handling of their personal data according to the German Federal Data Protection Act (BDSG) and the EU charter (2) AIM members will gain competitive advantages >> by providing PIA-compliant solutions >> by supporting their customers – i. e. RFID operators – to understand and implement PIA requirements. Therefore, we at AIM do support the political efforts to insure data protection and are a member >> of the European IoT* Experts Group (Brussels) and of >> the Dialogue Platform IoT/RFID at the German Ministry of Economy and Technology (Berlin) IoT = Internet of Things www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 3 Aktivitäten zum RFID-Datenschutz Inhalt Porträt des Industrieverbandes AIM Positionierung des Datenschutzes RFID: Technik, Markt, Internet der Dinge Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland PIA: Privacy Impact Assessment – die Aufgabe der Anwender Effizienzsteigerung mit Templates AIM PIA Workshops Anhang: Quellen zum Nachlesen * PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 4 Vielfältige Bedrohungen des Datenschutzes Indikationen des Datenhungers großer Unternehmen aus DER SPIEGEL (2/2011): Facebook: Nutzer sind zum Wirtschaftsgut geworden; Wert je Adresse: 100 € Scraping als Geschäftsmodell breitet sich aus: Sammlung persönlicher Details aus Diskussionsforen Cookies verfolgen die Wege der Internet-Nutzer Das immer gleiche Ziel: Mit gezielter Werbung billiger Kunden gewinnen. Dimension des Datenhungers der Industrie am Beispiel dieses Zitates von Eric Schmidt, CEO, Google: „Ich glaube, die meisten Leute wollen nicht, dass Google ihre Fragen beantwortet, sondern dass Google ihnen sagt, was sie als nächstes tun sollen.“ www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 5 Datenschutz-Aspekte Generelle Ziele Wahrung der informationellen Selbstbestimmung der Bürger. Schutz von Unternehmensdaten - Sichere Identitäten Gefahr Angst Unautorisierte Sammlung und Weitergabe persönlicher Daten und Profile Datenschutz Unsichtbare Übertragung von Daten zwischen RFIDEtiketten und RFID Readern mit Radiowellen erzeugt Politische Sicht Bedürfnis zur Regulierung des Datenschutzes Natürlicher Konflikt zur Förderung von Industrie und weltwirtschaftlicher Position Europas Politische Aktivitäten: EU-Empfehlung für RFID-Datenschutz - PIA Framework Technische Richtlinie RFID und PIA Guideline vom BSI www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 6 AutoID-Technologien Optische Techniken Elektronische Techniken Linearer Barcode Zweidimensionaler Code RFID Die klassische Lösung im Handel Mehr Datenspeicher Lesbar ohne Sichtverbindung, Auf kleinerer Fläche, Pulk-Lesung unterstützt, Direktmarkierung auf metallischen Flächen möglich, Vielzahl an technologischen Varianten und Frequenzen, und in vielen anderen Industriesektoren elektronische Abbildung auf Displays (Smart Phones), hohe Fehlertoleranz beschreibbarer Datenspeicher, koppelbar mit Sensoren. Aber: Sensible elektromagnetische Randbedingungen Weitere AutoID-Technologien: Fingerabdruck, Iris-Erkennung, Gesichtsform, Oberflächenstrukturen u.a. www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 7 Wo steht der Markt mit RFID? Innovatoren im Konsumgüterbereich mit RFID/UHF Gerry Weber: RFID an allen Kleidungsstücken (ca. 30 Millionen pro Jahr) Container Centralen: RFID an allen Roll-Containern (ca. 4 Millionen) Bürger-Anwendungen: Personalausweise, Reisepässe, Skipässe Ausweise in Parkhäusern Demnächst: Kreditkarten als Smart Cards Spinde in Schwimmbädern Automotive-Sektor Zentralverriegelung und Wegfahrsperre in Autos Kennzeichnung von Bauteilen Ausleihe von Fahrzeugen Die kritische Datenschutzstimme: FoeBUD www.AIM-D.de - www.AIMglobal.org Kontinuierliches Ergebnis der AIM-Umfragen zur wirtschaftlichen