|
Europäischer RFID-Datenschutz-Prozess (PIA) Hinweise auf Dokumente der Europäischen Kommission, der Article 29 Working Party (Arbeitgruppe der Europäischen Datenschutzbehörden) und des Bundesamtes für Sicherheit in der Infirmationstechnik (Stand: Juli 2011)
"PIA" steht für "Privacy Impact Assessment", deutsch: Datenschutzfolgeabschätzung. Der PIA-Prozess richtet sich an Unternehmen aller Branchen, die RFID-Anwendungen betreiben. Sie werden vom Gesetzgeber aufgefordert, Datenschutzmaßnahmen vorzunehmen, diese zu dokumentieren und die Dokumente betroffenenen Personen zugänglich zu machen. Hier folgen die für diesen Prozess bedeutsamen Dokumente der Europäischen Kommission und des Bundesamtes für Sicherheit in der Informationstechik in Bonn (BSI):
(1) Europäische Kommission, Brüssel:
RFID-Datenschutzempfehlung vom 12. Mai 2009 (Recommendation on the implementation of privacy and data protection principles in applications supported by RFID): Englisch: http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf Deutsch: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:DE:PDF
Zur Begleitung der Umsetzung der Recommendation wurde unter Leitung von Gerald Santucci, Leiter des Referates „Networked Enterprise & RFID" im EU-Direktorat für die Informationsgesellschaft, die „Informal working group on the implementation of the RFID Recommendation" einberufen http://ec.europa.eu/information_society/policy/rfid/documents/participateinworkgroup.pdf
Mitglieder in dieser Arbeitsgruppe waren AIM, BSI, GS1, Informationsforum RFID, Metro Group u.a. In dieser Arbeitsgruppe wurde am 11. Januar 2011 der Entwurf des „PIA Framework" (Deutsch: Rahmen für Datenschutzfolgeabschätzungen) fertiggestellt, ein Dokument, das der Industrie in den EU-Ländern helfen soll, Datenschutz und Datensicherheit im Sinne der RFID Recommendation zu implementieren: Englisch: http://ec.europa.eu/information_society/policy/rfid/pia/index_en.htm Deutsch: http://ec.europa.eu/information_society/policy/rfid/documents/pia-de.pdf
(2) Article 29 Working Party (A29WP), Brüssel
Das PIA Framework wurde im Januar 2011 an die Gruppe der Europäischen Datenschützer (Article 29 Working Party, A29WP) zur Begutachtung übergeben. Hier die zustimmende Stellungnahme der A29WP zum PIA Framework vom 11.2. 2011: Deutsch: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_de.pdf
Die Recommendation und das Framework adressiert nur das Thema Datenschutz (Privacy), nicht die Aspekte Funktions- und Informationssicherheit (Safety and security). Weiterhin verweisen sie darauf, dass für die umfassende Betrachtung des Datenschutz weitere Details notwendig sind, die von den betroffenen Unternehmen ergänzt werden müssen. So fordert sie die Anfertigung branchenspezifischer „Templates". Funktions- und Informationssicherheit sind Gegenstand der TR RFID, auf die nachfolgend verwiesen wird.
(3) Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn:
Technische Richtlinien für den sicheren RFID-Einsatz vom BSI (TR RFID 03126 Version 1 bis 5): Die BSI-Richtlinien beschreiben die Details für alle Aspekte von Datenschutz und Datensicherheit bei RFID-Anwendungen. Sie sind als Vorlage für die Entwicklung anwendungsspezifischer „Templates" geeignet, die im PIA Framework gefordert aber nicht beschrieben werden. Auch Einzelheiten wie Rollenmodelle und Gefährdungsklassen sowie entsprechende Schutzmaßnahmen sind darin enthalten. Die vom BSI dargestellte Methode für das Risikio-Assessment entspricht dem internationalen Standard ISO 27005, der Richtlinien für das "Information Security Risk Management" (ISRM) in einer Organisation beschreibt und die Anforderungen an ein ISRM gemäß ISO 27001 unterstützt.
Für Interessierte, die einen kompakten Überblick über Inhalt und Methodik der TR RFID gewinnen möchten, empfehlen wir diesen 4-seitigen Text der Autoren Harald Kelter und Martina Rohde vom BSI, der in 2009 in dem Magazin KES veröffentlicht wurde und unverändert aktuell ist: Download
Die TR RFID stehen in vollem Umfang in spezifischen Versionen für verschiende Branchen- bzw. Anwendungsbereiche zum Download zur Verfügung:
- Handelslogistik / Trade logistics
- eTicketing im öffentlichen Personenverkehr / in public transport
- NFC based eTicketing (RFID in mobile phones)
- eTicketing für Veranstaltungen / for events
- Elektronische Mitarbeiterausweise / Electronic employee cards
Ergänzend dazu wurde vom BSI zusammen mit AIM das Dokument zur Erläuterung der komplementären Bedeutung des PIA Framework und der TR RFID verfasst:
- Technical Guidelines RFID as Templates for the PIA-Framework
Die BSI-Dokumente stehen hier in Englisch und Deutsch zum Download zur Verfügung: http://www.bsi.bund.de
Wir werden an dieser Stelle berichten, wie der europäische PIA-Prozess fortschreitet.
|