Fast untergegangen wäre die Meldung eines durch die Österreichische Datenschutzbehörde verhängten Bußgeldes gegen ein Kreditinstitut (um welches es sich handelt ist – noch – nicht bekannt). Untergegangen deshalb, weil Informationen dazu erst jetzt im Jahresbericht der Datenschutzbehörde für das Jahr 2021 zu lesen sind.
Im Abschnitt „Verhängung von Geldbußen durch die Österreichische Datenschutzbehörde: Erfahrungs- und Vollzugsbericht 2021“ beschreibt die Datenschutzbehörde kurz und bündig den folgenden Sachverhalt.
In besagtem Kreditinstitut wurde zum Zweck der internen Verwendung und der Administration von Bankkunden ein Excel-Dokument geführt, welches personenbezogene Daten eben dieser Kunden enthielt. Gravierender Weise nicht nur etwa Kundenname, sondern auch Alter, Adressdaten und Erreichbarkeiten, Geburtsdatum, Einkommen, Produktbesitz, Volumen je Produkt, Nutzung von Bankservices, Name und Abteilung der Betreuerin und eine betriebswirtschaftliche und bankorganisatorische Kennzeichnung des jeweiligen Kunden – von gesamt 5.971 Kunden!
Als datenschutzinteressierter Leser ahnen Sie sicher schon, in welche Richtung der Vorfall geht. Die Excel-Datei war einerseits weder verschlüsselt oder durch sonstige Maßnahmen vor einer unbefugten Offenlegung durch Dritte geschützt, auf der anderen Seite wurde diese Datei filialweise auf einem internen Laufwerk gespeichert – somit hatte jeder Filial-Mitarbeiter Zugriff und Einsicht in diese Datei.
Dafür alleine würde schon eine Abmahnung durch die Behörde folgen können, der Super-GAU erfolgte dann aber in leider klassischer Weise: Eine Filialmitarbeiterin schloss an eine Mail, welche an 234 Kunden versendet wurde, versehentlich diese Excelliste an. Die Folge: Daten der gespeicherten Kunden wurden erfolgreich an 227 (unberechtigte) Empfänger zugestellt.
Die Datenschutzbehörde sah im völlig verständlichen Ergebnis einen Verstoß des verantwortlichen Kreditinstituts gegen Art. 5 Abs 1 lit. F DSGVO (Grundsatz der Integrität und Vertraulichkeit) sowie gegen Art. 32 DSGVO (Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen und verhängt eine (nicht rechtskräftige) Geldbuße in der Höhe von 4 Mio. Euro.
Unsere Praxistipps
- Achten Sie in Ihrem Betrieb darauf, dass geeignete TOMs implementiert und umgesetzt sind. Konkret: Datenzugriffe nach dem need to know-Prinzip einrichten!
- Dokumente mit personenbezogenen Daten Ihrer Kunden müssen immer verschlüsselt weitergeleitet/verschickt werden.
- Werfen Sie vor dem Absenden einer Mail noch einmal einen Blick auf die Empfänger und die Anhänge: Sind es die Richtigen, nämlich wirklich die, die Sie versenden wollen?