Nicht protokollierte Zugriffe auf Bankkonten
Die Aufsichtsbehörde die Beschwerde eines Bankkunden, der den begründeten Verdacht hatte, dass eine Mitarbeiterin der Bank unbefugt Zugriff auf Inhalte seines Bankkontos genommen hatte. Die Reaktion der Bank auf die Bitte des Kunden um Nachforschung blieb sehr vage und unbestimmt.
Ähnlich erging es der Behörde um Stellungnahmen. In mehreren Schreiben hat das Kreditinstitut es vermieden, konkrete Fragen zu beantworten. Statt einer klaren Aussage, ob und ggf. wer auf die Kontobewegungen des Kunden im fraglichen Zeitraum zugegriffen hatte, wurde allgemein von dem hohen Sicherheitsbewusstsein der Bank und umfangreichen Maßnahmen zur IT-Sicherheit gesprochen. Erst allmählich wurden die Aussagen ein wenig konkreter. So verstieg sich das Kreditinstitut schließlich zu der Aussage, dass im fraglichen Zeitraum keine Zugriffe, abgesehen von „technischen“ Zugriffen, auf das betreffende Konto festgestellt werden konnten. Was mit technischen Zugriffen gemeint sei, wurde natürlich hinterfragt. Es handele sich um die notwendigen algorithmischen Zugriffe, um bspw. Transaktionen auszulösen, teilte man uns mit. Im letzten Antwortschreiben musste das Unternehmen dann zugeben, dass Zugriffe von Mitarbeitenden auf Konto- und Transaktionsdaten überhaupt nicht protokolliert werden.
An diesem Punkt wurde eine Prüfung des Unternehmens durchgeführt. Bei dieser stellte sich Folgendes heraus: Ein erheblicher Anteil der Mitarbeitenden in höheren Positionen, aber auch der im Kund*innen-Service Beschäftigten, hatten Zugriff auf die Kontostammdaten und die Transaktionsdaten der jeweiligen Konten. Dies ist grundsätzlich nicht unzulässig, wenn die betreffenden Mitarbeitenden die Zugriffsrechte benötigen, um ihre tägliche Arbeit zu erledigen. Im Service ist dies verständlich, wenn Kund*innen bspw. Fragen zu bestimmten Buchungen haben.
Die Daten, auf die zugegriffen werden kann, sind durchaus sensitiv. Anhand der Kontobewegungen kann mittlerweile – insbesondere aufgrund des immer umfangreicheren Einsatzes bargeldloser Zahlungsmittel – ein erheblicher Teil der privaten Lebensführung nachvollzogen werden. Auch nach Art. 9 Datenschutz-Grundverordnung (DSGVO) besonders zu schützende Daten, wie z. B. Parteimitgliedschaften oder Gewerkschaftszugehörigkeit, wären so leicht ermittelbar.
Um missbräuchliche Datenzugriffe zu vermeiden, ist eine Reihe von Maßnahmen zu ergreifen. Dazu gehört selbstverständlich, dass die Anzahl der Zugriffsberechtigten auf ein Minimum zu reduzieren ist und die betreffenden Mitarbeitenden auf Wahrung des Datengeheimnisses zu verpflichten sind. Diese Verpflichtung hatte das Unternehmen allerdings seinen Mitarbeitenden schon vor unserer Prüfung auferlegt. Neben weiteren denkbaren technischen Maßnahmen zur Zugriffsbeschränkung sind zudem eine Protokollierung derartiger Zugriffe und eine regelmäßige, zumindest stichprobenartige Überprüfung der aufgezeichneten Protokolldaten in einem festgelegten, datenschutzkonformen Verfahren zwingend erforderlich.
Diese Einsicht setzte sich auch während der Prüfung bei den Unternehmensvertreter*innen nur langsam durch. Mittlerweile hat das Kreditinstitut die notwendige Protokollierung von Zugriffen auf Konto- und Transaktionsdaten durch Mitarbeitende umgesetzt. Derzeit prüft die Sanktionsstelle der Behörde, ob und, wenn ja, welche Sanktionen für die jahrelange Missachtung datenschutzrechtlicher Grundprinzipien zu verhängen sind.
Verantwortliche haben die Zugänglichkeit von personenbezogenen Daten auf das für den Regelfall notwendige Mindestmaß zu beschränken. Wer einer großen Zahl von Beschäftigten den Zugriff auf personenbezogene Daten eröffnet, muss die Feststellung unbefugter Zugriffe über eine Zugriffsprotokollierung ermöglichen. Dem Beschwerdeführer konnten wir zwar leider nicht mit einem Nachweis seines Verdachts weiterhelfen, und auch die etwaige missbräuchliche Nutzung von Zugriffsrechten konnte mangels Beweisen nicht verfolgt werden. Aber wir konnten dafür sorgen, dass das Datenschutzbewusstsein gestiegen und die technischen und organisatorischen Prozesse des Kreditinstituts nun zumindest in diesem Punkt datenschutzkonform umgestaltet wurden, um derartige Fälle künftig so weit wie möglich zu verhindern.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks