Home >Law >Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
Date post:06-Jul-2015
Category:Law
View:266 times
Download:3 times
Share this document with a friend
Description:
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Transcript:
<ul><li> 1. Praxisseminar Datenschutz Aktuelle Herausforderungen Verband der Auslandsbanken in Deutschland e.V., 6.10.2014Datenschutzaspekte beiMobile Banking undMobile Device Management </li></ul> <p> 2. Sascha Kremer, KlnRechtsanwalt und Fachanwalt fr IT-RechtExterner DatenschutzbeauftragterGeschftsfhrer LLR DSC GmbHAgiles, Mobiles, Wolkiges, VirtualisiertesSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementWer? 3. Social Media (CC-BY-SA 4.0)www.twitter.com/saschakremerwww.dpitos.dewww.slideshare.net/saschakremerwww.llrdsc.dehttp://www.cr-online.de/blogSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementWer? 4. DatenschutzMobile BankingMobile Device ManagementSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementWas? 5. 1. Block: Mobile BankingBegriffTransaktionenAGBUser-TrackingSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementMobile Banking 6. Mobile BankingAbgrenzung zum Telefon Banking:Internet TelefonAbgrenzung zum Online-Banking:Smart Device EndgertApp BrowserSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBegriff 7. Abgrenzung Banking und PaymentMobile Banking: Nutzen eines Smart Device fr den Zugang zur BankMobile Payment: Anstoen oder Besttigen der bertragung eines monetren Anspruchs mittels eines Smart DeviceSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBegriff 8. Transaktionen ausfhrenber Internetanwendung der Bank = Online-Banking verkleidet als Appber das Smart Device = Autorisieren und Verifizieren mittels NFC oder Funk(Proximity oder Remote)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 9. personenbezogene DatenSpeicherung von Transaktionsdaten im Smart Device (oder auf dem Server)Bestimmbarkeit bei Speicherung einer eindeutigen Transaktions-, Karten-oder Kundennummer jedenfalls fr Betreiber gegeben (strittig)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 10. Berechtigung zum Umgang mit pbDErlaubnistatbestand, 4 Abs. 1 BDSGInsbesondere 28 Abs. 1 S. 1 Nr. 1 BDSG = Erfllung eines SchuldverhltnissesBeachte: Dsseldorfer Kreis hlt Mglichkeit zum anonymen Bezahlen fr erforderlich (Beschluss 28./29.9.2011)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 11. Verpflichtung zum Umgang mit pbDAllgemeine Sorgfaltspflichten nach dem GWG, 3 Abs. 1 Nr. 1 bis Nr. 4 GWGVereinfachte Sorgfaltspflichten nach dem GWG, 5 Abs. 1, Abs. 2 GWG, 25i KWGSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 12. Datensicherheit insbesondereTransaktionsdaten sind verschlsselt zu speichern = Zugriffs-und Weitergabekontrolle (Beschluss Dsseldorfer Kreis, 18./19.9.2012)Transaktionsdaten sind nach Zweck getrennt zu speichern = TrennungskontrolleSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 13. Informationspflicht des AnbietersPflicht fr ausgebende, aufbringende, ndernde oder bereithaltende Stelle fr Verfahren zur automatisierten Verarbeitung pbD auf mobilem personenbezogenen Speicher-und Verarbeitungsmedium, 6c BDSGSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTransaktionen 14. P1: Anwendbares Recht?Keine Dispositionsbefugnis der ParteienArt. 4 DSRL (1 Abs. 5 BDSG) ist Eingriffsnorm i.S.v. Art. 9 Rom-IBestimmung des anwendbaren Datenschutzrechts in AGB unwirksam, 307 Abs. 2 Nr. 1 BGBSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementAGB 15. P2: Einwilligung in AGB?4a BDSG, 13 Abs. 2 TMG: Einwilligung ist individueller Verzicht auf GrundrechtEinwilligung ist freiwillig bzw. bewusst und eindeutig zu erteilen und hervorzuhebenEinwilligung in AGB unwirksam, 307 Abs. 2 Nr. 1 BGBSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementAGB 16. P3: Datenschutzerklrung = AGB?App = Telemedium, 1 Abs. 1 S. 1 TMGVerpflichtung zur Datenschutzerklrung = Wissenserklrung, 13 Abs. 1 TMGSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementAGB 17. P3: Datenschutzerklrung = AGB?Bei Einbeziehung der Datenschutzerklrung in Nutzungsvereinbarung (gelesen und einverstanden) = AGB, 305 Abs. 1 S. 1 BGB, mit Inhaltskontrolle, 307 ff. BGBInhaltskontrolle nach anwendbarem Vertragsrecht = Bestimmung nach Rom-ISascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementAGB 18. User Tracking im Mobile BankingDenkbare personenbezogene Daten:Zeit, Ort und Umgebung der NutzungKontakte des AnwendersNutzungsverhalten des AnwendersZiel: Erstellen von Persnlichkeitsprofilen und Ableiten von VerhaltensmusternSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementUser Tracking 19. User Tracking im Mobile BankingAnbieter App = Verantwortliche StelleAnonyme Verwendung = zulssigPseudonyme Verwendung, 15 Abs. 3 TMGWiderspruchsrecht des AnwendersHinweis in DatenschutzerklrungKeine