38
Praxisseminar „Datenschutz – Aktuelle Herausforderungen“ Verband der Auslandsbanken in Deutschland e.V., 6.10.2014 Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Datenschutz bei Mobile Banking und Mobile Device Management

Embed Size (px)

DESCRIPTION

Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)

Citation preview

Page 1: Datenschutz bei Mobile Banking und Mobile Device Management

Praxisseminar „Datenschutz – Aktuelle Herausforderungen“

Verband der Auslandsbanken in Deutschland e.V., 6.10.2014

Datenschutzaspekte beiMobile Banking undMobile Device Management

Page 2: Datenschutz bei Mobile Banking und Mobile Device Management

Sascha Kremer, Köln

Rechtsanwalt und Fachanwalt für IT-Recht

Externer Datenschutzbeauftragter

Geschäftsführer LLR DSC GmbH

Agiles, Mobiles, Wolkiges, Virtualisiertes

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Wer?

Page 3: Datenschutz bei Mobile Banking und Mobile Device Management

Social Media (CC-BY-SA 4.0)

www.twitter.com/saschakremer

www.dpitos.de

www.slideshare.net/saschakremer

www.llrdsc.de

http://www.cr-online.de/blog

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Wer?

Page 4: Datenschutz bei Mobile Banking und Mobile Device Management

Datenschutz

Mobile Banking

Mobile Device Management

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Was?

Page 5: Datenschutz bei Mobile Banking und Mobile Device Management

1. Block: Mobile Banking

Begriff

Transaktionen

AGB

User-Tracking

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Mobile Banking

Page 6: Datenschutz bei Mobile Banking und Mobile Device Management

Mobile Banking

Abgrenzung zum Telefon Banking:

Internet ≠ Telefon

Abgrenzung zum Online-Banking:

Smart Device ≠ Endgerät

App ≠ Browser

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Begriff

Page 7: Datenschutz bei Mobile Banking und Mobile Device Management

Abgrenzung Banking und Payment

Mobile Banking: Nutzen eines Smart Device

für den Zugang zur Bank

Mobile Payment: Anstoßen oder Bestätigen

der Übertragung eines monetären

Anspruchs mittels eines Smart Device

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Begriff

Page 8: Datenschutz bei Mobile Banking und Mobile Device Management

Transaktionen ausführen

Über Internetanwendung der Bank =

Online-Banking verkleidet als App

über das Smart Device = Autorisieren und

Verifizieren mittels NFC oder Funk

(Proximity oder Remote)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 9: Datenschutz bei Mobile Banking und Mobile Device Management

personenbezogene Daten

Speicherung von Transaktionsdaten im

Smart Device (oder auf dem Server)

Bestimmbarkeit bei Speicherung einer

eindeutigen Transaktions-, Karten- oder

Kundennummer jedenfalls für Betreiber

gegeben (strittig)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 10: Datenschutz bei Mobile Banking und Mobile Device Management

Berechtigung zum Umgang mit pbD

Erlaubnistatbestand, § 4 Abs. 1 BDSG

Insbesondere § 28 Abs. 1 S. 1 Nr. 1 BDSG =

Erfüllung eines Schuldverhältnisses

Beachte: Düsseldorfer Kreis hält

Möglichkeit zum anonymen Bezahlen für

erforderlich (Beschluss 28./29.9.2011)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 11: Datenschutz bei Mobile Banking und Mobile Device Management

Verpflichtung zum Umgang mit pbD

Allgemeine Sorgfaltspflichten nach dem

GWG, § 3 Abs. 1 Nr. 1 bis Nr. 4 GWG

Vereinfachte Sorgfaltspflichten nach dem

GWG, § 5 Abs. 1, Abs. 2 GWG, § 25i KWG

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 12: Datenschutz bei Mobile Banking und Mobile Device Management

Datensicherheit insbesondere

Transaktionsdaten sind verschlüsselt zu

speichern = Zugriffs- und

Weitergabekontrolle (Beschluss

Düsseldorfer Kreis, 18./19.9.2012)

Transaktionsdaten sind nach Zweck

getrennt zu speichern = Trennungskontrolle

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 13: Datenschutz bei Mobile Banking und Mobile Device Management

Informationspflicht des Anbieters

Pflicht für ausgebende, aufbringende,

ändernde oder bereithaltende Stelle für

„Verfahren zur automatisierten

Verarbeitung pbD“ auf „mobilem

personenbezogenen Speicher- und

Verarbeitungsmedium“, § 6c BDSG

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Transaktionen

Page 14: Datenschutz bei Mobile Banking und Mobile Device Management

P1: Anwendbares Recht?

Keine Dispositionsbefugnis der Parteien

Art. 4 DSRL (§ 1 Abs. 5 BDSG) ist

Eingriffsnorm i.S.v. Art. 9 Rom-I

Bestimmung des anwendbaren

Datenschutzrechts in AGB unwirksam, § 307

Abs. 2 Nr. 1 BGB

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

AGB

Page 15: Datenschutz bei Mobile Banking und Mobile Device Management

P2: Einwilligung in AGB?

§ 4a BDSG, § 13 Abs. 2 TMG: Einwilligung ist

individueller Verzicht auf Grundrecht

Einwilligung ist „freiwillig“ bzw. „bewusst und

eindeutig“ zu erteilen und „hervorzuheben“

Einwilligung in AGB unwirksam, § 307 Abs. 2 Nr.

1 BGB

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

AGB

Page 16: Datenschutz bei Mobile Banking und Mobile Device Management

P3: Datenschutzerklärung = AGB?

App = Telemedium, § 1 Abs. 1 S. 1 TMG

Verpflichtung zur Datenschutzerklärung =

Wissenserklärung, § 13 Abs. 1 TMG

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

AGB

Page 17: Datenschutz bei Mobile Banking und Mobile Device Management

P3: Datenschutzerklärung = AGB?

Bei Einbeziehung der Datenschutzerklärung

in Nutzungsvereinbarung („gelesen und

einverstanden“) = AGB, § 305 Abs. 1 S. 1

BGB, mit Inhaltskontrolle, §§ 307 ff. BGB

Inhaltskontrolle nach anwendbarem

Vertragsrecht = Bestimmung nach Rom-I

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

AGB

Page 18: Datenschutz bei Mobile Banking und Mobile Device Management

User Tracking im Mobile Banking

Denkbare personenbezogene Daten:

Zeit, Ort und Umgebung der Nutzung

Kontakte des Anwenders

Nutzungsverhalten des Anwenders

Ziel: Erstellen von Persönlichkeitsprofilen

und Ableiten von Verhaltensmustern

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

User Tracking

Page 19: Datenschutz bei Mobile Banking und Mobile Device Management

User Tracking im Mobile Banking

Anbieter App = Verantwortliche Stelle

Anonyme Verwendung = zulässig

Pseudonyme Verwendung, § 15 Abs. 3 TMG

Widerspruchsrecht des Anwenders

Hinweis in Datenschutzerklärung

Keine Zusammenführung mit anderen pbD

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

User Tracking

Page 20: Datenschutz bei Mobile Banking und Mobile Device Management

User Tracking im Mobile Banking

Gesetzliche Erlaubnis?

Nicht erforderlich für Vertragserfüllung

Eingriff in Kernbereich Persönlichkeitsrecht

pbD nicht allgemein zugänglich

§ 28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

User Tracking

Page 21: Datenschutz bei Mobile Banking und Mobile Device Management

Block 2: Mobile Device Management

Begriff

Datenschutz

Datensicherheit

Cloud

BYOD

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Mobile Device Management

Page 22: Datenschutz bei Mobile Banking und Mobile Device Management

Mobile Device Management (MDM)

Zentralisierte Verwaltung von Smart

Devices mittels einer Software

Selbst oder durch einen Dritten – ggf. als

Cloud-Service – betrieben

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Begriff

Page 23: Datenschutz bei Mobile Banking und Mobile Device Management

Ziele des MDM

Verfügbarkeit von Diensten und Devices

Sicherheit von Daten und IT

Kontrolle der Kosten

Steigerung der Effizienz

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Begriff

Page 24: Datenschutz bei Mobile Banking und Mobile Device Management

Bestandteile des MDM insbesondere

Inventarisieren der Smart Devices

Verteilen und kontrollieren der Apps

(Lizenzmanagement)

Durchsetzen von Richtlinien

Patch- und Problemmanagement

(Ab)sichern von Inhalten und Diensten

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Begriff

Page 25: Datenschutz bei Mobile Banking und Mobile Device Management

Datenschutz im MDM

Jederzeitiger Zugriff auf die Smart Devices

Ausführen von Diensten und Vorgängen

(z.B. Löschen/Sichern von Daten) ohne

Mitwirkung des Anwenders

Auswerten der Nutzung des Smart Devices

durch den Anwender

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Datenschutz

Page 26: Datenschutz bei Mobile Banking und Mobile Device Management

Datenschutz im MDM

MDM datenschutzrechtlich relevant

Erlaubnistatbestand erforderlich

Betriebsvereinbarung

§§ 28 ff. BDSG, ggf. §§ 11 ff. TMG

Einwilligung

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Datenschutz

Page 27: Datenschutz bei Mobile Banking und Mobile Device Management

Anwendbarkeit der §§ 11 ff. TMG

Bei erlaubter oder geduldeter

Privatnutzung betrieblicher Smart Devices

Folge: Verwendung von Bestands- und

Nutzungsdaten nur für Erfüllung des

Vertrags oder Abrechnung (Nutzungsdaten)

= regelmäßig Einwilligung erforderlich

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

TMG

Page 28: Datenschutz bei Mobile Banking und Mobile Device Management

Anwendbarkeit der §§ 91 ff. TKG

Auch nicht bei erlaubter oder geduldeter

Privatnutzung betrieblicher Smart Devices

(andere Auffassung überholt)

Es fehlt jedenfalls an der Öffentlichkeit

Schutz von Inhaltsdaten durch BDSG und

ggf. Fernmeldegeheimnis, § 88 TKG

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

TKG

Page 29: Datenschutz bei Mobile Banking und Mobile Device Management

MDM als technische Einrichtung

Eignung zur Überwachung von Leistung

und Verhalten = Mitbestimmungsrecht

Betriebsrat, § 87 Abs. 1 Nr. 6 BetrVG

Beachte: Betriebsrat ist (Ersatz-)

Datenschutzbeauftragter für pbD der

Beschäftigten, § 80 Abs. 1 Nr. 1 BetrVG

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Betriebsrat

Page 30: Datenschutz bei Mobile Banking und Mobile Device Management

Datensicherheit beim MDM

Treffen der erforderlichen technischen und

organisatorischen Maßnahmen (TOM),

§ 9 BDSG nebst Anlage

Erforderlich, wenn Maßnahmen in

angemessenem Verhältnis zum

angestrebten Schutzzweck stehen

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Sicherheit

Page 31: Datenschutz bei Mobile Banking und Mobile Device Management

Beispiele erforderlicher TOM

Remote Wipe bei Verlust des Smart Device

Verbot der Nutzung (privater) Cloud-Lösungen

Verbot Jailbreak auf dem Smart Device

Absicherung von Bluetooth/WLAN

Aussperren (unsicherer) Apps

Trennung betrieblicher und privater Daten

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Sicherheit

Page 32: Datenschutz bei Mobile Banking und Mobile Device Management

Beispiel Fernzugriff auf Smart Device

Durchsetzung TOM = Pushen von

Richtlinien aus MDM auf das Smart Device

z.B. Vorgaben Passwort

z.B. Verbot Installation von Apps

z.B. automatisches Backup

Remote Wipe nach Verlust Smart Device

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Sicherheit

Page 33: Datenschutz bei Mobile Banking und Mobile Device Management

MDM in der Cloud

Kein lokaler Eigen- oder Fremdbetrieb des

MDM, Auslagerung in Cloud (z.B. Airwatch)

Auftragsdatenverarbeitung mit Anbieter MDM

= § 11 BDSG beachten

Datenverarbeitung im Drittland (insb. USA)

= §§ 4b, 4c BDSG beachten

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

MDM in der Cloud

Page 34: Datenschutz bei Mobile Banking und Mobile Device Management

MDM, BYOD und Datenschutz

BYOD = bring your own device

Beschäftigter setzt privates Smart Device

für betriebliche Zwecke ein

MDM verwaltet private Smart Devices der

Beschäftigten

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

BYOD

Page 35: Datenschutz bei Mobile Banking und Mobile Device Management

Einführung von BYOD

Beschäftigter ist und bleibt Eigentümer des

Smart Device

Einführung nur mit Einwilligung des

Beschäftigten (nicht Betriebsvereinbarung,

anders MDM für BYOD)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

BYOD

Page 36: Datenschutz bei Mobile Banking und Mobile Device Management

Notwendige Regelungswerke

Zusatzvereinbarung BYOD zum

Arbeitsvertrag = AGB, §§ 305 ff. BGB

Richtlinie oder BV „mobiles Arbeiten“

Richtlinie oder BV „MDM“

Einwilligung „MDM“ wegen privater pbD

des Beschäftigten (sonst TMG)

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

BYOD

Page 37: Datenschutz bei Mobile Banking und Mobile Device Management

Fazit

Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Page 38: Datenschutz bei Mobile Banking und Mobile Device Management

Sascha Kremer

Mail: [email protected]

Tel: +49(221)55400170

Fax: +49(221)55400192

Fragen?Fragen!