Entwicklung des RFID-Umsatzes der Anbieter: Jährliches Umsatzwachstum deutlich im zweistelligen Prozentbereich. © AIM-D – 2012 wrh - Page 8 PIA-Prozess bei Gerry Weber Statement von Gerry Weber, RFID-Innovator im Fashion-Sektor: Ziel: Logistik Pro: Pure RFID Operations „Wir werden, wie in PIA vorgegeben, die Privacy-Ziele und konkreten Bedrohungen mit konkreten Bewertungen hinterlegen und konkrete Maßnahmen dazu formulieren. Durch die Zusammenarbeit mit Frau Prof. Spiekermann und dem BSI sind wir hier glücklicherweise nicht auf uns alleine gestellt. Das Ergebnis werden wir sauber dokumentieren, und dann versuchen daraus für den Fashionbereich möglichst allgemeingültige Bedrohungsformulierungen und Maßnahmen abzuleiten. Das wird sicherlich ein iterativer Prozess.“ Im Idealfall ist das Branchen-Template dann ein Aufsatz auf der BSI-Richtlinie… Denkbar zum Beispiel: Template für kleine Shops, die RFID nur für den Kassiervorgang verwenden; keine Verarbeitung oder Weitergabe der Daten. Aktuelle Veröffentlichung über Gerry Weber mit Video beim WDR (16.1.2012): www.wdr.de/tv/markt/sendungsbeitraege/2012/0116/01_rfid-chips.jsp Mit einem kritischen Beitrag der Datenschutzorganisation FoeBUD e.V. www.foebud.org www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 9 Transparency with the RFID Sign Goal of the RFID Sign Information of customers in the shops about the usage of RFID Tags attached to fashion articles. Design corresponding with the version currently being standardized by CEN/CENELEC. „European RFID Sign“ RFID Sign as used by Gerry Weber Comprising Emblem according to ISO/IEC 29160 Name of the RFID operator Web address providing the document about the PIA at this company. Infos unter www.gerryweber.com/rfid www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 10 The Reach of RFID PIA Privacy by Design is a major requirement of PIA regarding RFID systems and the variety of systems processing RFID data. But it does not address all IT systems. Subject to RFID PIA: The “RFID System” Including external interfaces The new EU Data Protection Directive 2012 will claim a general PIA for: Other systems Data flow and possibly backflow RFID Tag RFID Reader local data processing Special threat: unrecognized reading. Mitigation: select proper frequencies and/or PET www.AIM-D.de - www.AIMglobal.org central data processing business partner systems Cloud Computing Internet of Things © AIM-D – 2012 wrh - Page 11 Die „Cloud“ mit dem „Internet der Dinge“ „Sensoconomy“ Neue Systeme für Business Intelligence: Klassische ERP-Systeme Neue Steuerungssysteme auf der Middleware-Ebene Kommunikationsebene - „Broker“ AutoID Reader AutoID Reader AutoID Reader AutoID Reader . Sensors Physische Identitäten AutoID Reader Realer Warenfluss . Markierungen - Sensoren www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 12 Zwischenfazit Der RFID Hype ist vorbei. RFID ist in zahlreichen Anwendungsgebieten in der Ausbreitung begriffen. Es ist zu unterscheiden: Datenschutzgefahren durch RFID: zum Beispiel durch unbemerktes Ausspähen. Datenschutzgefahren in Datenbanken, in denen „RFID-Daten“ gesammelt werden: www.AIM-D.de Das ist nicht mehr ursächlich dem RFID-Einsatz zuzurechnen, denn die Datenbanken werden aus allen denkbaren Quellen gefüttert. - www.AIMglobal.org © AIM-D – 2012 wrh - Page 13 Aktivitäten zum RFID-Datenschutz Inhalt Porträt des Industrieverbandes AIM Positionierung des Datenschutzes RFID: Technik, Markt, Internet der Dinge Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland PIA: Privacy Impact Assessment – die Aufgabe der Anwender Effizienzsteigerung mit Templates AIM PIA Workshops Anhang: Quellen zum Nachlesen * PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 14 Mit Datenschutz befasste Entitäten EP: Europäisches Parlament EC: Europäische Kommission ENISA: European Network and Information Security Agency Bundesregierung BSI: Bundesamt für Sicherheit in der Informationstechnik BfD: Bundesbeauftragter für den Datenschutz ULD: Unabhängiges Landeszentrum für Datenschutz in Schlewig-Holstein Verbände: AIM, BITKOM, GS1 Datenschutzverbände: FoeBUD, EDRI, … Universität Wien (Prof. Dr. Sarah Spiekermann) Fraunhofergesellschaft: Forschungscluster „Sichere Identität“ in Berlin … und andere. www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 15 Die Basis: Bundesdatenschutzgesetz (BDSG) vom 20. Dezember 1990, neugefasst, zuletzt geändert in 2009 Mit 48 Paragraphen, darunter: §1: (1) Zweck: … den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. §1: (2) Geltungsbereich: für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen … §4g: (1) Überwachung durch den betrieblichen Beauftragten für den Datenschutz Der Datenschutzbeauftragte ist im Unternehmen auch der Verantwortliche für die europäische Datenschutzfolgeabschätzung (PIA). www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 16 Europäische Datenschutz-Historie 1990 Bundesdatenschutzgesetz (BDSG) 1995 EP Directive 95/46/EC based on the European Charter of Fundamental Rights 2008 EC M436 Standardization Mandate RFID Based on COM (2007) 228 on Promoting Data Protection by Privacy Enhancement Technologies (PET) May 2009 EC Recommendation on the implementation of RFID privacy and data protection: “soft legislation” April 2011 The PIA Framework edited by the RFID Informal Working Group chaired by the European Commission By May 2011 Member States should inform the Commission May 2012 The Commission will provide a report on the implementation of the Recommendation Possible next step: “Hard” RFID legislation to be initiated www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 17 The European Data Protection Process May 2009: Goal 1 The European RFID Sign Based on an ISO standard and worked out by EC Recommendation on the implementation of RFID privacy and data protection: “soft legislation” Goal 2 RFID Informal Working Group: A process of self-regulation by the “industry” April 2011: Result: The PIA Framework endorsed by the European “Article 29 Data Protection Working Party (29WP)” The PIA Framework ETSI STF 396 The PIA Process * Article 29 Working Party, the assembly of the European DPAs (Data Protection Authorities) www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 18 The Data Protection Hat-trick Sichere Informationssysteme Safety Informationssicherheit: Verfügbarkeit Vertraulichkeit Integrität Authentizität Nichtabstreitbarkeit Verbindlichkeit Information Security Privacy Funktionssicherheit Datenschutz Störungssicherheit Fehlertoleranz Anonymität Pseudonymität Unverknüpfbarkeit Unbeobachtbarkeit Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008 www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 19 The Hat-trick: Safety - Security - Privacy The risk management approach as used by the BSI Technical Guidelines RFID* and by the PIA Framework Information security Safety Privacy Definition of Targets Definition of protection demand categories Identification of relevant safeguards Assessment of residual risks I ….PIA PIA Framework as endorsed by A29WP and industry PIA Guideline by BSI and WU Vienna (Prof. Dr. Sarah Spiekermann) www.bsi.bund.de/PIA PIA Templates under development at AIM for small applications, at GS1 for retail applications, … where else? Source: TG 03126 – Technical Guidelines for the Secure Use of RFID, BSI, Bonn, Germany, 2008 www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 20 PIA-Zeremonie bei der Europäischen Kommission in Brüssel am 6.4.2011 32 Teilnehmer von Volkswagen, BSI, AIM, BITKOM, ERRT, Universitäten, GS1, ENISA u.a. unter Leitung von Gerald Santucci von der Europäischen Kommission Reihe hinten: - Sprafke - Hange ….. Reihe Mitte: - … - Rees - Spiekermann - Lopera - Corduant - … - Walk – Jimenez – … - Krisch – Friess Reihe vorn: -… - Helmbrecht – Kroes – Kohnstamm – Bonn - Richards – Santucci – Skehan - … www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 21 Aktivitäten zum RFID-Datenschutz Inhalt Porträt des Industrieverbandes AIM Positionierung des Datenschutzes RFID: Technik, Markt, Internet der Dinge Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland PIA: Privacy Impact Assessment – die Aufgabe der Anwender Effizienzsteigerung mit Templates AIM PIA Workshops Anhang: Quellen zum Nachlesen * PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 22 PIA Anfangsanalyse: Vollständiges oder vereinfachtes PIA? Frage 1: Verarbeitet die RFID-Anwendung personenbezogene Daten oder verknüpft sie RFID-Daten mit personenbezogenen Daten? Ja Frage 2a: Enthalten die RFID Tags persönliche Daten? Ja ? Level Level3 3 Nein ? Frage 2b: Werden die verwendeten RFID Tags wahrscheinlich von einer Person getragen? Ja Nein Level 2 Vollständiges PIA (Full scale PIA) ? Nein Level 1 Level 0 Vereinfachtes PIA (Small scale PIA) Kein PIA Abb. 1: Entscheidungsbaum: Muss ein PIA durchgeführt werden und wenn „ja“, welcher Level? PIA Framework: 2.1 Anfangsanalyse, Seite 8 www.AIM-D.de - www.AIMglobal.org Anmerkung 1: „Personenbezogene Daten“ im Sinne von 95/46/EC sind alle Informationen bezüglich einer bestimmten oder bestimmbaren Person („betroffene Person“)… Anmerkung 2: Eine RFID-Anwendung ist ein System, das Daten durch Nutzung von RFID Tags und Readern verarbeitet und dabei von einem Hintergrundsystem oder einer KommunikationsInfrastruktur unterstützt wird. Vorschrift: Muss dokumentiert und den Datenschutzbehörden auf Anfrage vorgelegt werden. (Ziff. 2.1, Seite 7) © AIM-D – 2012 wrh - Page 23 Referenzmodell des PIA-Prozesses* Geplantes RFIDAnwendungsdesign Schritt 1: Beschreibung der Anwendung Umfassende Beschreibung der Anwendung Schritt 2: Ermittlung bestehender Risiken Liste der Risiken und ihre Wahrscheinlichkeiten Schritt 3: Ermittlung vorhandener und geplanter Maßnahmen Liste durchgeführter und geplanter Maßnahmen Schritt 4: Dokumentation der Schlussfolgerung und der verbleibenden Risiken Bericht über die Datenschutzfolgeabschätzung (PIA Report) Wahrscheinlichkeit von Bedrohungen, Ausmaß der Folgen, angemessene Maßnahmen … dokumentieren, wie diese Risiken auf proaktive Weise durch technische und organisatorische Kontrollmaßnahmen gemindert werden. *PIA Framework: Risiko-Abschätzung, Seite 9 - 10 www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 24 Risikominimierung durch Schutzmaßnahmen Risiko-Ausmaß Denkbare Risiken Wahrscheinlichkeit, dass diese nicht auftreten Im Kontext realistische Risiken Maßnahmen hinsichtlich Technik, Management, Verfahren Maßnahmen zur RisikoMinderung RestRisiken Bedrohungen werden mit Wahrscheinlichkeiten bewertet. Schutzmaßnahmen werden nur für wahrscheinliche Risiken ergriffen. Schutzmaßnahmen können technischer und organisatorischer Art sein. Der Bewertungsgang und die verbleibenden Risiken werden im PIA Report transparent dargestellt. PIA-Schritte Risiken ermitteln und maßnahmen treffen (Quelle: PIA Guideline WP5 BSI/Spiekermann, Seite 25) www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 25 Europäischer Ausblick 2012 erwartet: Neuauflage der europäischen Datenschutz-Direktive mit der Verpflichtung zur Datenschutzfolgeabschätzung (PIA) für alle Anwendungskontexte (nicht nur RFID) Bericht von BBC am 23 January 2012 EU proposes 'right to be forgotten' by internet firms www.bbc.co.uk/news/technology-16677370 Viviane Reding - at the Digital Life Design (DLD) conference in Munich – said that individuals must be given control over their information A new law promising internet users the "right to be forgotten" will be proposed by the European Commission on Wednesday. It says people will be able to ask for data about them to be deleted and firms will have to comply unless there are "legitimate" grounds to retain it. The move is part of a wide-ranging overhaul of the commission's 1995 Data Protection Directive. Some tech firms have expressed concern about the reach of the new bill…. Mehr dazu unter http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 26 Aktivitäten zum RFID-Datenschutz Inhalt Porträt des Industrieverbandes AIM Positionierung des Datenschutzes RFID: Technik, Markt, Internet der Dinge Datenschutzaktivitäten der Gesetzgeber in Europa und Deutschland PIA: Privacy Impact Assessment – die Aufgabe der Anwender Effizienzsteigerung mit Templates AIM PIA Workshops Anhang: Quellen zum Nachlesen * PIA = Privacy Impact Assessment = Datenschutzfolgeabschätzung www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 27 PIA-Muster (Templates) Anforderung gemäß PIA Framework: Ziff. 1.1: Muster für Datenschutzfolgenabschätzungen … branchen- oder anwendungsorientierte oder sonstige besondere Vorlagen für Datenschutzfolgenabschätzungen, um Berichte bereitzustellen. Ziff. 2: Effizienzsteigerung mit Mustern … Muster für Datenschutzfolgenabschätzungen für bestimmte Anwendungen oder Wirtschaftssektoren. … Berichte für ähnliche RFID-Anwendungen effizienter erstellen. Ziff. 2.2: Branchenübergreifende Vereinfachung der Risko-Ermittlung Auf die Risikoermittlung kann ausführlicher in sektorspezifischen Mustern eingegangen werden… Nicht geregelt: Wer erstellt die Muster / Templates? Aufgabe der Branchenverbände? www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 28 PIA Snap Shot: Kleiner Shop Prozess am Beispiel eines Mode-Shops wie Gerry Weber (GW). Annahme: das Kassensystem des Shops speichert nur die Bon-Daten, keinerlei Kundendaten. Es stellt keine Verbindung zwischen den Bon-Daten und den Daten der Kreditkarte her. Shop 1 2 Anlieferung der Ware mit RFID Tags im Karton Vereinnahmung Shop- und RegalManagement, Inventur 3 Zahlung an Kasse, ggf. mit (Smart) Kreditkarte 4 5 Elektronische Warensicherung mit RFID After Sales Services Mit RFID PIA-Anfangsanalyse: Schritte 1 und 2: irrelevant für PIA, aber Basis für den Business Case bei GW. Schritt 4 irrelevant, wenn wie bei GW kein Bezug zu Personen hergestellt wird. Schritt 5 ist für den Business Case von GW irrelevant. Schritt 3: Werden personenbezogene RFID-Daten verarbeitet oder verknüpft? Annahme: Nein. Werden RFID Tags wahrscheinlich von Personen getragen? Nein, wenn die RFID Tags automatisch deaktiviert werden. (Opt-in-Methode) Kein PIA Ja, wenn der Tag aktiv bleibt – bei GW bis zur dritten Wäsche / Reinigung Small Scale PIA www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 29 AIM PIA Workshops Organized by AIM – supported by the German Federal Ministry of Economics and Technology Started in June 2011 Typical one day program: to be continued in 2012 Introduction into the PIA process and PIA requirements (W.-R. Hansen, AIM) Humboldt University Berlin, BITKOM, Technical University Munich, VDA (German Automotive Manufacturers Association) in Berlin About personal data (J. Landvogt, BfDI) About the BSI Technical Guidelines RFID (H. Kelter, BSI) About PIA templates (Hansen, Kelter) Feig Electronic, Deister Electronic, Smart-Tec and more The RFID operator’s view (S. Bourguignon, Daimler) Planned: Examples of PIA templates and exercises In cooperation with Attendees from AIM member companies and BITKOM, Daimler, Datev, Skidata, Tourist Office Bavaria, VDA, Volkswagen, ZF Friedrichshafen, TÜV Rheinland, BMWi