Zusammenfhrung mit anderen pbDSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementUser Tracking 20. User Tracking im Mobile BankingGesetzliche Erlaubnis?Nicht erforderlich fr VertragserfllungEingriff in Kernbereich PersnlichkeitsrechtpbD nicht allgemein zugnglich28 Abs. 1 S. 1 Nr. 1 bis Nr. 3 BDSG (-)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementUser Tracking 21. Block 2: Mobile Device ManagementBegriffDatenschutzDatensicherheitCloudBYODSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementMobile Device Management 22. Mobile Device Management (MDM)Zentralisierte Verwaltung von Smart Devices mittels einer SoftwareSelbst oder durch einen Dritten ggf. als Cloud-Service betriebenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBegriff 23. Ziele des MDMVerfgbarkeit von Diensten und DevicesSicherheit von Daten und ITKontrolle der KostenSteigerung der EffizienzSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBegriff 24. Bestandteile des MDM insbesondereInventarisieren der Smart DevicesVerteilen und kontrollieren der Apps (Lizenzmanagement)Durchsetzen von RichtlinienPatch-und Problemmanagement(Ab)sichern von Inhalten und DienstenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBegriff 25. Datenschutz im MDMJederzeitiger Zugriff auf die Smart DevicesAusfhren von Diensten und Vorgngen (z.B. Lschen/Sichern von Daten) ohne Mitwirkung des AnwendersAuswerten der Nutzung des Smart Devices durch den AnwenderSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementDatenschutz 26. Datenschutz im MDMMDM datenschutzrechtlich relevantErlaubnistatbestand erforderlichBetriebsvereinbarung28 ff. BDSG, ggf. 11 ff. TMGEinwilligungSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementDatenschutz 27. Anwendbarkeit der 11 ff. TMGBei erlaubter oder geduldeter Privatnutzung betrieblicher Smart DevicesFolge: Verwendung von Bestands-und Nutzungsdaten nur fr Erfllung des Vertrags oder Abrechnung (Nutzungsdaten) = regelmig Einwilligung erforderlichSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTMG 28. Anwendbarkeit der 91 ff. TKGAuch nicht bei erlaubter oder geduldeter Privatnutzung betrieblicher Smart Devices (andere Auffassung berholt)Es fehlt jedenfalls an der ffentlichkeitSchutz von Inhaltsdaten durch BDSG und ggf. Fernmeldegeheimnis, 88 TKGSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementTKG 29. MDM als technische EinrichtungEignung zur berwachung von Leistung und Verhalten = Mitbestimmungsrecht Betriebsrat, 87 Abs. 1 Nr. 6 BetrVGBeachte: Betriebsrat ist (Ersatz-) Datenschutzbeauftragter fr pbD der Beschftigten, 80 Abs. 1 Nr. 1 BetrVGSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBetriebsrat 30. Datensicherheit beim MDMTreffen der erforderlichen technischen und organisatorischen Manahmen (TOM), 9 BDSG nebst AnlageErforderlich, wenn Manahmen in angemessenem Verhltnis zum angestrebten Schutzzweck stehenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementSicherheit 31. Beispiele erforderlicher TOMRemote Wipe bei Verlust des Smart DeviceVerbot der Nutzung (privater) Cloud-LsungenVerbot Jailbreak auf dem Smart DeviceAbsicherung von Bluetooth/WLANAussperren (unsicherer) AppsTrennung betrieblicher und privater DatenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementSicherheit 32. Beispiel Fernzugriff auf Smart DeviceDurchsetzung TOM = Pushen von Richtlinien aus MDM auf das Smart Devicez.B. Vorgaben Passwortz.B. Verbot Installation von Appsz.B. automatisches BackupRemote Wipe nach Verlust Smart DeviceSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementSicherheit 33. MDM in der CloudKein lokaler Eigen-oder Fremdbetrieb des MDM, Auslagerung in Cloud (z.B. Airwatch)Auftragsdatenverarbeitung mit Anbieter MDM = 11 BDSG beachtenDatenverarbeitung im Drittland (insb. USA) = 4b, 4c BDSG beachtenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementMDM in der Cloud 34. MDM, BYOD und DatenschutzBYOD = bring yourowndeviceBeschftigter setzt privates Smart Device fr betriebliche Zwecke einMDM verwaltet private Smart Devices der BeschftigtenSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBYOD 35. Einfhrung von BYODBeschftigter ist und bleibt Eigentmer des Smart DeviceEinfhrung nur mit Einwilligung des Beschftigten (nicht Betriebsvereinbarung, anders MDM fr BYOD)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBYOD 36. Notwendige RegelungswerkeZusatzvereinbarung BYOD zum Arbeitsvertrag = AGB, 305 ff. BGBRichtlinie oder BV mobiles ArbeitenRichtlinie oder BV MDMEinwilligung MDM wegen privater pbD des Beschftigten (sonst TMG)Sascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device ManagementBYOD 37. FazitSascha Kremer: Datenschutzaspekte bei Mobile Banking und Mobile Device Management 38. Sascha KremerMail: sascha.kremer@llr.deTel: +49(221)55400170Fax: +49(221)55400192Fragen? Fragen!</p>
Embed Size (px)
Recommended