Datenschutz bei Mobile Banking und Mobile Device Management

Praxisseminar „Datenschutz –Aktuelle Herausforderungen“ Verband der Auslandsbanken in Deutschland e.V., 6.10.2014
Datenschutzaspekte beiMobile Banking undMobile Device Management

Sascha Kremer, Köln
Rechtsanwalt und Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter
Geschäftsführer LLR DSC GmbH
Agiles, Mobiles, Wolkiges, Virtualisiertes
Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management
Wer?

Social Media (CC-BY-SA 4.0)
www.twitter.com/saschakremer
www.dpitos.de
www.slideshare.net/saschakremer
www.llrdsc.de
http://www.cr-online.de/blog
Wer?

Datenschutz
Mobile Banking
Mobile Device Management
Was?

1. Block: Mobile Banking
Begriff
Transaktionen
AGB
User-Tracking
Mobile Banking

Mobile Banking
Abgrenzung zum Telefon Banking:
Internet ≠ Telefon
Abgrenzung zum Online-Banking:
Smart Device≠ Endgerät
App≠ Browser
Begriff

Abgrenzung Banking und Payment
Mobile Banking: Nutzen eines Smart Device für den Zugang zur Bank
Mobile Payment: Anstoßen oder Bestätigen der Übertragung eines monetären Anspruchs mittels eines Smart Device
Begriff

Transaktionen ausführen
Über Internetanwendung der Bank = Online-Banking verkleidet als App
über das Smart Device = Autorisieren und Verifizieren mittels NFC oder Funk(Proximity oder Remote)
Transaktionen

personenbezogene Daten
Speicherung von Transaktionsdaten im Smart Device (oder auf dem Server)
Bestimmbarkeit bei Speicherung einer eindeutigen Transaktions-, Karten-oder Kundennummer jedenfalls für Betreiber gegeben (strittig)
Transaktionen

Berechtigung zum Umgang mit pbD
Erlaubnistatbestand, §4 Abs. 1 BDSG
Insbesondere §28 Abs. 1 S. 1 Nr. 1 BDSG = Erfüllung eines Schuldverhältnisses
Beachte: Düsseldorfer Kreis hält Möglichkeit zum anonymen Bezahlen für erforderlich (Beschluss 28./29.9.2011)
Transaktionen

Verpflichtung zum Umgang mit pbD
Allgemeine Sorgfaltspflichten nach dem GWG, §3 Abs. 1 Nr. 1 bis Nr. 4 GWG
Vereinfachte Sorgfaltspflichten nach dem GWG, §5 Abs. 1, Abs. 2 GWG, §25i KWG
Transaktionen

Datensicherheit insbesondere
Transaktionsdaten sind verschlüsselt zu speichern = Zugriffs-und Weitergabekontrolle (Beschluss Düsseldorfer Kreis, 18./19.9.2012)
Transaktionsdaten sind nach Zweck getrennt zu speichern = Trennungskontrolle
Transaktionen

Informationspflicht des Anbieters
Pflicht für ausgebende, aufbringende, ändernde oder bereithaltende Stelle für „Verfahren zur automatisierten Verarbeitung pbD“ auf „mobilem personenbezogenen Speicher-und Verarbeitungsmedium“, §6c BDSG
Transaktionen

P1: Anwendbares Recht?
Keine Dispositionsbefugnis der Parteien
Art. 4 DSRL (§1 Abs. 5 BDSG) ist Eingriffsnorm i.S.v. Art. 9 Rom-I
Bestimmung des anwendbaren Datenschutzrechts in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB
AGB

P2: Einwilligung in AGB?
§4a BDSG, §13 Abs. 2 TMG: Einwilligung ist individueller Verzicht auf Grundrecht
Einwilligung ist „freiwillig“ bzw. „bewusst und eindeutig“ zu erteilen und „hervorzuheben“
Einwilligung in AGB unwirksam, §307 Abs. 2 Nr. 1 BGB
AGB

P3: Datenschutzerklärung = AGB?
App = Telemedium, §1 Abs. 1 S. 1 TMG
Verpflichtung zur Datenschutzerklärung = Wissenserklärung, §13 Abs. 1 TMG
AGB

P3: Datenschutzerklärung = AGB?
Bei Einbeziehung der Datenschutzerklärung in Nutzungsvereinbarung („gelesen und einverstanden“) = AGB, §305 Abs. 1 S. 1 BGB, mit Inhaltskontrolle, §§307 ff. BGB
Inhaltskontrolle nach anwendbarem Vertragsrecht = Bestimmung nach Rom-I
AGB

User Tracking im Mobile Banking
Denkbare personenbezogene Daten:
Zeit, Ort und Umgebung der Nutzung
Kontakte des Anwenders
Nutzungsverhalten des Anwenders
Ziel: Erstellen von Persönlichkeitsprofilen und Ableiten von Verhaltensmustern
User Tracking

Anbieter App = Verantwortliche Stelle
Anonyme Verwendung = zulässig
Pseudonyme Verwendung, §15 Abs. 3 TMG
Widerspruchsrecht des Anwenders
Hinweis in Datenschutzerklärung
Keine Zusammenführung mit anderen pbD
User Tracking

Gesetzliche Erlaubnis?
Nicht erforderlich für Vertragserfüllung
Eingriff in Kernbereich Persönlichkeitsrecht
pbD nicht allgemein zugänglich
§28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)
User Tracking

Block 2: Mobile Device Management
Begriff
Datenschutz
Datensicherheit
Cloud
BYOD
Mobile Device Management

Mobile Device Management (MDM)
Zentralisierte Verwaltung von Smart Devices mittels einer Software
Selbst oder durch einen Dritten –ggf. als Cloud-Service –betrieben
Begriff

Ziele des MDM
Verfügbarkeit von Diensten und Devices
Sicherheit von Daten und IT
Kontrolle der Kosten
Steigerung der Effizienz
Begriff

Bestandteile des MDM insbesondere
Inventarisieren der Smart Devices
Verteilen und kontrollieren der Apps (Lizenzmanagement)
Durchsetzen von Richtlinien
Patch-und Problemmanagement
(Ab)sichern von Inhalten und Diensten
Begriff

Datenschutz im MDM
Jederzeitiger Zugriff auf die Smart Devices
Ausführen von Diensten und Vorgängen (z.B. Löschen/Sichern von Daten) ohne Mitwirkung des Anwenders
Auswerten der Nutzung des Smart Devices durch den Anwender
Datenschutz

Datenschutz im MDM
MDM datenschutzrechtlich relevant
Erlaubnistatbestand erforderlich
Betriebsvereinbarung
§§28 ff. BDSG, ggf. §§11 ff. TMG
Einwilligung
Datenschutz

Anwendbarkeit der §§11 ff. TMG
Bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices
Folge: Verwendung von Bestands-und Nutzungsdaten nur für Erfüllung des Vertrags oder Abrechnung (Nutzungsdaten) = regelmäßig Einwilligung erforderlich
TMG

Anwendbarkeit der §§91 ff. TKG
Auch nicht bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices (andere Auffassung überholt)
Es fehlt jedenfalls an der Öffentlichkeit
Schutz von Inhaltsdaten durch BDSG und ggf. Fernmeldegeheimnis, §88 TKG
TKG

MDM als technische Einrichtung
Eignung zur Überwachung von Leistung und Verhalten = Mitbestimmungsrecht Betriebsrat, §87 Abs. 1 Nr. 6 BetrVG
Beachte: Betriebsrat ist (Ersatz-) Datenschutzbeauftragter für pbD der Beschäftigten, §80 Abs. 1 Nr. 1 BetrVG
Betriebsrat

Datensicherheit beim MDM
Treffen der erforderlichen technischen und organisatorischen Maßnahmen (TOM), §9 BDSG nebst Anlage
Erforderlich, wenn Maßnahmen in angemessenem Verhältnis zum angestrebten Schutzzweck stehen
Sicherheit

Beispiele erforderlicher TOM
Remote Wipe bei Verlust des Smart Device
Verbot der Nutzung (privater) Cloud-Lösungen
Verbot Jailbreak auf dem Smart Device
Absicherung von Bluetooth/WLAN
Aussperren (unsicherer) Apps
Trennung betrieblicher und privater Daten
Sicherheit

Beispiel Fernzugriff auf Smart Device
Durchsetzung TOM = Pushen von Richtlinien aus MDM auf das Smart Device
z.B. Vorgaben Passwort
z.B. Verbot Installation von Apps
z.B. automatisches Backup
Remote Wipe nach Verlust Smart Device
Sicherheit

MDM in der Cloud
Kein lokaler Eigen-oder Fremdbetrieb des MDM, Auslagerung in Cloud (z.B. Airwatch)
Auftragsdatenverarbeitung mit Anbieter MDM = §11 BDSG beachten
Datenverarbeitung im Drittland (insb. USA) = §§4b, 4c BDSG beachten
MDM in der Cloud

MDM, BYOD und Datenschutz
BYOD = bring yourowndevice
Beschäftigter setzt privates Smart Device für betriebliche Zwecke ein
MDM verwaltet private Smart Devices der Beschäftigten
BYOD

Einführung von BYOD
Beschäftigter ist und bleibt Eigentümer des Smart Device
Einführung nur mit Einwilligung des Beschäftigten (nicht Betriebsvereinbarung, anders MDM für BYOD)
BYOD

Notwendige Regelungswerke
Zusatzvereinbarung BYOD zum Arbeitsvertrag = AGB, §§305 ff. BGB
Richtlinie oder BV „mobiles Arbeiten“
Richtlinie oder BV „MDM“
Einwilligung „MDM“ wegen privater pbD des Beschäftigten (sonst TMG)
BYOD

Fazit

Sascha KremerMail: sascha.kremer@llr.deTel: +49(221)55400170Fax: +49(221)55400192
Fragen? Fragen!

Datenschutz bei Mobile Banking und Mobile Device Management

Weitere ähnliche Inhalte

Was ist angesagt?

Andere mochten auch

Datenschutz bei Mobile Banking und Mobile Device Management