400.000 Euro Strafe wegen verlorener Kundendokumente und fehlendem Frühwarnsystem
Die spanische Datenschutzbehörde AEPD (Agencia Española de Protección de Datos) hat gegen ING Bank N.V., Sucursal en España ein Bußgeld in Höhe von 500.000 Euro verhängt. ING zahlte freiwillig und nutzte eine gesetzlich vorgesehene Reduktion von 20 Prozent. Tatsächlich gezahlt wurden damit 400.000 Euro. Grundlage ist ein Verstoß gegen Art. 32 DS-GVO, der technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung vorschreibt. Der Fall zeigt, was passiert, wenn ein Verantwortlicher seine Auftragsverarbeiter nicht wirklich kontrolliert.
Verloren im Kuriernetz: Wie die Datenpanne entstand
Im Januar 2023 wollte eine ING-Kundin als neue Mitinhaberin in das Konto ihres Partners eingetragen werden. Da der digitale Weg nicht funktionierte, empfahl ING den physischen Postweg: Die Kundin sollte ein Formular ausfüllen, eine Kopie ihres Personalausweises beifügen und den Umschlag von einem Kurierdienst abholen lassen. ING gab dafür einen eigenen Kurierservice vor, dessen Etikett die Kundin per E-Mail erhielt.
Am 26. Januar 2023 holte ein Mitarbeiter des Unternehmens AUTORADIO – ein Subunternehmer des von ING beauftragten Kurierdienstes DYNAMIC Express Courier – die Sendung am Wohnort der Kundin ab. Was danach passierte, ist bis heute ungeklärt: Die Dokumente kamen nie bei ING an. Die Sendung enthielt Name, Vorname, Personalausweisnummer, eine vollständige Kopie des Personalausweises, Geburtsdatum, Staatsangehörigkeit, steuerliches Wohnsitzland, E-Mail-Adresse, Mobiltelefonnummer, Berufsangaben, Anschrift und Unterschrift der Kundin sowie Namen, Personalausweisnummer, Kontonummer und Unterschrift ihres Partners.
Die Kundin meldete das Verschwinden mehrfach – am 2., 6., 10. und 13. Februar 2023 – bei ING. Eine Incidence wurde intern erst am 6. Februar angelegt, obwohl im Systemprotokoll bereits der Name des Kuriers, die Abhol-Referenznummer und der Name des Zustellers standen. ING wandte sich daraufhin zunächst an seinen Hauptkurierdienstleister – nicht an DYNAMIC, der die Sendung tatsächlich abgeholt hatte. Das war ein folgenreicher Fehler: Erst am 1. September 2023, nach Einschaltung der AEPD, kontaktierte ING DYNAMIC direkt. Zu diesem Zeitpunkt war der Vertrag mit DYNAMIC bereits seit dem 28. Februar 2023 beendet. DYNAMIC bestätigte daraufhin, dass die Dokumente verloren gegangen waren – nach eigener Einschätzung durch einen menschlichen Einzelfehler.
ING hatte keine Strafmaßnahmen gegen DYNAMIC ergriffen, obwohl der Vertrag Penalitäten bei Pflichtverstößen vorsah und der Verlust während der Vertragslaufzeit stattgefunden hatte.
Warum die AEPD einen Verstoß gegen Art. 32 DS-GVO festgestellt hat
Die AEPD hat klargestellt, dass nicht allein der Verlust der Dokumente der entscheidende Verstoß war. Ausschlaggebend war vielmehr, dass ING während der gesamten Vertragslaufzeit mit DYNAMIC keine geeigneten Maßnahmen implementiert hatte, um Datenpannen frühzeitig zu erkennen und einzudämmen. Die Behörde benannte konkret folgende Defizite:
Keine Sendungsverfolgung: Der Vertrag zwischen ING und DYNAMIC enthielt im Sicherheitsanhang (Anexo IV) keine einzige Maßnahme zur Sendungsverfolgung. ING konnte zu keinem Zeitpunkt nachverfolgen, wo sich eine abgeholte Sendung befand oder welcher Subunternehmer konkret für eine bestimmte Region oder Abholdatum zuständig war.
Kein Frühwarnsystem: ING hatte vereinbart, dass DYNAMIC Sendungen innerhalb von 24 Stunden zustellen muss. Als die Frist überschritten wurde, schlug kein System Alarm. ING erfuhr von der Datenpanne ausschließlich durch die betroffene Kundin selbst.
Kein vollständiger Überblick über Subunternehmer: ING wusste nicht, welcher konkrete Dienstleister die Abholung an einem bestimmten Tag in einer bestimmten Region tatsächlich durchgeführt hatte. Das führte dazu, dass ING monatelang beim falschen Unternehmen anfragte und DYNAMIC erst nach Einschaltung der Datenschutzbehörde kontaktierte.
Kein Reaktionsprotokoll: Die internen Kommentare im Vorfalldokument zeigen, dass ING bereits am 9. und 16. Februar intern festhielt, der Kundin solle mitgeteilt werden, die Unterlagen erneut einzusenden. Ob ein Datenschutzvorfall vorlag, wurde intern zu keinem Zeitpunkt geprüft.
Die AEPD betonte ausdrücklich: Art. 32 DS-GVO verlangt nicht nur die formale Vereinbarung von Sicherheitsmaßnahmen mit Auftragsverarbeitern, sondern deren tatsächliche Umsetzung und laufende Überprüfung. Maßnahmen auf dem Papier, die im Ernstfall nicht greifen, erfüllen die Anforderung nicht. Die Behörde verwies dabei auf aktuelle Urteile des Europäischen Gerichtshofs (EuGH, C-340/21, Dezember 2023) und des spanischen Tribunal Supremo (STS 188/2022), die denselben Maßstab anlegen.
ING hatte unter anderem argumentiert, der Vorfall betreffe statistisch nur 0,0029 Prozent aller Abholvorgänge. Die AEPD ließ das nicht gelten: Die fehlenden Maßnahmen hätten während der gesamten Vertragslaufzeit für alle Kunden gegolten, die diesen Weg nutzten.
Bußgeldhöhe und Zustimmung von ING
Die AEPD setzte das Bußgeld auf 500.000 Euro fest. Dabei berücksichtigte sie als erschwerend, dass ING als Bank routinemäßig große Mengen personenbezogener Daten verarbeitet und der Vorfall in unmittelbarem Zusammenhang mit dieser Kerntätigkeit stand. Mildernd wirkte die kurze Vertragsdauer von weniger als sechs Monaten. ING zahlte freiwillig ohne Anerkennung einer Schuld und nutzte damit die gesetzlich vorgesehene Reduktion um 20 Prozent. Der tatsächlich gezahlte Betrag beläuft sich auf 400.000 Euro. Das Verfahren ist damit abgeschlossen.
Unsere Empfehlungen
Unternehmen und KMU
Wer Kunden- oder Antragsdokumente per Kurierdienst einsammeln lässt, muss sicherstellen, dass jederzeit nachvollziehbar ist, welcher Dienstleister eine Sendung wann und wo abgeholt hat. Ein Sendungsverfolgungssystem, das bei Überschreitung der vereinbarten Zustellfrist automatisch einen internen Alarm auslöst, ist keine Kür, sondern Pflicht. Verträge mit Auftragsverarbeitern müssen konkrete Sicherheitsziele für den physischen Dokumententransport enthalten, nicht nur allgemeine Klauseln zu IT-Sicherheit. Außerdem sollte immer klar sein, welche Subunternehmer des Auftragsverarbeiters tatsächlich tätig werden dürfen und für welche Region oder welchen Zeitraum.
Behörden und öffentliche Stellen
Auch Behörden, die Bürger auffordern, Originalunterlagen oder Ausweiskopien einzusenden oder per Bote zustellen zu lassen, tragen die volle Verantwortung für die Sicherheit dieses Übertragungsweges. Das gilt auch dann, wenn ein beauftragtes Logistikunternehmen tätig wird. Behörden sollten prüfen, ob digitale Einreichungswege technisch und rechtlich möglich sind, um physische Datentransporte auf ein Minimum zu reduzieren. Ist ein physischer Weg unvermeidbar, sind Empfangsbestätigungen und Sendungsverfolgung verbindlich zu vereinbaren.
Gesundheitseinrichtungen
Krankenhäuser, Praxen und Pflegeeinrichtungen, die Patientenakten, Befunde oder Abrechnungsunterlagen per Kurier oder Boten versenden, sollten die Vertragskette genau kennen: Wer holt ab, wer liefert aus, welche Subunternehmer sind beteiligt? Datenschutz-Folgenabschätzungen für physische Dokumententransporte sollten konkrete Trazabilitätsmaßnahmen enthalten, und interne Prozesse müssen sicherstellen, dass ein nicht eingetroffenes Dokument unverzüglich als mögliche Datenpanne behandelt wird.
Kanzleien und Freiberufler
Rechtsanwälte, Steuerberater und Notare, die Mandantenunterlagen physisch übermitteln oder entgegennehmen, sind ebenfalls in der Pflicht. Auch hier gilt: Der physische Versandweg ist ein Datenverarbeitungsvorgang. Auftragsverarbeitungsverträge mit Kurierdiensten müssen existieren und konkrete Maßnahmen zur Sendungsverfolgung und Vorfallmeldung enthalten. Ein standardisiertes Protokoll für den Fall, dass eine Sendung nicht ankommt, sollte in jedem Büro vorhanden sein.
Quelle: Agencia Española de Protección de Datos (AEPD), Resolución EXP202500113 vom Oktober 2025
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks