Home Daten- und Verbraucherschutz PIA-Framework erläutert sicheren Einsatz für RFID-Anwender in ganz Europa

PIA-Framework erläutert sicheren Einsatz für RFID-Anwender in ganz Europa

Dienstag, den 02. November 2010 um 13:48 Uhr Martin Farjah
Drucken

Das PIA-Framework soll Betreibern von RFID-Anwendungen zur Datenschutzfolgeabschätzung dienen. Gemeinsames Grundlagendokument des AIM und BSI für RFID-Datensicherheit und Datenschutz

AIM, der AutoID-Industrieverband, hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Grundlagendokument für RFID-Datensicherheit und Datenschutz veröffentlicht. Dieses Dokument mit dem Titel „Technical Guidelines RFID as Templates for the PIA Framework" schlägt eine Brücke zwischen den bestehenden „Technischen Richtlinien für den sicheren RFID-Einsatz" des BSI und dem PIA-Framework, das in der europäischen RFID Informal Working Group erarbeitet wurde.

Die Umsetzung der EU-Empfehlung hat erhebliche Bedeutung für RFID-Anbieter und -Anwender in Deutschland, da der Geltungsbereich der Empfehlung sehr weit gefasst ist. Das PIA-Framework - PIA steht für Privacy Impact Assessment - soll Betreibern von RFID-Anwendungen zur Datenschutzfolgeabschätzung dienen. Mit dem neuen Grundlagendokument des BSI wird ein Mittel bereitgestellt, um die ‚Technischen Richtlinien des BSI für den sicheren RFID-Einsatz' für RFID-Anwender in ganz Europa in Verbindung mit dem PIA-Framework nutzbar zu machen.

Hintergrund des PIA-Prozesses

Die RFID Informal Working Group wurde von der Generaldirektion Informationsgesellschaft und Medien der EU-Kommission einberufen, um die Umsetzung der EU-Empfehlung für RFID-Datenschutz vom 12. Mai 2009 zu begleiten. In dieser Arbeitsgruppe haben Experten der Industrie und des AIM sowie Datenschützer das PIA-Framework verfasst, das nun in der Entwurfsversion vom 31. März 2010 vorliegt. Der europäische PIA-Prozess geht auch auf die Data Protection Directive 95/46/EC vom Oktober 1995 und auf das Standardisierungsmandat M436 vom Dezember 2008 zurück.

Anwendungsspezifische Templates

Das PIA-Framework erläutert die grundsätzliche Vorgehensweise für die Erstellung einer Datenschutzfolgeabschätzung bei Unternehmen, die RFID-Anwendungen in Betrieb nehmen wollen. Es versteht sich als Grundlagendokument und lässt viele Details offen. So fordert es die Unternehmen auf, sogenannte „Templates" als Vorlagen für die Datenschutzfolgeabschätzung zu erstellen. Dies sind Detailschemata für die Überprüfung des Datenschutzes. Hier setzen die „Technischen Richtlinien für den sicheren RFID-Einsatz" (TR 03126), die das BSI zusammen mit Anwendern aus den jeweiligen Branchen erstellt und seit 2008 schrittweise veröffentlicht hat, an. Sie stehen für fünf verschiedene Branchen und Anwendungen zur Verfügung, nämlich für Handelslogistik, eTicketing im öffentlichen Personenverkehr, NFC-basiertes eTicketing (RFID in Mobiltelefonen), eTicketing für Veranstaltungen und elektronische Mitarbeiterausweise. Sie eignen sich sehr gut als Vorlage für die Entwicklung solcher „Templates".

 

Der europäische PIA-Prozess: Übersicht
Der europäische PIA-Prozess: Übersicht

Vorlage für umfassendes Assessment

Die BSI-Richtlinien sind nach einem durchgängigen Schema aufgebaut, das unter Datenschutzexperten anerkannt ist. Es umfasst die Bereiche Funktionssicherheit, Informationssicherheit und Datenschutz. Sie geben Hilfestellung für die Aufstellung von Sicherheitszielen und Schutzbedarfsklassen, denn nur, wenn Ziele definiert sind, können auch Maßnahmen bestimmt und durchgeführt werden. Die Richtlinien führen nach Art von Checklisten eine große Zahl möglicher Maßnahmen auf, die vom Anwender zu selektieren und durchzuführen sind. Die Richtlinien schließen ab mit Hinweisen für die Abschätzung des Restrisikos. Die Technischen Richtlinien RFID entsprechen den internationalen Standards ISO 27005 und ISO 27001 für das „Information Security Risk Management" (ISRM).

Aktueller Status des PIA-Prozesses

Ziel des PIA-Framework ist es, die Zustimmung der europäischen Datenschutzbeauftragten zu erhalten, die in der Article 29 Data Protection Working Party versammelt sind. Eine kritische Stellungnahme dieser Gruppe liegt vor. Aktuell arbeiten die Autoren daran, die vorgebrachten Kritikpunkte gegen das Rahmenwerk umzusetzen und eine neue Version zu erstellen. Der in der RFID Recommendation festgelegte Zeitplan für den PIA-Prozess sieht vor, dass bis Mai 2011 die EU-Länder die Europäischen Kommission über ihre Aktivitäten zum RFID-Datenschutz informieren. Im Mai 2012 will sich dann die Europäische Kommission zum Stand der Dinge äußern.

Bild: Falko Matte (Fotolia.com), AIM-D e.V.

 

Jahreskongress 2012

Aktuelle Nachrichten nach Einsatzbereichen

Aktuelle Meldungen aus der Branche

Aktuelle Ausgabe

Ausgaben

Maiausgabe 2012: Themenspezial RFID-Reader und RFID-Systemintegratoren

Maiausgabe 2012: Themenspezial RFID-Reader und RFID-Systemintegratoren Die RFID-Technologie ist ausgereift. Standards für die gängigen Systeme sind verfügbar. Und für alle Anwendungen unterschiedlichst...

Aprilausgabe 2012: Logistik sicher im Griff

Aprilausgabe 2012: Logistik sicher im Griff

Titelstory
Ohne zuverlässige Logistik, ohne optimierte Warenprozesskette und ohne die Möglichkeit Komponenten eindeutig zuzuordnen,...

Reportagen



Medienpartnerschaften

CeBIT Forum AutoID/RFID
OMNICARD 2012: 17. - 19. Januar, Der ultimative Kongress für die Smart Card/Smart Objects Community!

RFID-Jahreskongress

Mit RFID auf der Überholspur

Spezialausgaben

rib_mnchen2011_titelseite
rib_aim2011_titelseite