Praxisseminar „Datenschutz –Aktuelle Herausforderungen“ Verband der Auslandsbanken in Deutschland e.V., 6.10.2014 
Datensc...
Sascha Kremer, Köln 
Rechtsanwalt und Fachanwalt für IT-Recht 
Externer Datenschutzbeauftragter 
Geschäftsführer LLR D...
Social Media (CC-BY-SA 4.0) 
www.twitter.com/saschakremer 
www.dpitos.de 
www.slideshare.net/saschakremer 
www.llrdsc...
Datenschutz 
Mobile Banking 
Mobile Device Management 
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Dev...
1. Block: Mobile Banking 
Begriff 
Transaktionen 
AGB 
User-Tracking 
Sascha Kremer: Datenschutzaspekte bei Mobile Ba...
Mobile Banking 
Abgrenzung zum Telefon Banking: 
Internet ≠ Telefon 
Abgrenzung zum Online-Banking: 
Smart Device≠ En...
Abgrenzung Banking und Payment 
Mobile Banking: Nutzen eines Smart Device für den Zugang zur Bank 
Mobile Payment: Anst...
Transaktionen ausführen 
Über Internetanwendung der Bank = Online-Banking verkleidet als App 
über das Smart Device = A...
personenbezogene Daten 
Speicherung von Transaktionsdaten im Smart Device (oder auf dem Server) 
Bestimmbarkeit bei Spe...
Berechtigung zum Umgang mit pbD 
Erlaubnistatbestand, §4 Abs. 1 BDSG 
Insbesondere §28 Abs. 1 S. 1 Nr. 1 BDSG = Erfüllu...
Verpflichtung zum Umgang mit pbD 
Allgemeine Sorgfaltspflichten nach dem GWG, §3 Abs. 1 Nr. 1 bis Nr. 4 GWG 
Vereinfach...
Datensicherheit insbesondere 
Transaktionsdaten sind verschlüsselt zu speichern = Zugriffs-und Weitergabekontrolle (Besc...
Informationspflicht des Anbieters 
Pflicht für ausgebende, aufbringende, ändernde oder bereithaltende Stelle für „Verfah...
P1: Anwendbares Recht? 
Keine Dispositionsbefugnis der Parteien 
Art. 4 DSRL (§1 Abs. 5 BDSG) ist Eingriffsnorm i.S.v. ...
P2: Einwilligung in AGB? 
§4a BDSG, §13 Abs. 2 TMG: Einwilligung ist individueller Verzicht auf Grundrecht 
Einwilligun...
P3: Datenschutzerklärung = AGB? 
App = Telemedium, §1 Abs. 1 S. 1 TMG 
Verpflichtung zur Datenschutzerklärung = Wissens...
P3: Datenschutzerklärung = AGB? 
Bei Einbeziehung der Datenschutzerklärung in Nutzungsvereinbarung („gelesen und einvers...
User Tracking im Mobile Banking 
Denkbare personenbezogene Daten: 
Zeit, Ort und Umgebung der Nutzung 
Kontakte des An...
User Tracking im Mobile Banking 
Anbieter App = Verantwortliche Stelle 
Anonyme Verwendung = zulässig 
Pseudonyme Verw...
User Tracking im Mobile Banking 
Gesetzliche Erlaubnis? 
Nicht erforderlich für Vertragserfüllung 
Eingriff in Kernber...
Block 2: Mobile Device Management 
Begriff 
Datenschutz 
Datensicherheit 
Cloud 
BYOD 
Sascha Kremer: Datenschutzasp...
Mobile Device Management (MDM) 
Zentralisierte Verwaltung von Smart Devices mittels einer Software 
Selbst oder durch e...
Ziele des MDM 
Verfügbarkeit von Diensten und Devices 
Sicherheit von Daten und IT 
Kontrolle der Kosten 
Steigerung ...
Bestandteile des MDM insbesondere 
Inventarisieren der Smart Devices 
Verteilen und kontrollieren der Apps (Lizenzmanag...
Datenschutz im MDM 
Jederzeitiger Zugriff auf die Smart Devices 
Ausführen von Diensten und Vorgängen (z.B. Löschen/Sic...
Datenschutz im MDM 
MDM datenschutzrechtlich relevant 
Erlaubnistatbestand erforderlich 
Betriebsvereinbarung 
§§28 f...
Anwendbarkeit der §§11 ff. TMG 
Bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices 
Folge: Verwend...
Anwendbarkeit der §§91 ff. TKG 
Auch nicht bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices (ande...
MDM als technische Einrichtung 
Eignung zur Überwachung von Leistung und Verhalten = Mitbestimmungsrecht Betriebsrat, §8...
Datensicherheit beim MDM 
Treffen der erforderlichen technischen und organisatorischen Maßnahmen (TOM), §9 BDSG nebst An...
Beispiele erforderlicher TOM 
Remote Wipe bei Verlust des Smart Device 
Verbot der Nutzung (privater) Cloud-Lösungen 
...
Beispiel Fernzugriff auf Smart Device 
Durchsetzung TOM = Pushen von Richtlinien aus MDM auf das Smart Device 
z.B. Vor...
MDM in der Cloud 
Kein lokaler Eigen-oder Fremdbetrieb des MDM, Auslagerung in Cloud (z.B. Airwatch) 
Auftragsdatenvera...
MDM, BYOD und Datenschutz 
BYOD = bring yourowndevice 
Beschäftigter setzt privates Smart Device für betriebliche Zweck...
Einführung von BYOD 
Beschäftigter ist und bleibt Eigentümer des Smart Device 
Einführung nur mit Einwilligung des Besc...
Notwendige Regelungswerke 
Zusatzvereinbarung BYOD zum Arbeitsvertrag = AGB, §§305 ff. BGB 
Richtlinie oder BV „mobiles...
Fazit 
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Sascha KremerMail: sascha.kremer@llr.deTel: +49(221)55400170Fax: +49(221)55400192 
Fragen? Fragen!
Nächste SlideShare
Wird geladen in …5
×

Datenschutz bei Mobile Banking und Mobile Device Management

933 Aufrufe

Veröffentlicht am

Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)

Veröffentlicht in: Recht
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
933
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
19
Aktionen
Geteilt
0
Downloads
11
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Datenschutz bei Mobile Banking und Mobile Device Management

  1. 1. Praxisseminar „Datenschutz –Aktuelle Herausforderungen“ Verband der Auslandsbanken in Deutschland e.V., 6.10.2014 Datenschutzaspekte beiMobile Banking undMobile Device Management
  2. 2. Sascha Kremer, Köln Rechtsanwalt und Fachanwalt für IT-Recht Externer Datenschutzbeauftragter Geschäftsführer LLR DSC GmbH Agiles, Mobiles, Wolkiges, Virtualisiertes Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Wer?
  3. 3. Social Media (CC-BY-SA 4.0) www.twitter.com/saschakremer www.dpitos.de www.slideshare.net/saschakremer www.llrdsc.de http://www.cr-online.de/blog Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Wer?
  4. 4. Datenschutz Mobile Banking Mobile Device Management Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Was?
  5. 5. 1. Block: Mobile Banking Begriff Transaktionen AGB User-Tracking Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Mobile Banking
  6. 6. Mobile Banking Abgrenzung zum Telefon Banking: Internet ≠ Telefon Abgrenzung zum Online-Banking: Smart Device≠ Endgerät App≠ Browser Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Begriff
  7. 7. Abgrenzung Banking und Payment Mobile Banking: Nutzen eines Smart Device für den Zugang zur Bank Mobile Payment: Anstoßen oder Bestätigen der Übertragung eines monetären Anspruchs mittels eines Smart Device Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Begriff
  8. 8. Transaktionen ausführen Über Internetanwendung der Bank = Online-Banking verkleidet als App über das Smart Device = Autorisieren und Verifizieren mittels NFC oder Funk(Proximity oder Remote) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  9. 9. personenbezogene Daten Speicherung von Transaktionsdaten im Smart Device (oder auf dem Server) Bestimmbarkeit bei Speicherung einer eindeutigen Transaktions-, Karten-oder Kundennummer jedenfalls für Betreiber gegeben (strittig) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  10. 10. Berechtigung zum Umgang mit pbD Erlaubnistatbestand, §4 Abs. 1 BDSG Insbesondere §28 Abs. 1 S. 1 Nr. 1 BDSG = Erfüllung eines Schuldverhältnisses Beachte: Düsseldorfer Kreis hält Möglichkeit zum anonymen Bezahlen für erforderlich (Beschluss 28./29.9.2011) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  11. 11. Verpflichtung zum Umgang mit pbD Allgemeine Sorgfaltspflichten nach dem GWG, §3 Abs. 1 Nr. 1 bis Nr. 4 GWG Vereinfachte Sorgfaltspflichten nach dem GWG, §5 Abs. 1, Abs. 2 GWG, §25i KWG Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  12. 12. Datensicherheit insbesondere Transaktionsdaten sind verschlüsselt zu speichern = Zugriffs-und Weitergabekontrolle (Beschluss Düsseldorfer Kreis, 18./19.9.2012) Transaktionsdaten sind nach Zweck getrennt zu speichern = Trennungskontrolle Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  13. 13. Informationspflicht des Anbieters Pflicht für ausgebende, aufbringende, ändernde oder bereithaltende Stelle für „Verfahren zur automatisierten Verarbeitung pbD“ auf „mobilem personenbezogenen Speicher-und Verarbeitungsmedium“, §6c BDSG Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Transaktionen
  14. 14. P1: Anwendbares Recht? Keine Dispositionsbefugnis der Parteien Art. 4 DSRL (§1 Abs. 5 BDSG) ist Eingriffsnorm i.S.v. Art. 9 Rom-I Bestimmung des anwendbaren Datenschutzrechts in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management AGB
  15. 15. P2: Einwilligung in AGB? §4a BDSG, §13 Abs. 2 TMG: Einwilligung ist individueller Verzicht auf Grundrecht Einwilligung ist „freiwillig“ bzw. „bewusst und eindeutig“ zu erteilen und „hervorzuheben“ Einwilligung in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management AGB
  16. 16. P3: Datenschutzerklärung = AGB? App = Telemedium, §1 Abs. 1 S. 1 TMG Verpflichtung zur Datenschutzerklärung = Wissenserklärung, §13 Abs. 1 TMG Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management AGB
  17. 17. P3: Datenschutzerklärung = AGB? Bei Einbeziehung der Datenschutzerklärung in Nutzungsvereinbarung („gelesen und einverstanden“) = AGB, §305 Abs. 1 S. 1 BGB, mit Inhaltskontrolle, §§307 ff. BGB Inhaltskontrolle nach anwendbarem Vertragsrecht = Bestimmung nach Rom-I Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management AGB
  18. 18. User Tracking im Mobile Banking Denkbare personenbezogene Daten: Zeit, Ort und Umgebung der Nutzung Kontakte des Anwenders Nutzungsverhalten des Anwenders Ziel: Erstellen von Persönlichkeitsprofilen und Ableiten von Verhaltensmustern Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management User Tracking
  19. 19. User Tracking im Mobile Banking Anbieter App = Verantwortliche Stelle Anonyme Verwendung = zulässig Pseudonyme Verwendung, §15 Abs. 3 TMG Widerspruchsrecht des Anwenders Hinweis in Datenschutzerklärung Keine Zusammenführung mit anderen pbD Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management User Tracking
  20. 20. User Tracking im Mobile Banking Gesetzliche Erlaubnis? Nicht erforderlich für Vertragserfüllung Eingriff in Kernbereich Persönlichkeitsrecht pbD nicht allgemein zugänglich §28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management User Tracking
  21. 21. Block 2: Mobile Device Management Begriff Datenschutz Datensicherheit Cloud BYOD Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Mobile Device Management
  22. 22. Mobile Device Management (MDM) Zentralisierte Verwaltung von Smart Devices mittels einer Software Selbst oder durch einen Dritten –ggf. als Cloud-Service –betrieben Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Begriff
  23. 23. Ziele des MDM Verfügbarkeit von Diensten und Devices Sicherheit von Daten und IT Kontrolle der Kosten Steigerung der Effizienz Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Begriff
  24. 24. Bestandteile des MDM insbesondere Inventarisieren der Smart Devices Verteilen und kontrollieren der Apps (Lizenzmanagement) Durchsetzen von Richtlinien Patch-und Problemmanagement (Ab)sichern von Inhalten und Diensten Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Begriff
  25. 25. Datenschutz im MDM Jederzeitiger Zugriff auf die Smart Devices Ausführen von Diensten und Vorgängen (z.B. Löschen/Sichern von Daten) ohne Mitwirkung des Anwenders Auswerten der Nutzung des Smart Devices durch den Anwender Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Datenschutz
  26. 26. Datenschutz im MDM MDM datenschutzrechtlich relevant Erlaubnistatbestand erforderlich Betriebsvereinbarung §§28 ff. BDSG, ggf. §§11 ff. TMG Einwilligung Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Datenschutz
  27. 27. Anwendbarkeit der §§11 ff. TMG Bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices Folge: Verwendung von Bestands-und Nutzungsdaten nur für Erfüllung des Vertrags oder Abrechnung (Nutzungsdaten) = regelmäßig Einwilligung erforderlich Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management TMG
  28. 28. Anwendbarkeit der §§91 ff. TKG Auch nicht bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices (andere Auffassung überholt) Es fehlt jedenfalls an der Öffentlichkeit Schutz von Inhaltsdaten durch BDSG und ggf. Fernmeldegeheimnis, §88 TKG Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management TKG
  29. 29. MDM als technische Einrichtung Eignung zur Überwachung von Leistung und Verhalten = Mitbestimmungsrecht Betriebsrat, §87 Abs. 1 Nr. 6 BetrVG Beachte: Betriebsrat ist (Ersatz-) Datenschutzbeauftragter für pbD der Beschäftigten, §80 Abs. 1 Nr. 1 BetrVG Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Betriebsrat
  30. 30. Datensicherheit beim MDM Treffen der erforderlichen technischen und organisatorischen Maßnahmen (TOM), §9 BDSG nebst Anlage Erforderlich, wenn Maßnahmen in angemessenem Verhältnis zum angestrebten Schutzzweck stehen Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Sicherheit
  31. 31. Beispiele erforderlicher TOM Remote Wipe bei Verlust des Smart Device Verbot der Nutzung (privater) Cloud-Lösungen Verbot Jailbreak auf dem Smart Device Absicherung von Bluetooth/WLAN Aussperren (unsicherer) Apps Trennung betrieblicher und privater Daten Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Sicherheit
  32. 32. Beispiel Fernzugriff auf Smart Device Durchsetzung TOM = Pushen von Richtlinien aus MDM auf das Smart Device z.B. Vorgaben Passwort z.B. Verbot Installation von Apps z.B. automatisches Backup Remote Wipe nach Verlust Smart Device Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management Sicherheit
  33. 33. MDM in der Cloud Kein lokaler Eigen-oder Fremdbetrieb des MDM, Auslagerung in Cloud (z.B. Airwatch) Auftragsdatenverarbeitung mit Anbieter MDM = §11 BDSG beachten Datenverarbeitung im Drittland (insb. USA) = §§4b, 4c BDSG beachten Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management MDM in der Cloud
  34. 34. MDM, BYOD und Datenschutz BYOD = bring yourowndevice Beschäftigter setzt privates Smart Device für betriebliche Zwecke ein MDM verwaltet private Smart Devices der Beschäftigten Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management BYOD
  35. 35. Einführung von BYOD Beschäftigter ist und bleibt Eigentümer des Smart Device Einführung nur mit Einwilligung des Beschäftigten (nicht Betriebsvereinbarung, anders MDM für BYOD) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management BYOD
  36. 36. Notwendige Regelungswerke Zusatzvereinbarung BYOD zum Arbeitsvertrag = AGB, §§305 ff. BGB Richtlinie oder BV „mobiles Arbeiten“ Richtlinie oder BV „MDM“ Einwilligung „MDM“ wegen privater pbD des Beschäftigten (sonst TMG) Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management BYOD
  37. 37. Fazit Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
  38. 38. Sascha KremerMail: sascha.kremer@llr.deTel: +49(221)55400170Fax: +49(221)55400192 Fragen? Fragen!

×