Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten

Transkript

1 Thema DATENSCHUTZ HEISE Forum täglich bis Halle 5 / Stand F 18 Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten

2 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung 2

3 NFC: Near Field Communication Kontaktloses Bezahlen mit Geld-und Kreditkarten 3

4 Was ist NFC? NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten NFC Near Field Communication: Internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten RFID

5 April Start eines Pilotprojekts girogo NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten Region Hannover-Braunschweig-Wolfsburg 1,5 Mio. Geldkarten mit NFC-Technologie 400 Akzeptanzstellen 1000 Akzeptanzterminals/NFC-Reader Seit August 2012 Bundesweites Roll-out

6 NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten Welche Argumente werden für den Einsatz von NFC angeführt? Kein Bargeld Kein Kartenstecken Keine PIN-Eingabe Keine Unterschrift Zeitersparnis

7 NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten Welche Argumente werden für den Einsatz von NFC angeführt? Konkurrenz wie Paywave (Visa) Europaweit über 30 Mio. Paywave-Kreditkarten PayPass (Mastercard) Weltweit über 96 Mio. PayPass-Kreditkarten Über Akzeptanzstellen Deutschland Rund 1,2 Mio. PayPass-Karten Etwa Payback plus, Lufthansa Miles&More, MLP. Und etwa "Google Wallet" für Android-Handys

8 NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten girogo basiert auf Geldkarten-Konzept Aufladen von Guthaben Max. 200 Euro Bezahlen von Kleinbeträgen Max. 20 Euro Neu: Kontaktlose Übermittlung

9 NFC: Kontaktloses Bezahlen mit Geld- und Kreditkarten Spiegel Online, Datenschützer fürchten Missbrauch bei neuer Funk- Geldkarte

10 Datensicherheit bei NFC-Geld-und Kreditkarten?

11 Datensicherheit bei NFC-Geld-und Kreditkarten? NFC-Geldkarten NFC-Kreditkarten Transaktion verschlüsselt Eindeutige Kartennummer unverschlüsselt Transaktion unverschlüsselt Primary Account Number (PAN) = Kartennummer Verfallsdatum Lade- und Transaktionshistorie unverschlüsselt Transaktionshistorie?

12 Datensicherheit bei NFC-Geld-und Kreditkarten? NFC-Geldkarten Risiko Transaktion verschlüsselt Eindeutige Kartennummer unverschlüsselt Lade- und Transaktionshistorie unverschlüsselt Schutzbedarf? Realistische Angriffsszenarien? Bewegungsprofile? Analyse Kaufverhalten?

13 Exkurs: Schutzbedarf? Beschluss des Düsseldorfer Kreises vom 08./ zu RFID-Technologie Ungeachtet der zahlreichen Vorteile des Einsatzes von RFID-Chips ist zu befürchten, dass zukünftig massenhaft personenbezogene Daten verarbeitet werden, indem nahezu alle Gegenstände des täglichen Lebens über Hintergrundsysteme dauerhaft den Betroffenen zugeordnet werden können. RFID ermöglicht damit technisch die von den Verbraucherinnen und Verbrauchern unbemerkte Ausforschung ihrer Lebensgewohnheiten und ihres Konsumverhaltens etwa zu kommerziellen Zwecken. Abrufbar unter

14 Exkurs: Schutzbedarf? Beschluss des Düsseldorfer Kreises vom 08./ zu RFID-Technologie Für den Schutz der Persönlichkeitsrechte der betroffenen Verbraucherinnen und Verbraucher sind dabei folgende Regeln unabdingbar: Transparenz/Benachrichtigungspflicht Kennzeichnungspflicht Deaktivierung Datensicherheit Keine heimliche Profilbildung Abrufbar unter

15 Datensicherheit bei NFC-Geld-und Kreditkarten? NFC-Kreditkarten Risiko Realistische Angriffsszenarien? Transaktion unverschlüsselt Primary Account Number (PAN) = Kartennummer Verfallsdatum Nicht Card Validation Code (CVC) Transaktionshistorie? Schutzbedarf? Abfangen/Auslesen durch unberechtigte Dritte Missbrauch CVC oft nicht gefordert Analyse Kaufverhalten?

16 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche Maßnahmen sind zu ergreifen? Freie Entscheidung der Kunden Voraussetzung: Ausreichende Information Besondere Vorgaben für mobile Speicher-und Verarbeitungsmedien nach 6c Bundesdatenschutzgesetz (BDSG)

17 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche Maßnahmen sind zu ergreifen? 6c Absatz 1 BDSG: Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.

18 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche Maßnahmen sind zu ergreifen? 6c Absatz 2 BDSG: Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.

19 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche Maßnahmen sind zu ergreifen? 6c Absatz 3 BDSG: Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein.

20 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche technischen Maßnahmen sind zu ergreifen? 9 BDSG und Anlage Es sind die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Vorgaben des BDSG, insbesondere die in der Anlage genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

21 Datensicherheit bei NFC-Geld-und Kreditkarten? Welche technischen Maßnahmen sind zu ergreifen? 9 BDSG und Anlage erforderlich, um die in der Anlage genannten Anforderungen zu gewährleisten. Zugriffskontrolle Weitergabekontrolle Insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren

22 Vielen Dank für Ihre Aufmerksamkeit! Thema DATENSCHUTZ HEISE Forum täglich bis Halle 5 / Stand F 18 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Carolyn Eichler Telefon: ULD43@datenschutzzentrum.de 22