Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Datenschutz bei Mobile Banking und Mobile Device Management
1. Praxisseminar „Datenschutz –Aktuelle Herausforderungen“ Verband der Auslandsbanken in Deutschland e.V., 6.10.2014
Datenschutzaspekte beiMobile Banking undMobile Device Management
2. Sascha Kremer, Köln
Rechtsanwalt und Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter
Geschäftsführer LLR DSC GmbH
Agiles, Mobiles, Wolkiges, Virtualisiertes
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
3. Social Media (CC-BY-SA 4.0)
www.twitter.com/saschakremer
www.dpitos.de
www.slideshare.net/saschakremer
www.llrdsc.de
http://www.cr-online.de/blog
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
4. Datenschutz
Mobile Banking
Mobile Device Management
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Was?
5. 1. Block: Mobile Banking
Begriff
Transaktionen
AGB
User-Tracking
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Banking
6. Mobile Banking
Abgrenzung zum Telefon Banking:
Internet ≠ Telefon
Abgrenzung zum Online-Banking:
Smart Device≠ Endgerät
App≠ Browser
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
7. Abgrenzung Banking und Payment
Mobile Banking: Nutzen eines Smart Device für den Zugang zur Bank
Mobile Payment: Anstoßen oder Bestätigen der Übertragung eines monetären Anspruchs mittels eines Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
8. Transaktionen ausführen
Über Internetanwendung der Bank = Online-Banking verkleidet als App
über das Smart Device = Autorisieren und Verifizieren mittels NFC oder Funk(Proximity oder Remote)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
9. personenbezogene Daten
Speicherung von Transaktionsdaten im Smart Device (oder auf dem Server)
Bestimmbarkeit bei Speicherung einer eindeutigen Transaktions-, Karten-oder Kundennummer jedenfalls für Betreiber gegeben (strittig)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
10. Berechtigung zum Umgang mit pbD
Erlaubnistatbestand, §4 Abs. 1 BDSG
Insbesondere §28 Abs. 1 S. 1 Nr. 1 BDSG = Erfüllung eines Schuldverhältnisses
Beachte: Düsseldorfer Kreis hält Möglichkeit zum anonymen Bezahlen für erforderlich (Beschluss 28./29.9.2011)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
11. Verpflichtung zum Umgang mit pbD
Allgemeine Sorgfaltspflichten nach dem GWG, §3 Abs. 1 Nr. 1 bis Nr. 4 GWG
Vereinfachte Sorgfaltspflichten nach dem GWG, §5 Abs. 1, Abs. 2 GWG, §25i KWG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
12. Datensicherheit insbesondere
Transaktionsdaten sind verschlüsselt zu speichern = Zugriffs-und Weitergabekontrolle (Beschluss Düsseldorfer Kreis, 18./19.9.2012)
Transaktionsdaten sind nach Zweck getrennt zu speichern = Trennungskontrolle
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
13. Informationspflicht des Anbieters
Pflicht für ausgebende, aufbringende, ändernde oder bereithaltende Stelle für „Verfahren zur automatisierten Verarbeitung pbD“ auf „mobilem personenbezogenen Speicher-und Verarbeitungsmedium“, §6c BDSG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
14. P1: Anwendbares Recht?
Keine Dispositionsbefugnis der Parteien
Art. 4 DSRL (§1 Abs. 5 BDSG) ist Eingriffsnorm i.S.v. Art. 9 Rom-I
Bestimmung des anwendbaren Datenschutzrechts in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
15. P2: Einwilligung in AGB?
§4a BDSG, §13 Abs. 2 TMG: Einwilligung ist individueller Verzicht auf Grundrecht
Einwilligung ist „freiwillig“ bzw. „bewusst und eindeutig“ zu erteilen und „hervorzuheben“
Einwilligung in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
16. P3: Datenschutzerklärung = AGB?
App = Telemedium, §1 Abs. 1 S. 1 TMG
Verpflichtung zur Datenschutzerklärung = Wissenserklärung, §13 Abs. 1 TMG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
17. P3: Datenschutzerklärung = AGB?
Bei Einbeziehung der Datenschutzerklärung in Nutzungsvereinbarung („gelesen und einverstanden“) = AGB, §305 Abs. 1 S. 1 BGB, mit Inhaltskontrolle, §§307 ff. BGB
Inhaltskontrolle nach anwendbarem Vertragsrecht = Bestimmung nach Rom-I
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
18. User Tracking im Mobile Banking
Denkbare personenbezogene Daten:
Zeit, Ort und Umgebung der Nutzung
Kontakte des Anwenders
Nutzungsverhalten des Anwenders
Ziel: Erstellen von Persönlichkeitsprofilen und Ableiten von Verhaltensmustern
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
19. User Tracking im Mobile Banking
Anbieter App = Verantwortliche Stelle
Anonyme Verwendung = zulässig
Pseudonyme Verwendung, §15 Abs. 3 TMG
Widerspruchsrecht des Anwenders
Hinweis in Datenschutzerklärung
Keine Zusammenführung mit anderen pbD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
20. User Tracking im Mobile Banking
Gesetzliche Erlaubnis?
