Aktialle droht eine hohe Geldstrafe wegen Sicherheitsversäumnissen: So reagiert Aktia

Aktia Bank wurde im Jahr 2023 eine Geldstrafe von 865.000 Euro wegen Sicherheitsverletzungen auferlegt. Aufgrund der Störung konnten beim Einloggen mit Bankdaten auf die Informationen anderer Kunden zugegriffen werden. Aktia plant, gegen die Entscheidung Berufung einzulegen.

Die Aufsichtsbehörde für Datenschutz hat eine Geldbuße in Höhe von 865.000 Euro gegen eine Bank verhängt, die im Jahr 2023 aufgrund von Sicherheitsmängeln im Bereich Datenschutz erlassen wurde. Infolge eines Vorfalls konnten Kunden während des Logins auf die Daten anderer Kunden zugreifen. Die Bank plant, gegen diese Entscheidung rechtlich vorzugehen.

 

Details des Vorfalls

Im Januar 2023 kam es bei der elektronischen Identifikation der Bank zu einer Störung, die etwa eine Stunde andauerte. Diese Störung war das Ergebnis technischer Änderungen an den Identifikationssystemen der Bank. Während dieses Zeitraums konnten einige Nutzer, die sich mit ihren Online-Banking-Zugangsdaten anmeldeten, auf äußerst persönliche Informationen anderer Kunden zugreifen. Das System hatte die Anmeldungen der Nutzer durcheinandergebracht, wodurch es möglich war, im Namen eines anderen Kunden zu handeln.

Die Auswirkungen der Störung betrafen etwa 350 Personen. Es gibt bisher keine Hinweise darauf, dass dies zu missbräuchlichen Handlungen führte. Die Aufsichtsbehörde stellte fest, dass die Bank bei der Planung, Umsetzung und Testung der technischen Änderungen Mängel aufwies.

Die Datenschutzbeauftragte betonte, dass je größer die Menge der verarbeiteten personenbezogenen Daten und je schwerwiegender die möglichen Folgen ihrer Gefährdung sind, desto mehr in Sicherheit und erforderliche Maßnahmen investiert werden muss.

Nach dem Vorfall hat die Bank neue Testverfahren eingeführt, um sicherzustellen, dass solche Verwechslungen in Zukunft ausgeschlossen werden. Die Geldbuße wurde verhängt, da die Bank die sichere Verarbeitung personenbezogener Daten nicht gewährleistet hat. Zudem erhielt die Bank eine Verwarnung wegen eines Verstoßes gegen die Datenschutzverordnung.

Die Entscheidungen sind noch nicht rechtskräftig, und es besteht die Möglichkeit, gegen sie vor dem Verwaltungsgericht Berufung einzulegen.

Die Bank hat angekündigt, gegen die Entscheidung vorzugehen. Ihrer Ansicht nach enthält die Entscheidung fehlerhafte Interpretationen der Datenschutzanforderungen vor dem Vorfall. Die Geldbuße wird als unangemessen betrachtet.

Die Kommunikationsleiterin der Bank äußerte sich zu den Vorfällen und betonte, dass es sich um einen einmaligen Fehler handelte. Sie stellte klar, dass die Behörde die anwendbaren Vorschriften und die Höhe der Geldbuße als übertrieben ansieht, insbesondere da die Bank schnell und effizient auf die Situation reagiert hat und ihre Sicherheitsvorkehrungen auf organisatorischer Ebene demonstriert hat.

In den Vorfällen hatten Unbefugte Zugang zu persönlichen Gesundheitsdaten erhalten. Die Bank zeigt sich über diesen Vorfall sehr besorgt, betont aber, dass das Problem weniger als eine Stunde andauerte. Sie hat weiterhin ihre Qualitätskontrollprozesse verbessert und Schulungen zur Datensicherheit für Mitarbeiter durchgeführt. Die Bank versichert, dass ihre Dienstleistungen auch in Zukunft sicher genutzt werden können.