Die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) verhängte am 5. Dezember 2023 ein Bußgeld in Höhe von 60.000 Euro gegen eine der größten Banken Griechenlands, die Alpha Bank. Die Verstöße umfassten die unrechtmäßige Weitergabe personenbezogener Daten und die unzureichende Untersuchung des Vorfalls, was zu einer unbegründeten Verzögerung bei der Meldung an die Aufsichtsbehörde führte.
Wie dieser Artikel zeigt, wäre ein Großteil des Bußgeldes bei entsprechender Risikoanalyse vermeidbar gewesen.
Hintergrund des Bußgelds
Im vorliegenden Fall erhob ein Bankkunde die Beschwerde, dass die Alpha Bank unbefugterweise personenbezogene Daten, insbesondere Details zur Kreditkartenabrechnung und Transaktionshistorie an seine Ehefrau weitergegeben habe. Dies führte laut dem Beschwerdeführer zu erheblicher Beeinträchtigung des Familienlebens und der Beziehung des Beschwerdeführers zu seiner Ehefrau. Die Alpha Bank bestätigte den Datenschutzvorfall und führte ihn auf den Fehler eines Mitarbeiters ihres örtlichen Geschäfts zurück.
Die dargelegten Ereignisse in der Entscheidung der Aufsichtsbehörde zeigen verschiedene Verfehlungen im Umgang mit dem Datenschutzverstoß durch die beschuldigte Bank. Insbesondere führte die Bank, trotz Anzeichen für einen möglichen Datenschutzverstoß, zunächst keine Untersuchung durch. Die Bank behauptete zwar, eine Beschwerde erhalten zu haben, jedoch seien die vorgelegten Informationen nicht ausreichend gewesen, um eine entsprechende Untersuchung einzuleiten. Aber selbst nach Bestätigung des Vorfalls als Datenschutzverletzung nahm die Bank keine Meldung an die Aufsichtsbehörde vor und ergriff keine Maßnahmen, um die Folgen zu mildern. Die Bank unterschätzte die Auswirkungen des Vorfalls auf den Betroffenen und bewertete fälschlicherweise, dass eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO nicht erforderlich sei.
Aufgrund dieser Umstände verhängte die Aufsichtsbehörde Bußgelder in Höhe von
- 10.000 Euro für die Verletzung von Art. 5 Abs. 1 lit. a und f DSGVO (Grundsätze von Rechtmäßigkeit der Verarbeitung sowie Wahrung von Integrität und Vertraulichkeit) sowie
- 50.000 Euro für die Verletzung von Art. 33 DSGVO (nicht fristgerechte Meldung der Datenschutzverletzung).
Es sei festzuhalten, dass sich die festgestellten Mängel und Verzögerungen nicht aus unzureichenden Richtlinien und Prozessen ergaben, sondern aus der Nichtumsetzung dieser Verfahren in diesem speziellen Fall. Insbesondere wurden die vorgesehenen Verfahren zum angemessenen Umgang mit Datenschutzverletzungen und zur Durchführung einer Risikoanalyse nicht ausreichend befolgt.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung
Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt, was bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt ist, es sei denn, es liegt eine spezifische Rechtsgrundlage vor. Unternehmen müssen also vor der Verarbeitung von personenbezogenen Daten sicherstellen, dass sie eine rechtliche Grundlage dafür haben. Dies schließt auch die Weitergabe von Daten an Familienmitglieder ein.
Besondere Aufmerksamkeit sollte der angemessenen Schulung der Mitarbeiter gewidmet werden, um das Risiko von unbeabsichtigten Fehlern zu minimieren. Durch eine gründliche Schulung können Mitarbeiter ein besseres Verständnis für die rechtlichen Anforderungen entwickeln und dazu beitragen, potenzielle Verstöße gegen Datenschutzbestimmungen zu verhindern.
Weiterhin ist es von entscheidender Bedeutung, angemessen auf potenzielle Datenschutzverletzungen zu reagieren. Der Datenschutzbeauftragte sollte über jede Datenschutzverletzung informiert werden und eine Risikoanalyse durchführen, um die Schwere der Verletzung der Sicherheit der personenbezogenen Daten zu bewerten und die notwendigen Maßnahmen zu identifizieren. Die Deutsche Datenschutzkonferenz (DSK) hat Kriterien in einem Kurzpapier veröffentlicht, die bei der Risikobewertung helfen sollen.
Es ist zudem entscheidend, klar zwischen meldepflichtigen und nicht meldepflichtigen Datenschutzverletzungen zu unterscheiden; bei meldepflichtigen Datenschutzverletzungen sollte die Meldung an die Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden erfolgen. Eine Datenschutzverletzung sollte gemeldet werden, wenn der Verantwortliche der Ansicht ist, dass sie wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen kann.
Die konkreten Umstände des Einzelfalls sollten dabei immer berücksichtigt werden. Generelle Regelungen oder Prinzipien sollten nicht losgelöst von den speziellen Umständen des Einzelfalls angewendet werden. Stattdessen erfordert eine angemessene Beurteilung eine sorgfältige Berücksichtigung der konkreten Fakten und Gegebenheiten, um zu einem adäquaten Ergebnis zu gelangen. Im Zweifelsfall ist eine Meldung immer ratsam.
Die hohe Bußgeldpraxis der Datenschutzbehörde betont die Bedeutung einer präzisen Risikoanalyse und verdeutlicht, dass die Unterlassung einer Meldung als schwerwiegender Verstoß angesehen wird.
Tipp: Lesen Sie unseren ausführlichen Ratgeber dazu, wie Sie richtig mit Datenschutz-Notfällen umgehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!