7. Dezember 2023 | DSGVO Strafen

Dreifaches Datenschutzdilemma – Excel-Chaos, Kredit-Skandal und Identitätsdiebstahl schockieren

Rückblick auf den November: Drei Datenschutz-Verstöße, drei Länder, drei saftige Strafen. Neugierig, was passiert ist? Hier gibt’s die Enthüllungen!

Datendesaster Deluxe: Fondsberater enthüllt Excel-Chaos an tausende Kunden

Bußgeld: 42.898 EUR
Land: Schweden

Nachdem sich eine Horde aufgebrachter Privatpersonen beschwert hatte, hat die schwedische Datenschutzbehörde das Fondsberatungsunternehmen Indecap unter die Lupe genommen. Was haben sie entdeckt? Ein unfreiwilliges Excel-Abenteuer! Das Unternehmen hat aus Versehen über 2.800 Kunden mit einem E-Mail-Anhang beglückt, der nicht nur Namen und E-Mail-Adressen, sondern auch noch Sozialversicherungsnummern von über 52.000 Leuten preisgab.

Die Firma behauptet, das Ganze sei das Ergebnis eines Mitarbeiter-Fauxpas gewesen. Aber hey, wenn man heikle Daten nicht in den wilden Weiten des E-Mail-Verkehrs sehen möchte, ist das vielleicht nicht die beste Ausrede. Da bleibt nur zu hoffen, dass sie sich beim nächsten Mal etwas mehr Mühe geben, bevor sie die Excel-Datei ins Rennen schicken.

Skandalöses Vergehen: Illegale Kreditaufnahmen durch den Missbrauch interner Kundendaten

Bußgeld: 110.000 EUR
Land: Rumänien

Die rumänische Datenschutzbehörde hat sich Rompetrol Downstream SRL vorgeknöpft, nachdem das Unternehmen zwischen dem 20. Juli 2021 und dem 3. Februar 2022 mehrere Datenschutzverstöße gemeldet hatte. Und stellte fest, dass man weit von „Kavaliersdelikten“ entfernt war.

Was war los? Nun, Kundendaten wurden von dazu „eigentlich“ nicht berechtigten Mitarbeitenden mehrmals durchgewühlt und intern zweckentfremdet. Persönliche Infos wie Personalausweisnummern, Namen und Adressen geisterten ungefragt durch die Gegend. Das Ganze gipfelte sogar in Identitätsdiebstählen, in der Form, dass auf Namen von Kunden, die gar nichts finanzieren wollten, plötzlich Kredite abgeschlossen worden waren.

Die Datenschutzbehörde hat herausgefunden, dass Rompetrol Downstream SRL nicht intern festgelegt hatte, dass Mitarbeitende nur auf Anweisung von Vorgesetzten Daten verarbeiten dürfen. Und als wäre das nicht genug, fehlten auch noch angemessene Sicherheitsvorkehrungen, um die Daten nachhaltig zu schützen.

Die Strafe? Naja, die Behörde hat sich natürlich nicht lumpen lassen und eine Strafe von 110.000 Euro verhängt.

Datenschutz-Drama in Spanien: Bank lässt Kundin im Stich

Bußgeld: 800.000 EUR
Land: Spanien

In Spanien sorgte die Datenschutzbehörde für Aufsehen, nachdem eine besorgte Kundin, die ihre Handtasche mit Bankkarte verloren hatte, bei der Banco Bilbao Vizcaya Argentaria um Hilfe bat. Die Bank enttäuschte jedoch und ließ Dritte durch Identitätsdiebstahl auf die Bankprodukte der Kundin zugreifen, um Geld zu überweisen. Das Ergebnis? Eine äußerst happige Strafe von 800.000 Euro!

Die Datenschutzbehörde fand bei ihrer Untersuchung heraus, dass der Verantwortliche es versäumt hatte, angemessene technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um solche Vorfälle zu verhindern und personenbezogene #Daten zu schützen. Nämlich eine geeignete Identitätsprüfung, wenn ein vermeintlicher Kunde „am Schalter“ eine Transaktion durchführen wollte. Ein Fiasko mit sehr teuren Konsequenzen!

MeineBerater-Tipp

  • Zum Fall 1: Beschränken Sie Zugriffsberechtigungen UND verschicken Sie Excels mit personenbezogenen Daten ausschließlich passwortgeschützt. Deaktivieren Sie die Berechtigung zum Versenden von Massenmails.
  • Zum Fall 2: Stellen Sie sicher, dass die Zugriffsberechtigungen Ihrer Mitarbeitenden nach dem „Need to know“-Prinzip erteilt werden und kontrollieren Sie dennoch deren Tätigkeiten.
  • Zum Fall 3: Identitätsfeststellungen gehören zu den organisatorischen Sicherheitsmaßnahmen, die sehr streng ausgelegt und gelebt werden müssen. Vertrauen ist gut, Kontrolle ist besser!

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.