Aktialle droht eine hohe Geldstrafe wegen Sicherheitsversäumnis: So reagiert Aktia

Aktia Bank wurde 2023 eine Geldstrafe von 865.000 Euro wegen Sicherheitsverletzungen auferlegt. Aufgrund der Störung konnten sich Nutzer mit Bankdaten Zugang zu Informationen anderer Kunden verschaffen. Aktia plant, gegen die Entscheidung Berufung einzulegen.

Die Datenschutzbehörde hat eine Geldstrafe von 865.000 Euro gegen eine Bank aufgrund von Sicherheitsmängeln verhängt. Diese Strafe bezieht sich auf Vorfälle, die im Jahr 2023 auftraten und bei denen persönliche Daten von Kunden aufgrund technischer Schwierigkeiten zugänglich waren. Die Bank plant, gegen diese Entscheidung Berufung einzulegen.

Details zum Sicherheitsvorfall

Im Januar 2023 gab es eine erhebliche Störung im elektronischen Identifikationssystem der Bank. Diese Störung war das Ergebnis einer technischen Änderung, die an dem Identifikationsprozess vorgenommen wurde. Während dieser Zeit hatten einige Kunden, die sich in verschiedene Online-Dienste einloggten, Zugriff auf die sensiblen Informationen anderer Kunden. Dies führte dazu, dass die Anmeldungen der Nutzer miteinander vermischt wurden, was es ermöglichte, im Namen anderer Kunden zu handeln.

Die Störung betraf den Zugang zu verschiedenen Diensten, einschließlich staatlicher Dienstleistungen, Arbeitslosenversicherungen, Versicherungsunternehmen und Gesundheitsdiensten. Es ist jedoch zu beachten, dass der Vorfall keine Auswirkungen auf den Online-Banking-Zugang hatte.

Die Datenschutzbehörde stellte fest, dass die Bank bei der Planung, Umsetzung und Testung der technischen Änderungen Mängel aufwies. Ein Vertreter der Behörde betonte die Notwendigkeit, den Sicherheitsstandards besondere Aufmerksamkeit zu schenken, insbesondere wenn große Mengen an personenbezogenen Daten verarbeitet werden und mögliche Gefahren für die betroffenen Personen bestehen.

Nach dem Vorfall hat die Bank neue Testmethoden eingeführt, um sicherzustellen, dass zukünftige Anmeldungen nicht mehr verwechselt werden. Es wurde festgestellt, dass etwa 350 Personen von der Störung betroffen waren, jedoch liegen keine Hinweise auf Missbrauch vor.

Die Geldstrafe wurde verhängt, da die Bank nicht die erforderlichen Sicherheitsvorkehrungen für den Umgang mit personenbezogenen Daten eingehalten hat. Zudem wurde eine Verwarnung wegen eines Verstoßes gegen die Datenschutzverordnung ausgesprochen. Die Entscheidungen sind vorläufig und können durch Berufung beim Verwaltungsgericht angefochten werden.

Berufung gegen die Entscheidung

Die Bank hat angekündigt, gegen die Entscheidung vorzugehen, da sie der Meinung ist, dass es fehlerhafte Auslegungen bezüglich der Datenschutztests gegeben hat, die vor dem Vorfall durchgeführt wurden. Sie hält die Geldstrafe für unangemessen. Ein Sprecher der Bank äußerte, dass es sich um einen Einzelfall handelte und dass die Reaktionen der Bank auf die Situation die Effektivität ihrer Sicherheitsmaßnahmen belegen.

Die Bank äußerte Bedauern über den Vorfall, insbesondere über den unbefugten Zugriff auf persönliche Gesundheitsdaten. Die Problematik dauerte weniger als eine Stunde, und die Bank hat seitdem ihre Prozesse zur Qualitätssicherung sowie Schulungen zum Datenschutz und zur Datensicherheit intensiviert. Man versichert, dass die Dienstleistungen auch zukünftig sicher genutzt werden können.