Die DSB verhängte eine Geldstrafe von € 4.000.000,— gegen ein Kreditinstitut wegen mangelhafter Sicherheitsmaßnahmen
Eine unverschlüsselte Excel-Datei, die zur Verwaltung von Kundendaten verwendet wurde, wurde von einer Mitarbeiterin als Anhang
irrtümlicherweise einer großen Anzahl von unbefugten Empfängern gegenüber offengelegt.
Kleine Ursache -> große Wirkung
Aus dem Datenschutzbericht 2021 der Österreichischen Datenschutzbehörde:
„Die Datenschutzbehörde stellte in einem Verfahren fest, dass eine Verantwortliche in der Finanzbranche (Kreditinstitut) eine Excel-Datei zum Zwecke der internen Verwendung/Administration von Bankkunden, die personenbezogene Daten und insbesondere die Kontoinformationen der Kunden enthielt, filialweise auf einem internen Laufwerk gespeichert bzw. aufbewahrt hat. Die Datei konnte von allen Filial-Bediensteten bei Bedarf abgerufen und ein- gesehen werden. Die Excel-Datei war weder verschlüsselt, noch sonst durch andere adäquate Maßnahmen vor unberechtigten Zugriffen geschützt sowie gegen unbeabsichtigte Offenlegung gegenüber Dritten gesichert.
In Folge wurde in einer von der Verantwortlichen betriebenen Filiale durch eine Mitarbeiterin eine E-Mail-Nachricht an 234 Kunden versendet. Dieser E-Mail schloss die Mitarbeiterin irrtümlich die oben genannte Excel-Liste an.
Mangelnde Sicherheit der VerarbeitungDie Datenschutzbehörde stellte im Rahmen des Verfahrens fest, dass sich in der Excel-Datei Datensätze von 5.971 Kunden der Verantwortlichen befanden. Die E-Mail-Nachricht wurde in 227 Fällen erfolgreich zugestellt, wodurch folgende Datenkategorien den 227 Empfängern der Nachricht offengelegt wurden: Kundenkurzbezeichnung, Adressdaten und Erreichbarkeiten, Alter und Geburtsdatum, Einkommen, Produktbesitz, Volumen je Produkt, Nutzung von Bank- services, Name und Abteilung der Betreuerin, betriebswirtschaftliche und bankorganisatori- sche Kennzeichnung des jeweiligen Kunden.
Die Verantwortliche hat daher im Ergebnis gegen den in Art. 5 Abs. 1 lit. f DSGVO normierten Grundsatz der Integrität und Vertraulichkeit sowie gegen ihre Pflicht zur Implementierung von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO verstoßen.
Die Datenschutzbehörde verhängte daher gegen das Kreditinstitut eine Geldbuße in der Höhe von EUR 4.000.000,00 (nicht rechtskräftig).“