datenschutz bei mobile banking und mobile device management
DESCRIPTION
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)TRANSCRIPT
![Page 1: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/1.jpg)
Praxisseminar „Datenschutz – Aktuelle Herausforderungen“
Verband der Auslandsbanken in Deutschland e.V., 6.10.2014
Datenschutzaspekte beiMobile Banking undMobile Device Management
![Page 2: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/2.jpg)
Sascha Kremer, Köln
Rechtsanwalt und Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter
Geschäftsführer LLR DSC GmbH
Agiles, Mobiles, Wolkiges, Virtualisiertes
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
![Page 3: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/3.jpg)
Social Media (CC-BY-SA 4.0)
www.twitter.com/saschakremer
www.dpitos.de
www.slideshare.net/saschakremer
www.llrdsc.de
http://www.cr-online.de/blog
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?
![Page 4: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/4.jpg)
Datenschutz
Mobile Banking
Mobile Device Management
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Was?
![Page 5: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/5.jpg)
1. Block: Mobile Banking
Begriff
Transaktionen
AGB
User-Tracking
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Banking
![Page 6: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/6.jpg)
Mobile Banking
Abgrenzung zum Telefon Banking:
Internet ≠ Telefon
Abgrenzung zum Online-Banking:
Smart Device ≠ Endgerät
App ≠ Browser
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
![Page 7: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/7.jpg)
Abgrenzung Banking und Payment
Mobile Banking: Nutzen eines Smart Device
für den Zugang zur Bank
Mobile Payment: Anstoßen oder Bestätigen
der Übertragung eines monetären
Anspruchs mittels eines Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
![Page 8: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/8.jpg)
Transaktionen ausführen
Über Internetanwendung der Bank =
Online-Banking verkleidet als App
über das Smart Device = Autorisieren und
Verifizieren mittels NFC oder Funk
(Proximity oder Remote)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 9: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/9.jpg)
personenbezogene Daten
Speicherung von Transaktionsdaten im
Smart Device (oder auf dem Server)
Bestimmbarkeit bei Speicherung einer
eindeutigen Transaktions-, Karten- oder
Kundennummer jedenfalls für Betreiber
gegeben (strittig)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 10: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/10.jpg)
Berechtigung zum Umgang mit pbD
Erlaubnistatbestand, § 4 Abs. 1 BDSG
Insbesondere § 28 Abs. 1 S. 1 Nr. 1 BDSG =
Erfüllung eines Schuldverhältnisses
Beachte: Düsseldorfer Kreis hält
Möglichkeit zum anonymen Bezahlen für
erforderlich (Beschluss 28./29.9.2011)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 11: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/11.jpg)
Verpflichtung zum Umgang mit pbD
Allgemeine Sorgfaltspflichten nach dem
GWG, § 3 Abs. 1 Nr. 1 bis Nr. 4 GWG
Vereinfachte Sorgfaltspflichten nach dem
GWG, § 5 Abs. 1, Abs. 2 GWG, § 25i KWG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 12: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/12.jpg)
Datensicherheit insbesondere
Transaktionsdaten sind verschlüsselt zu
speichern = Zugriffs- und
Weitergabekontrolle (Beschluss
Düsseldorfer Kreis, 18./19.9.2012)
Transaktionsdaten sind nach Zweck
getrennt zu speichern = Trennungskontrolle
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 13: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/13.jpg)
Informationspflicht des Anbieters
Pflicht für ausgebende, aufbringende,
ändernde oder bereithaltende Stelle für
„Verfahren zur automatisierten
Verarbeitung pbD“ auf „mobilem
personenbezogenen Speicher- und
Verarbeitungsmedium“, § 6c BDSG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Transaktionen
![Page 14: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/14.jpg)
P1: Anwendbares Recht?
Keine Dispositionsbefugnis der Parteien
Art. 4 DSRL (§ 1 Abs. 5 BDSG) ist
Eingriffsnorm i.S.v. Art. 9 Rom-I
Bestimmung des anwendbaren
Datenschutzrechts in AGB unwirksam, § 307
Abs. 2 Nr. 1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
![Page 15: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/15.jpg)
P2: Einwilligung in AGB?
§ 4a BDSG, § 13 Abs. 2 TMG: Einwilligung ist
individueller Verzicht auf Grundrecht
Einwilligung ist „freiwillig“ bzw. „bewusst und
eindeutig“ zu erteilen und „hervorzuheben“
Einwilligung in AGB unwirksam, § 307 Abs. 2 Nr.
1 BGB
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
![Page 16: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/16.jpg)
P3: Datenschutzerklärung = AGB?
App = Telemedium, § 1 Abs. 1 S. 1 TMG
Verpflichtung zur Datenschutzerklärung =
Wissenserklärung, § 13 Abs. 1 TMG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
![Page 17: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/17.jpg)
P3: Datenschutzerklärung = AGB?
Bei Einbeziehung der Datenschutzerklärung
in Nutzungsvereinbarung („gelesen und
einverstanden“) = AGB, § 305 Abs. 1 S. 1
BGB, mit Inhaltskontrolle, §§ 307 ff. BGB
Inhaltskontrolle nach anwendbarem
Vertragsrecht = Bestimmung nach Rom-I
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
AGB
![Page 18: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/18.jpg)
User Tracking im Mobile Banking
Denkbare personenbezogene Daten:
Zeit, Ort und Umgebung der Nutzung
Kontakte des Anwenders
Nutzungsverhalten des Anwenders
Ziel: Erstellen von Persönlichkeitsprofilen
und Ableiten von Verhaltensmustern
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
![Page 19: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/19.jpg)
User Tracking im Mobile Banking
Anbieter App = Verantwortliche Stelle
Anonyme Verwendung = zulässig
Pseudonyme Verwendung, § 15 Abs. 3 TMG
Widerspruchsrecht des Anwenders
Hinweis in Datenschutzerklärung
Keine Zusammenführung mit anderen pbD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
![Page 20: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/20.jpg)
User Tracking im Mobile Banking
Gesetzliche Erlaubnis?
Nicht erforderlich für Vertragserfüllung
Eingriff in Kernbereich Persönlichkeitsrecht
pbD nicht allgemein zugänglich
§ 28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
User Tracking
![Page 21: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/21.jpg)
Block 2: Mobile Device Management
Begriff
Datenschutz
Datensicherheit
Cloud
BYOD
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Mobile Device Management
![Page 22: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/22.jpg)
Mobile Device Management (MDM)
Zentralisierte Verwaltung von Smart
Devices mittels einer Software
Selbst oder durch einen Dritten – ggf. als
Cloud-Service – betrieben
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
![Page 23: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/23.jpg)
Ziele des MDM
Verfügbarkeit von Diensten und Devices
Sicherheit von Daten und IT
Kontrolle der Kosten
Steigerung der Effizienz
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
![Page 24: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/24.jpg)
Bestandteile des MDM insbesondere
Inventarisieren der Smart Devices
Verteilen und kontrollieren der Apps
(Lizenzmanagement)
Durchsetzen von Richtlinien
Patch- und Problemmanagement
(Ab)sichern von Inhalten und Diensten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Begriff
![Page 25: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/25.jpg)
Datenschutz im MDM
Jederzeitiger Zugriff auf die Smart Devices
Ausführen von Diensten und Vorgängen
(z.B. Löschen/Sichern von Daten) ohne
Mitwirkung des Anwenders
Auswerten der Nutzung des Smart Devices
durch den Anwender
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
![Page 26: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/26.jpg)
Datenschutz im MDM
MDM datenschutzrechtlich relevant
Erlaubnistatbestand erforderlich
Betriebsvereinbarung
§§ 28 ff. BDSG, ggf. §§ 11 ff. TMG
Einwilligung
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Datenschutz
![Page 27: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/27.jpg)
Anwendbarkeit der §§ 11 ff. TMG
Bei erlaubter oder geduldeter
Privatnutzung betrieblicher Smart Devices
Folge: Verwendung von Bestands- und
Nutzungsdaten nur für Erfüllung des
Vertrags oder Abrechnung (Nutzungsdaten)
= regelmäßig Einwilligung erforderlich
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TMG
![Page 28: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/28.jpg)
Anwendbarkeit der §§ 91 ff. TKG
Auch nicht bei erlaubter oder geduldeter
Privatnutzung betrieblicher Smart Devices
(andere Auffassung überholt)
Es fehlt jedenfalls an der Öffentlichkeit
Schutz von Inhaltsdaten durch BDSG und
ggf. Fernmeldegeheimnis, § 88 TKG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
TKG
![Page 29: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/29.jpg)
MDM als technische Einrichtung
Eignung zur Überwachung von Leistung
und Verhalten = Mitbestimmungsrecht
Betriebsrat, § 87 Abs. 1 Nr. 6 BetrVG
Beachte: Betriebsrat ist (Ersatz-)
Datenschutzbeauftragter für pbD der
Beschäftigten, § 80 Abs. 1 Nr. 1 BetrVG
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Betriebsrat
![Page 30: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/30.jpg)
Datensicherheit beim MDM
Treffen der erforderlichen technischen und
organisatorischen Maßnahmen (TOM),
§ 9 BDSG nebst Anlage
Erforderlich, wenn Maßnahmen in
angemessenem Verhältnis zum
angestrebten Schutzzweck stehen
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
![Page 31: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/31.jpg)
Beispiele erforderlicher TOM
Remote Wipe bei Verlust des Smart Device
Verbot der Nutzung (privater) Cloud-Lösungen
Verbot Jailbreak auf dem Smart Device
Absicherung von Bluetooth/WLAN
Aussperren (unsicherer) Apps
Trennung betrieblicher und privater Daten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
![Page 32: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/32.jpg)
Beispiel Fernzugriff auf Smart Device
Durchsetzung TOM = Pushen von
Richtlinien aus MDM auf das Smart Device
z.B. Vorgaben Passwort
z.B. Verbot Installation von Apps
z.B. automatisches Backup
Remote Wipe nach Verlust Smart Device
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sicherheit
![Page 33: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/33.jpg)
MDM in der Cloud
Kein lokaler Eigen- oder Fremdbetrieb des
MDM, Auslagerung in Cloud (z.B. Airwatch)
Auftragsdatenverarbeitung mit Anbieter MDM
= § 11 BDSG beachten
Datenverarbeitung im Drittland (insb. USA)
= §§ 4b, 4c BDSG beachten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
MDM in der Cloud
![Page 34: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/34.jpg)
MDM, BYOD und Datenschutz
BYOD = bring your own device
Beschäftigter setzt privates Smart Device
für betriebliche Zwecke ein
MDM verwaltet private Smart Devices der
Beschäftigten
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
![Page 35: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/35.jpg)
Einführung von BYOD
Beschäftigter ist und bleibt Eigentümer des
Smart Device
Einführung nur mit Einwilligung des
Beschäftigten (nicht Betriebsvereinbarung,
anders MDM für BYOD)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
![Page 36: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/36.jpg)
Notwendige Regelungswerke
Zusatzvereinbarung BYOD zum
Arbeitsvertrag = AGB, §§ 305 ff. BGB
Richtlinie oder BV „mobiles Arbeiten“
Richtlinie oder BV „MDM“
Einwilligung „MDM“ wegen privater pbD
des Beschäftigten (sonst TMG)
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
BYOD
![Page 37: Datenschutz bei Mobile Banking und Mobile Device Management](https://reader034.vdocuments.mx/reader034/viewer/2022052623/5599667c1a28ab7d1e8b47cc/html5/thumbnails/37.jpg)
Fazit
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management