Datatilsynet verhängt 39.297 Euro Bußgeld gegen BRAbank ASA

Norwegen: Die norwegische Datenschutzbehörde nahm Ermittlungen gegen das Finanzinstitut auf, nachdem ihr die BRAbank ASA (zum damaligen Zeitpunkt: Easybank ASA) am 6. September 2019 eine Datenpanne gemäß Art. 33 DSGVO gemeldet hatte. Auf der Website der Bank konnten mehrere Kunden im Abschnitt „Meine Seite“ („Min Side“) nach erfolgtem Login die Daten anderer Kunden einsehen. Der Abschnitt war kurz zuvor für 500 ausgewählte Kunden freigeschaltet worden und sollte unter anderem einen Überblick über bei der Bank aufgenommene Kredite ermöglichen.
Die Untersuchungen der Datenschutzbehörde ergaben, dass die BRAbank vor der Implementierung der neuen Website-Funktion keine entsprechende Analyse des dadurch für die Betroffenen ggf. entstehenden Risikos durchgeführt hatte. Außerdem hatte der Bußgeldempfänger keine adäquaten technischen Maßnahmen implementiert, um die Sicherheit der über die Seite erfolgenden Datenverarbeitung zu gewährleisten. So war die neue Funktion vor ihrer Freischaltung bspw. nur unzureichend getestet worden. Mangels Prüfung der Berechtigungen eingeloggter Kunden konnten daher auch Daten anderer Kunden eingesehen werden.
Dies wertete die Datenschutzbehörde als eine Verletzung der Pflicht des Bußgeldempfängers, technische und organisatorische Maßnahmen zu implementieren, welche ein dem Risiko für die Betroffenen angemessenes Schutzniveau gewährleisten. Die Behörde betonte, dass die Datenpanne hätte verhindert werden können, wenn die BRAbank ihren datenschutzrechtlichen Pflichten nachgekommen wäre. .

Veröffentlicht am: 11-06-2021

Quelle von dsgvo-portal.de