RFID als Technik des Ubiquitous Computing - Eine Gefahr für die Privatsphäre?

Ähnliche Dokumente
RFID als Technik des Ubiquitous Computing - Eine Gefahr für die Privatsphäre?

Überblick zu den gesetzlichen Grundlagen. Datenschutz. / \ allgemeine Regeln bereichsspezifische Regeln BDSG

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

RFID und Datenschutzrecht

V orw ort... Abkürzungsverzeichnis... XVII. Literaturverzeichnis... XXI. Einführung B. Gang der Darstellung Teil: Grundlagen...

Risiken und Chancen des Einsatzes von RFID-Systemen. RFID alles sicher?

RFID. Funkchips für jede Gelegenheit?

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

RFID als Technik des Ubiquitous Computing Eine Gefahr für die Privatsphäre?

Big Data und das Konzept der Datenschutzgesetze

Cloud und Datenschutz

Zulässiger Umgang mit SPAM-Mails

Datenschutzrechtliche Anforderungen an epidemiologische Studien

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Carlo Piltz. Soziale Netzwerke im - Eine Gefahr das Persönlichkeitsrecht? RESEARCH

Datenschutzrechtliche Aspekte der Implementierung eines Onlineshops an der Universität Oldenburg

Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme: Konzept und rechtliche Zula ssigkeit

Datenschutz im Web

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Weisung des Roche-Konzerns. betreffend. Schutz von personenbezogenen Daten

Gesetzliche Rahmenbedingungen der Telemedizin in Deutschland

Einführung in das Datenschutzrecht Wintersemester 2014/ Vorlesung: Rechtmäßigkeit, Einwilligung und Zweckbindung Christian Prietz

Grundlagen des Datenschutzes und der IT-Sicherheit (4) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Nicht nur IP-Adressen und Cookies!

LogiMAT März 2009

E-Akte und Datenschutz?

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Datenschutzreform 2018

Open Data - Aspekt Datenschutz

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Radio Frequency Identification

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Vorgaben der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis

Datenschutz-Grundverordnung im Automobilbereich

Datenschutz und IT-Sicherheit

Inhaltsverzeichnis Geleitwort... VII Vorwort... IX Teil 1 Einleitung... 1 Das Gesundheitswesen... 2

D_09d Musterschulungsunterlage zum Datenschutz

Das sog. Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme

Datenschutzkonzept und Risikoanalyse verschiedener Einsatzszenarien

Datenschutz in der Anwendungsentwicklung - Der elektronische Reisepass -

Datenvielfalt. Prof. Dr. Dr. Eric Hilgendorf JMU Würzburg

Einsatz von RFID in Bibliotheken: technische Rahmenbedingungen

Spannungsfeld: System- und Datenschutz. Dr. Alexander Koch Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie

Datenschutzhinweise der Firma Ottemeier Werkzeug- und Maschinentechnik GmbH

zwischen Datenkontrolle und Schutz vor informationsrisiken

Remote Support Datenschutz-

Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Datenschutz & Datensicherheit

Frankfurter Studien zum Datenschutz 50. Intelligente Videoüberwachung

Verfahrensverzeichnis

Grundlagen des Datenschutzes

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Erfassen von personenbezogenen Daten

Ansätze für datenschutzkonformes Retina-Scanning

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Was sagt der Datenschutz zu RFID?

Seminar "Smart Environments" SS2004. RFID Anwendungen und Auto-ID Center Initiative

Offene Standards für RFID vom Hersteller über die logistische Kette zum Verbraucher Braunschweig,14. November 2005 Dirk Masuhr Projektmanager GS1

Datenschutz und IT-Sicherheit an der UniBi

Informationelle Selbstbestimmung bei Forschungsvorhaben

Datenschutzgerechte Protokollierung

DATENSCHUTZ UND E-GOVERNMENT: ZU DEN VORGABEN DES NATIONALEN UND EUROPÄISCHEN RECHTS

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

RFID-Technologie: Verbesserung des Datenschutzes durch Nutzung des technischen Gestaltungsspielraums

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Datenschutz im Pfarrbüro

Datenschutz bei profilbasierten Location Based Services

Vorlesung Telekommunikationsrecht. Datenschutz und öffentliche Sicherheit II

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

Privatsphäre von RFID. Fachseminar von Jutta Bonan Betreuer: Christian Flörkemeier

Brief-, Post- und Fernmeldegeheimnis (Art. 10 GG)

digitale Raumkomunikation INSTITUT FÜR ARCHITEKTUR UND MEDIEN

Nutzungsbedingungen für den Einsatz von Distributed Campus. 1. Inhalt der Online Coaching Plattform Distributed Campus

Welche Daten dürfen bzw. müssen Access-Provider speichern?

Das 2001 zuletzt überarbeitete ThürDSG enthält keine Regelungen zum Personal- bzw. Arbeitnehmerdatenschutz Eine Regelung ist Bestandteil des

Datenschutz in Schulen

E POSTBUSINESS API Nutzerleitfaden Geräteverwaltung

#mittelstand Online Marketing Recht

Zukunftsprojekt Arbeitswelt 4.0

RFID und Datenschutz in der öffentlichen Verwaltung. Dr. Flemming Moos Luther Rechtsanwaltsgesellschaft mbh

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Datenschutz ist Grundrechtsschutz

Behörde / öffentliche Stelle

Gezielter Kunden gewinnen

Rechtlicher Rahmen für Lernplattformen

(Name der Fremdkraft) 1. Verpflichtung auf das Datengeheimnis nach 5 BDSG

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Geodaten & Datenschutz. GeoForum MV 29. April 2008 Dr. Moritz Karg

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Vorlesung Datenschutzrecht. Bereichsspezifisches Datenschutzrecht I Telekommunikationsrecht

Transkript:

RFID als Technik des Ubiquitous Computing - Eine Gefahr für die Privatsphäre? Jürgen Müller Universität Kassel, provet Matthias Handy Universität Rostock, Institut MD

Kurzübersicht Anwendungskonstellationen Rechtliche Einordnung Technikbedingte Möglichkeiten Risiken von RFID-Systemen Verletzungspotenziale für Rechtsgüter Schutzbedarf und Schutzprogramm Gestaltungsideen Fazit und Ausblick

RFID-Technik und Anwendungsbeispiele RFID-System bestehend aus Lesegerät RFID-Marke (RFID-Tag) RFID-Marke bestehend aus RFID-Chip Koppelelement Auf der RFID-Marke gespeichert Kennung (ID) Sonstige Daten Anwendungsbeispiele Milchtüte, Kleidungsstück für Wäscherei, Rabattkarte Quellen: Finkenzeller, RFID-Handbuch (oben) TI HFI-Inlays Guide (unten)

Anwendungskonstellationen # 1 RFID-Marken...... an Gegenständen für die Verwendung durch Dritte Anwendung Produkte mit RFID-Marke im Einzelhandel als Kundeninformationssystem... für Verwendung durch ausgebende Stelle oder Dritte (im eigenen Interesse) bei Ausgabe an den 2Betroffenen an Kunden ausgegebene RFID- Marke als Kundenkarte 3 für interne oder lediglich zweiseitige Verwendung Stückgut oder Wareneinheiten mit RFID-Marke für interne Logistikaufgaben

Rechtliche Einordnung # 2 TK-Recht kein TKG, es sei denn bei Kommunikationsschnittstelle an fremdem Lesegerät 1(außer 89 TKG) kein TKG, außer 89 TKG Multimedia-Recht kein TDG für Kennung; TDG für sonstige Daten (sofern Anbieter-Nutzer- Verhältnis und multimedialer Charakter der Daten) kein TDG für Kennung und kein TDG für sonstige Daten Datenschutz-Recht BDSG für Kennung; TDDSG und BDSG für sonstige Daten (aber 1 Abs. 1 Nr. 1 u. Nr. 2 TDDSG) BDSG für Kennung und BDSG für sonstige Daten (aber derzeit kein 6c BDSG) 3 kein TKG, außer 89 TKG kein TDG für Kennung und kein TDG für sonstige Daten BDSG für Kennung und BDSG für sonstige Daten TKG = Telekommunikationsgesetz BDSG = Bundesdatenschutzgesetz TDG = Teledienstegesetz TDDSG = Teledienste-Datenschutzgesetz

