GPDP verhängt 1.650.000 Euro Bußgeld gegen Crèdit Agricole Italia S.p.a.
Italien: Die italienische Datenschutzbehörde nahm Ermittlungen gegen die Bank Crèdit Agricole Italia S.p.a. sowie gegen ihre Tochter Crèdit Agricole FriulAdria S.p.a. auf, nachdem diese ihr am 9. Oktober 2019 nach. Art. 33 DSGVO eine Datenpanne gemeldet hatten. Zwischen dem 1. und dem 6. Oktober 2019 waren Kontoauszüge von Kunden der beiden Banken an die falschen Empfänger via zertifizierter E-Mail (Posta elettronica certificata, PEC), einem elektronischen Pendant zum klassischen Einschreiben, vom zur Unternehmensgruppe gehörenden Konsortium Crédit Agricole Group Solutions S.C.p.A. versandt worden. Dadurch wurden neben den Namen, Adressen und IBANs auch die von den Betroffenen vermerkten Überweisungszwecke gegenüber unautorisierten Dritten offengelegt. 310 Kunden waren insgesamt vom Vorfall betroffen (303 Kunden des Bußgeldempfängers sowie 7 Kunden von Crèdit Agricole FriulAdria S.p.a.).
Nach Angaben des Bußgeldempfängers war eine Fehlfunktion der Software, die vom zuständigen Konsortium zum Versand von PEC verwendet wird, für die Panne verantwortlich. Aufgrund einer spezifischen Anfrage eines Dienstleisters war es erforderlich, Änderungen an der Software vorzunehmen. In der Umsetzung hatte dies Störungen verursacht, weil das Konsortium die Änderungen angewandt hatte, ohne sie zuvor gem. den unternehmenseigenen Vorgaben ordnungsgemäß zu testen.
Obwohl sich der technische Defekt nicht aufseiten von Crèdit Agricole Italia S.p.a. ereignet hatte, stellte die Datenschutzbehörde fest, dass die Datenpanne auch deshalb möglich wurde, weil der Bußgeldempfänger seinen Pflichten als Verantwortlicher nicht nachgekommen war. Die Bank hatte keine technischen und organisatorischen Maßnahmen implementiert, welche ein dem Risiko für die Betroffenen angemessenes Schutzniveau sicherstellten. In diesem Zusammenhang erkannte de Behörde auch ein Versäumnis, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu gewährleisten, sowie einen Verstoß gegen das Prinzip der Integrität und Vertraulichkeit.
Im selben Bußgeldverfahren wurde gegen Crèdit Agricole FriulAdria S.p.a. ein Bußgeld in Höhe von 315.023 EUR verhängt. .
Veröffentlicht am: 05-07-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.