Nicht erforderlich für Vertragserfüllung
Eingriff in Kernbereich Persönlichkeitsrecht
pbD nicht allgemein zugänglich
§28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
21. Block 2: Mobile Device Management
Begriff
Datenschutz
Datensicherheit
Cloud
BYOD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Device Management
22. Mobile Device Management (MDM)
Zentralisierte Verwaltung von Smart Devices mittels einer Software
Selbst oder durch einen Dritten –ggf. als Cloud-Service –betrieben
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
23. Ziele des MDM
Verfügbarkeit von Diensten und Devices
Sicherheit von Daten und IT
Kontrolle der Kosten
Steigerung der Effizienz
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
24. Bestandteile des MDM insbesondere
Inventarisieren der Smart Devices
Verteilen und kontrollieren der Apps (Lizenzmanagement)
Durchsetzen von Richtlinien
Patch-und Problemmanagement
(Ab)sichern von Inhalten und Diensten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
25. Datenschutz im MDM
Jederzeitiger Zugriff auf die Smart Devices
Ausführen von Diensten und Vorgängen (z.B. Löschen/Sichern von Daten) ohne Mitwirkung des Anwenders
Auswerten der Nutzung des Smart Devices durch den Anwender
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
26. Datenschutz im MDM
MDM datenschutzrechtlich relevant
Erlaubnistatbestand erforderlich
Betriebsvereinbarung
§§28 ff. BDSG, ggf. §§11 ff. TMG
Einwilligung
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
27. Anwendbarkeit der §§11 ff. TMG
Bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices
Folge: Verwendung von Bestands-und Nutzungsdaten nur für Erfüllung des Vertrags oder Abrechnung (Nutzungsdaten) = regelmäßig Einwilligung erforderlich
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TMG
28. Anwendbarkeit der §§91 ff. TKG
Auch nicht bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices (andere Auffassung überholt)
Es fehlt jedenfalls an der Öffentlichkeit
Schutz von Inhaltsdaten durch BDSG und ggf. Fernmeldegeheimnis, §88 TKG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TKG
29. MDM als technische Einrichtung
Eignung zur Überwachung von Leistung und Verhalten = Mitbestimmungsrecht Betriebsrat, §87 Abs. 1 Nr. 6 BetrVG
Beachte: Betriebsrat ist (Ersatz-) Datenschutzbeauftragter für pbD der Beschäftigten, §80 Abs. 1 Nr. 1 BetrVG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Betriebsrat
30. Datensicherheit beim MDM
Treffen der erforderlichen technischen und organisatorischen Maßnahmen (TOM), §9 BDSG nebst Anlage
Erforderlich, wenn Maßnahmen in angemessenem Verhältnis zum angestrebten Schutzzweck stehen
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
31. Beispiele erforderlicher TOM
Remote Wipe bei Verlust des Smart Device
Verbot der Nutzung (privater) Cloud-Lösungen
Verbot Jailbreak auf dem Smart Device
Absicherung von Bluetooth/WLAN
Aussperren (unsicherer) Apps
Trennung betrieblicher und privater Daten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
32. Beispiel Fernzugriff auf Smart Device
Durchsetzung TOM = Pushen von Richtlinien aus MDM auf das Smart Device
z.B. Vorgaben Passwort
z.B. Verbot Installation von Apps
z.B. automatisches Backup
Remote Wipe nach Verlust Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
33. MDM in der Cloud
Kein lokaler Eigen-oder Fremdbetrieb des MDM, Auslagerung in Cloud (z.B. Airwatch)
Auftragsdatenverarbeitung mit Anbieter MDM = §11 BDSG beachten
Datenverarbeitung im Drittland (insb. USA) = §§4b, 4c BDSG beachten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
MDM in der Cloud
34. MDM, BYOD und Datenschutz
BYOD = bring yourowndevice
Beschäftigter setzt privates Smart Device für betriebliche Zwecke ein
MDM verwaltet private Smart Devices der Beschäftigten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
35. Einführung von BYOD
Beschäftigter ist und bleibt Eigentümer des Smart Device
Einführung nur mit Einwilligung des Beschäftigten (nicht Betriebsvereinbarung, anders MDM für BYOD)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
36. Notwendige Regelungswerke
Zusatzvereinbarung BYOD zum Arbeitsvertrag = AGB, §§305 ff. BGB
Richtlinie oder BV „mobiles Arbeiten“
Richtlinie oder BV „MDM“
Einwilligung „MDM“ wegen privater pbD des Beschäftigten (sonst TMG)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
37. Fazit
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management