www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 30 Fazit: Stärken und Schwächen des PIA-Prozesses Stärken und Chancen Schwächen Starke europäische Position gegenüber den USA, die einen eher lässigen Blick auf Datenschutz einnehmen.. Datenschutz und wirtschaftliche Entwicklung müssen ausgewogen sein. Datenschutzziele sollten die Wettbewerbsfähigkeit europäischer Unternehmen nicht behindern. Die besonderen europäischen Erfahrungen sind ein Wettbewerbsvorteil hinsichtlich: Breite der RFID-Frequenzen (HF/LF/UHF…) und Das Interesse an der PIA-Umsetzung bei den großen Anwender- und ITFirmen ist bisher eher schwach. Ebenso bei den Lieferanten von ERP-Systemen. PIA Templates sind bisher kaum verfügbar. In den EU-Ländern ist bisher keine abgestimmte Vorgehensweise für Informations- und Funktionssicherheit als Vorraussetzung für Datenschutz erkennbar. Die TR RFID des BSI können diesem Ziel dienen. Privacy Enhancement Technologies (PET) www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 31 Attachement Reading stuff and references www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 32 Anhang: Quellen und Web-Adressen Deutsches Bundesdatenschutzgesetz (BDSG) – 1.9.2009 http://www.bfdi.bund.de/SharedDocs/Publikationen/GesetzeVerordnungen/BDSG.html?nn=408916 Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSDI): www.bsi.de TG 03126 Technical Guidelines for the Secure Use of RFID (published in German and English) www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03126/index_htm.html Privacy Impact Assessment Guideline www.bsi.bund.de/PIA European Network and Information Security Agency: www.enisa.europa.eu Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: www.bfdi.de -------------------------------------Article 29 Data Protection Working Party: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm Europäisches Parlament: Direktive 95/46/EG über persönlichen Datenschutz http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_de.pdf Europäisches Parlament und Rat: Richtlinie 1999/5/EC: R&TTE Directive“ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:091:0010:0010:EN:PDF European Commission: COM(2007) 228 Communication on Promoting Data Protection by Privacy Enhancing Technologies (PET) http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0228en01.pdf Europäische Kommission: M436 Standardisierungsmandat (8. Dezember 2008) www.etsi.org/WebSite/document/aboutETSI/EC_Mandates/EC%20Mandate%20436%20RFID.pdf European Directive 2009/136/EC amending directive 2002/58/EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:EN:PDF Europäische Kommission: Empfehlung für RFID-Datenschutz und Datensicherheit (12. Mai 2009) Englisch: http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf Deutsch: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:DE:PDF European Privacy and Impact Assessment Framework by Industry (11. Februar 2011) http://ec.europa.eu/information_society/policy/rfid/pia/index_en.htm www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 33 Reading Stuff Wolfram, Gampl, Gabriel (Eds.): „The RFID Roadmap: The Next Steps for Europe“, Springer 2008 Hansen/Gillert: „RFID for the Optimization of Business Processes“, Wiley, UK, 2008 (In Deutsch im Carl Hanser Verlag, München) Vermesan, Friess (Eds.): „Internet of Things Global Technological and Societal Trends Smart Environments and Spaces to Green ICT“, The River Publishers, Denmark, 2011 www.riverpublishers.com Uckelmann, Harrrison, Michahelles (Eds.): “Architecting the Internet of Things”, Springer Verlag Berlin Wright, David; de Hert, Paul (Eds.): „Privacy Impact Assessment“ Springer, Series Law, Governance and Technology, Vol. 6, 2012 www.springer.com www.AIM-D.de - www.AIMglobal.org © AIM-D – 2012 wrh - Page 34