Technikbedingte Möglichkeiten Funkschnittstelle Technik Extrem kleine Baugrößen Flexible Trägermaterialien Weltweit eindeutige Kennung Speicher für sonstige Daten (optional) Einbindung in ein Hintergrundinformationssystem (z.b. ONS) Kein Ein- und Ausgabemedium außer Lesegerät Keine Zugriffsprotokollierung Kein Zugangsschutz; Kein Schutz der Daten; Kein Schutz der Kommunikation Geringe Funkreichweite Unlösbar integriert in Gegenstand Identifizierbarkeit der RFID-Marke Inhaltliche Identität Möglichkeiten Sichtkontaktlose Kommunikation Unbemerktes Plazieren an und in Gegenständen Unbegrenzte Zusatz- und Kontextdaten über Gegenstand Unregistrierbarkeit der Vorgänge Offenliegende Daten und Kommunikation Überschaubarkeit im Kreis der Reichweite

Risiken von RFID-Systemen Unmerklichkeit des Vorhandenseins der stattfindenden und erfolgten Datenverarbeitungsvorgänge Keine Kontrolle bei Verwendung des Gegenstands Allgegenwärtigkeit des Einsatzes Integration der Datenverarbeitungsvorgänge in das Verhalten und die Handlungen der Betroffenen Kein Entzug vor den datenverarbeitenden Vorgängen Gegenstandsbezogene... Datenspuren Kontextdaten Wiedererkennbarkeit des Gegenstands Erkennbarkeit und Erschließbarkeit von Mustern Manipulationsgefahr der offenliegenden Daten und Kommunikation

Verletzungspotenziale für Rechtsgüter RFID-Systeme sind sowohl Teil eines virtuellen Sozialraums als auch präsent in dem real-körperlichen Sozialraum. Eigentumsrecht (Art. 14 GG, Art. II-77 Verfassungsentwurf der EU) Handlungsfreiheit (Art. 2 I GG, Art. II-66 Verfassungsentwurf der EU) Brief-, Post-, und Fernmeldegeheimnis (Art. 10 GG, Art. II-67 Verfassungsentwurf der EU, Art. 8 EHRC) Informationelle Selbstbestimmung (Art. 1 I, 2 I GG, Art. II-68 Verfassungsentwurf der EU)

Schutzbedarf (1) Eigentumsrecht ( 903 BGB) und Besitzrecht ( 872 BGB) Entfernen und Deaktivieren aufgrund von Eigentums- und Besitzrecht Aber kein Entfernen und Deaktivieren bei Fremdbesitz (e contrario 872 BGB), weil keine Besitzstörung ( 858 BGB) technisch-organisatorischer Schutz ( 9 BDSG, DSRL 95/46/EG Art. 17) Sicherung der Transponderkommunikation gegen Kenntnisnahme durch Dritte Sicherung vor unbefugtem Zugang und Manipulation

Schutzbedarf (2) Transparenzprinzip (DSRL 95/46/EG Art. 10, Art. 11 und Art. 12) Wissen um Art und Weise des Einsatzes von RFID-Systemen Wissen um Art und Inhalt der verarbeiteten Daten Wissen um Struktur der datenverarbeitenden Vorgänge (auch Einbindung in ein Hintergrundsystem z.b. ONS) Wissen um Verwendung der Daten Erkennbarkeit der erfolgenden datenverarbeitenden Vorgänge auf RFID-Marke Erkennbarkeit der Kommunikationsvorgänge zwischen RFID- Marke und Lesegerät Erkennbarkeit der Zweckbestimmung der Daten Erkennbarkeit der Adressatenbestimmung der Daten

Schutzbedarf (3) Zweckbindung (DSRL 95/46/EG Art. 6, Abs. 1 b) Ausschluss der Speicherung und Nutzung von bei der RFID- Marke erhobenen Daten, insbesondere für gewerbliche Verwendung Informationelle Gewaltenteilung (DSRL 95/46/EG Art. 6, Abs. 1 b) Abschottung von Daten nach ihrer Zweckbestimmung, daher Trennung von Daten in der RFID-Marken-Kennung mit Seriennummerfunktion von Daten mit inhaltlicher Bestimmung Datensparsamkeit ( 3a BDSG, DSRL 95/46/EG Art. 6 Abs. 1 c) präventives Gestaltungsgebot gegenüber RFID-Systemen enthält auch Forderung, RFID-Marken als potentieller Gegenstand von Datenverarbeitung deaktivieren oder entfernen zu können

