DSGVO-Strafe ein Höhe von EUR 150.000,-- und EUR 20.000,-- in Rumänien
Die rumänische Aufsichtsbehörde hat eine Bank und einen Kreditdienstleister wegen der Verletzung der datenschutzrechtlichen Bestimmungen mit einer DSGVO-Strafe belegt.
Im Verarbeitungskontext spielte auch What´s APP eine Rolle.
Autoritatea Națională de Supraveghere hat zwei Verfahren vom 26.09.2019 abgeschlossen:
Raiffeisen Bank SA wurde mit einer Geldstrafe im Gegenwert von EUR 150.000,-- belegt.
Vreau Credit SRL wurde mit einer Geldstrafe im Gegenwert von EUR 20.000,-- belegt.
Raiffeisen Bank SA – EUR 150.000,--
Eine Meldung einer Datenschutzverletzung durch den Verantwortlichen selbst, führte zu den Untersuchungen und letztlich zur Geldstrafe.
Die Verletzung der DSGVO bestand darin, dass zwei Mitarbeiter der Raiffeisen Bank SA Kreditbewertungsanfragen vorgenommen haben.
Dabei haben diese Raiffeisen-Mitarbeiter Ausweispapiere von einigen natürlichen Personen vorgelegt, die sie davor über What´s App von Mitarbeitern der Firma Vreau Credit SRL erhalten hatten.
Nach den Feststellungen der Aufsichtsbehörde betraft dies zumindest 1177 natürliche Personen bei 1194 Abfragen für diese Kreditbeurteilung.
Das „Prescoring“ der Kreditantragsteller wurden über das Computersystem der Raiffeisen Bank SA durchgeführt.
Die „negative Kreditentscheidung“ wurde dann von den Mitarbeitern der Raiffeisen Bank SA den Mitarbeitern der Vreau Credit SRL wieder über What´s App mitgeteilt, wobei gegen interne Richtlinien verstoßen wurde.
Grund für die Strafe
Die DSGVO-Strafe wurde gegen Raiffeisen Bank SA, weil dieser Verantwortliche nicht durch angemessene technische und organisatorische Maßnahmen sichergestellt hat, dass eine unter seiner Aufsicht handelnde natürliche Person (= Mitarbeiter) , die Zugang zu personenbezogenen Daten hat, diese nur auf seinen Auftag (dh des Verantwortlichen) hin (Auftragsbindung in der Verarbeitung personenbezogener Daten) oder aus gesetzlichen Verpflichtungen durch das Unionsrecht oder nationales Recht verarbeitet.
Außerdem hat der Verantwortliche keine angemessenen technischen und organisatorischen Maßnahmen ergriffen, um ein angemessenes Sicherheitsniveau zu gewährleisten, und die mit der Verarbeitung verbundenen Risiken nicht bewertet.
Diese Situation führte zum unbefugten Zugriff auf die von der von der Raiffeisen Bank SA im Rahmen der Kreditvergabe verwendeten Computeranwendung verarbeiteten personenbezogenen Daten und zur unbefugten Weitergabe der personenbezogenen Daten durch die Mitarbeiter der Bank.
Vreau Credit SRL – EUR 20.000,--
Was den Betreiber Vreau Credit SRL betrifft, so wurde dieses Unternehmen wegen der Verletzung der Datensicherheitsmaßnahmen bestraft, aber auch wegen der Tatsache, dass dieses Unternehmen die Aufsichtsbehörde bis zum Ende der Untersuchung nicht unverzüglich über die Verletzung informiert hat, obwohl im Dezember 2018 festgestellt wurde, dass es den Sicherheitsvorfall gegeben hat.
Die Verwendung von What´s APP?
Die Ausweisdaten wurden über What´s App von Vreau Credit SRL an die Raiffeisen Bank SA – Mitarbeiter übermittelt.
Ob dies tatsächlich eine Rolle gespielt hat, und im Rahmen der Verletzung der datenschutzrechtlichen Bestimmungen berücksichtigt wurde, ergibt sich aus der Veröffentlichung auf der Website der rumänischen Aufsichtsbehörde nicht.
23.11.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben