Internet Banking and Mobile Banking - Safe and Secure Banking
Datenschutz bei Mobile Banking und Mobile Device Management
-
Upload
sascha-kremer -
Category
Law
-
view
279 -
download
3
description
Transcript of Datenschutz bei Mobile Banking und Mobile Device Management
Praxisseminar „Datenschutz – Aktuelle Herausforderungen“
Verband der Auslandsbanken in Deutschland e.V., 6.10.2014
Datenschutzaspekte beiMobile Banking undMobile Device Management
Sascha Kremer, Köln
Rechtsanwalt und Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter
Geschäftsführer LLR DSC GmbH
Agiles, Mobiles, Wolkiges, Virtualisiertes
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
Social Media (CC-BY-SA 4.0)
www.twitter.com/saschakremer
www.dpitos.de
www.slideshare.net/saschakremer
www.llrdsc.de
http://www.cr-online.de/blog
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
Datenschutz
Mobile Banking
Mobile Device Management
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Was?
1. Block: Mobile Banking
Begriff
Transaktionen
AGB
User-Tracking
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Banking
Mobile Banking
Abgrenzung zum Telefon Banking:
Internet ≠ Telefon
Abgrenzung zum Online-Banking:
Smart Device ≠ Endgerät
App ≠ Browser
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
Abgrenzung Banking und Payment
Mobile Banking: Nutzen eines Smart Device
für den Zugang zur Bank
Mobile Payment: Anstoßen oder Bestätigen
der Übertragung eines monetären
Anspruchs mittels eines Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
Transaktionen ausführen
Über Internetanwendung der Bank =
Online-Banking verkleidet als App
über das Smart Device = Autorisieren und
Verifizieren mittels NFC oder Funk
(Proximity oder Remote)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
personenbezogene Daten
Speicherung von Transaktionsdaten im
Smart Device (oder auf dem Server)
Bestimmbarkeit bei Speicherung einer
eindeutigen Transaktions-, Karten- oder
Kundennummer jedenfalls für Betreiber
gegeben (strittig)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
Berechtigung zum Umgang mit pbD
Erlaubnistatbestand, § 4 Abs. 1 BDSG
Insbesondere § 28 Abs. 1 S. 1 Nr. 1 BDSG =
Erfüllung eines Schuldverhältnisses
Beachte: Düsseldorfer Kreis hält
Möglichkeit zum anonymen Bezahlen für
erforderlich (Beschluss 28./29.9.2011)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
Verpflichtung zum Umgang mit pbD
Allgemeine Sorgfaltspflichten nach dem
GWG, § 3 Abs. 1 Nr. 1 bis Nr. 4 GWG
Vereinfachte Sorgfaltspflichten nach dem
GWG, § 5 Abs. 1, Abs. 2 GWG, § 25i KWG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
Datensicherheit insbesondere
Transaktionsdaten sind verschlüsselt zu
speichern = Zugriffs- und
Weitergabekontrolle (Beschluss
Düsseldorfer Kreis, 18./19.9.2012)
Transaktionsdaten sind nach Zweck
getrennt zu speichern = Trennungskontrolle
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
Informationspflicht des Anbieters
Pflicht für ausgebende, aufbringende,
ändernde oder bereithaltende Stelle für
„Verfahren zur automatisierten
Verarbeitung pbD“ auf „mobilem
personenbezogenen Speicher- und
Verarbeitungsmedium“, § 6c BDSG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
P1: Anwendbares Recht?
Keine Dispositionsbefugnis der Parteien
Art. 4 DSRL (§ 1 Abs. 5 BDSG) ist
Eingriffsnorm i.S.v. Art. 9 Rom-I
Bestimmung des anwendbaren
Datenschutzrechts in AGB unwirksam, § 307
Abs. 2 Nr. 1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
P2: Einwilligung in AGB?
§ 4a BDSG, § 13 Abs. 2 TMG: Einwilligung ist
individueller Verzicht auf Grundrecht
Einwilligung ist „freiwillig“ bzw. „bewusst und
eindeutig“ zu erteilen und „hervorzuheben“
Einwilligung in AGB unwirksam, § 307 Abs. 2 Nr.
1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
P3: Datenschutzerklärung = AGB?
App = Telemedium, § 1 Abs. 1 S. 1 TMG
Verpflichtung zur Datenschutzerklärung =
Wissenserklärung, § 13 Abs. 1 TMG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
P3: Datenschutzerklärung = AGB?
Bei Einbeziehung der Datenschutzerklärung
in Nutzungsvereinbarung („gelesen und
einverstanden“) = AGB, § 305 Abs. 1 S. 1
BGB, mit Inhaltskontrolle, §§ 307 ff. BGB
Inhaltskontrolle nach anwendbarem
Vertragsrecht = Bestimmung nach Rom-I
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
User Tracking im Mobile Banking
Denkbare personenbezogene Daten:
Zeit, Ort und Umgebung der Nutzung
Kontakte des Anwenders
Nutzungsverhalten des Anwenders
Ziel: Erstellen von Persönlichkeitsprofilen
und Ableiten von Verhaltensmustern
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
User Tracking im Mobile Banking
Anbieter App = Verantwortliche Stelle
Anonyme Verwendung = zulässig
Pseudonyme Verwendung, § 15 Abs. 3 TMG
Widerspruchsrecht des Anwenders
Hinweis in Datenschutzerklärung
Keine Zusammenführung mit anderen pbD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
User Tracking im Mobile Banking
Gesetzliche Erlaubnis?
Nicht erforderlich für Vertragserfüllung
Eingriff in Kernbereich Persönlichkeitsrecht
pbD nicht allgemein zugänglich
§ 28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
Block 2: Mobile Device Management
Begriff
Datenschutz
Datensicherheit
Cloud
BYOD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Device Management
Mobile Device Management (MDM)
Zentralisierte Verwaltung von Smart
Devices mittels einer Software
Selbst oder durch einen Dritten – ggf. als
Cloud-Service – betrieben
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
Ziele des MDM
Verfügbarkeit von Diensten und Devices
Sicherheit von Daten und IT
Kontrolle der Kosten
Steigerung der Effizienz
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
Bestandteile des MDM insbesondere
Inventarisieren der Smart Devices
Verteilen und kontrollieren der Apps
(Lizenzmanagement)
Durchsetzen von Richtlinien
Patch- und Problemmanagement
(Ab)sichern von Inhalten und Diensten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
Datenschutz im MDM
Jederzeitiger Zugriff auf die Smart Devices
Ausführen von Diensten und Vorgängen
(z.B. Löschen/Sichern von Daten) ohne
Mitwirkung des Anwenders
Auswerten der Nutzung des Smart Devices
durch den Anwender
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
Datenschutz im MDM
MDM datenschutzrechtlich relevant
Erlaubnistatbestand erforderlich
Betriebsvereinbarung
§§ 28 ff. BDSG, ggf. §§ 11 ff. TMG
Einwilligung
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
Anwendbarkeit der §§ 11 ff. TMG
Bei erlaubter oder geduldeter
Privatnutzung betrieblicher Smart Devices
Folge: Verwendung von Bestands- und
Nutzungsdaten nur für Erfüllung des
Vertrags oder Abrechnung (Nutzungsdaten)
= regelmäßig Einwilligung erforderlich
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TMG
Anwendbarkeit der §§ 91 ff. TKG
Auch nicht bei erlaubter oder geduldeter
Privatnutzung betrieblicher Smart Devices
(andere Auffassung überholt)
Es fehlt jedenfalls an der Öffentlichkeit
Schutz von Inhaltsdaten durch BDSG und
ggf. Fernmeldegeheimnis, § 88 TKG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TKG
MDM als technische Einrichtung
Eignung zur Überwachung von Leistung
und Verhalten = Mitbestimmungsrecht
Betriebsrat, § 87 Abs. 1 Nr. 6 BetrVG
Beachte: Betriebsrat ist (Ersatz-)
Datenschutzbeauftragter für pbD der
Beschäftigten, § 80 Abs. 1 Nr. 1 BetrVG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Betriebsrat
Datensicherheit beim MDM
Treffen der erforderlichen technischen und
organisatorischen Maßnahmen (TOM),
§ 9 BDSG nebst Anlage
Erforderlich, wenn Maßnahmen in
angemessenem Verhältnis zum
angestrebten Schutzzweck stehen
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
Beispiele erforderlicher TOM
Remote Wipe bei Verlust des Smart Device
Verbot der Nutzung (privater) Cloud-Lösungen
Verbot Jailbreak auf dem Smart Device
Absicherung von Bluetooth/WLAN
Aussperren (unsicherer) Apps
Trennung betrieblicher und privater Daten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
Beispiel Fernzugriff auf Smart Device
Durchsetzung TOM = Pushen von
Richtlinien aus MDM auf das Smart Device
z.B. Vorgaben Passwort
z.B. Verbot Installation von Apps
z.B. automatisches Backup
Remote Wipe nach Verlust Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
MDM in der Cloud
Kein lokaler Eigen- oder Fremdbetrieb des
MDM, Auslagerung in Cloud (z.B. Airwatch)
Auftragsdatenverarbeitung mit Anbieter MDM
= § 11 BDSG beachten
Datenverarbeitung im Drittland (insb. USA)
= §§ 4b, 4c BDSG beachten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
MDM in der Cloud
MDM, BYOD und Datenschutz
BYOD = bring your own device
Beschäftigter setzt privates Smart Device
für betriebliche Zwecke ein
MDM verwaltet private Smart Devices der
Beschäftigten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
Einführung von BYOD
Beschäftigter ist und bleibt Eigentümer des
Smart Device
Einführung nur mit Einwilligung des
Beschäftigten (nicht Betriebsvereinbarung,
anders MDM für BYOD)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
Notwendige Regelungswerke
Zusatzvereinbarung BYOD zum
Arbeitsvertrag = AGB, §§ 305 ff. BGB
Richtlinie oder BV „mobiles Arbeiten“
Richtlinie oder BV „MDM“
Einwilligung „MDM“ wegen privater pbD
des Beschäftigten (sonst TMG)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
Fazit
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management