Finanzdienstleister wie gewerbliche Vermögensberater oder Wertpapiervermittler gelten nach Einschätzung des Fachverbands in der Regel als Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO). Sie müssen sämtliche datenschutzrechtlichen Pflichten erfüllen und bei Schäden mit Strafen rechnen. Im November haben europäische Datenschutzbehörden hohe Bußgelder verhängt, über die das österreichische Consultingunternehmen MeinBerater informiert.

In einem Fall hat die schwedische Behörde einen Fondsberater mit knapp 43.000 Euro bestraft, der in einem E-Mail-Anhang aus Versehen Namen, E-Mail-Adressen und Sozialversicherungsnummern von 52.000 Personen an 2.800 Kunden verschickte. Die Argumentation, es sei ein Mitarbeiter-Fauxpas gewesen, half nicht, wie es in einer Aussendung von MeinBerater heißt.

Weitere Skandale
Ein weiterer Skandal betraf das rumänische Unternehmen Rompetrol Downstream SRL, das zur Zahlung von 110.000 Euro verurteilt wurde, weil Mitarbeiter aufgrund schlampiger interner Vorkehrungen Kundendaten durchwühlen konnten. Es kam zu Datenmissbrauch – teils wurden Kredite abgeschlossen. Noch höher, nämlich mit 800.000 Euro, wurde in Spanien die Banco Bilbao Vizcaya Argentaria sanktioniert, die nicht adäquat auf die den Verlust der Bankkarte einer Kundin reagierte, worauf Dritte auf deren Finanzen zugreifen konnten.

Aus den Vorfällen leitet man bei MeinBerater mehrere Tipps ab. Zugriffsberechtigungen müssten eingeschränkt werden. Zusätzlich sollten Excel-Listen mit personenbezogenen Daten ausschließlich passwortgeschützt verschickt werden. Außerdem müsse die Berechtigung zum Versenden von Massenmails deaktiviert werden, heißt es.

Identitätsfeststellungen streng handhaben
Zugriffsberechtigungen von Mitarbeitenden müssten nach dem "Need to know"-Prinzip erteilt werden, gleichzeitig wird eine Mitarbeiterkontrolle empfohlen. Besondere Aufmerksamkeit gelte den Identitätsfeststellungen. Diese "gehören zu den organisatorischen Sicherheitsmaßnahmen, die sehr streng ausgelegt und gelebt werden müssen", heißt es. (eml)