Vorüberlegungen Gestaltung Genereller Schutz vor Auslesen mit kryptografischen Verfahren bei RFID-Systemen (derzeit): technisch nicht trivial für viele Anwendungen nicht erforderlich / erwünscht Preis / RFID-Marke Schutz vor unbemerktem Auslesen und/oder Schreiben spezielles Gerät, das Lese/Schreibvorgänge anzeigt ("DataPrivatizer") Log-Funktionalität auf externem Gerät oder auf dem RFID-Marke Zugriffszähler für RFID-Marke-Speicher Selbstauskunft des Lesegerätes Problem: kein einheitlicher Standard

Löschung / Austausch der Seriennummer Eigentumsübergang von Artikeln mit RFID-Marken bisher vorgestellte Lösungen: Kill-Befehl, Jamming, Blocker-Tag (kein 317 StGB [Störung von TK-Anlagen], aber ggf. Ordnungswidrigkeit nach FTEG*) Alternative: Löschung der Seriennummer, Objektklasse bleibt erhalten Ersatz der Produktseriennummer durch private (ggf. variable) Inventarnummer Probleme: Verkettung, zielgruppenspezifische Werbung Beispiel: SGTIN-96 (Serialized Global Trade Identification Number) Company Prefix Item Reference Serial Number Header, Filter Value, Partition (14 bit) (20-40 bit) (24-4 bit) (38 bit) an der Kasse gelöscht /ausgetauscht *Gesetz über Funkanlagen und TK-Endeinrichtungen

Anwendungskennung (AK) Spez. Speicherbereich auf RFID-Chip als AK Anfrage des Lesegerätes zusammen mit AK RFID-Marke antwortet nur, wenn AK Lesegerät = AK Marke AK spezifiziert Einsatzfeld des RFID-Marke (z.b. Logistik, Transport) AK sollte vom Nutzer gegen Änderungen gesperrt werden können Anfrage des Lesegerätes muss AK enthalten ja 2 AK L =AK M? 1 Inventory(AK) Lesegerät T 3 UID

Verwendungskennung (VK) Spez. Speicherbereich auf RFID-Chip als VK VK zeigt Verwendungszweck der Daten an Annahme: Marken-ID allein ist nicht aussagekräftig Lesegerät fragt an! Marke antwortet mit UID und VK Nach Auswertung der VK weiß Lesegerät/Nutzer, ob es zulässig ist, auf der Marke gespeicherte Informationen abzurufen 1 Inventory T UID & VK 2 Lesegerät User Data 5 ja 4 Read User Data 3 VK T zutreffend?

Fazit de lege ferenda Erweiterte Transparenzregeln für RFID-Systeme im Multimediarecht Erweiterte Transparenzregeln für RFID-Systeme im Datenschutzrecht (Spielraum für Mitgliedsstaaten DSRL 95/46/EG Erwägungsgrund 53) Pflicht auf Deaktivierungsmöglichkeit von RFID-Marken Pflicht zum Löschen oder Sperren der in Hintergrundsystemen gespeicherten Zusatzdaten Gestaltung der Technik Unterstützung der Transparenz durch VK und AK Unterstützung der Zugangskontrolle Schutz der auf einer RFID-Marke gespeicherten Daten

Ausblick Kombination von Technik und Recht gegenüber den Risiken einer Welt des Ubiquitous Computing Gewährleistung der zivilisatorischen Errungenschaften wie die in der Verfassung geschützten Rechte mittels Stärkung des Vorsorgeprinzips im Bereich des Multimedia- und Datenschutzrechts (Risikoverwaltung) Datenschutz sollte mehr den Gedanken der Vorsorge berücksichtigen,...... da beim Einsatz von RFID-Systemen der Personenbezug erst später eintritt,...... dann aber viele bereits verarbeitete Daten verknüpft werden können.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback