Bei der Berliner Smartphone-Bank N26 kam es vergangenen Herbst zu einer Datenpanne, wie das Wirtschaftsmagazin "Capital" in seiner neuesten Ausgabe berichtet. Mitarbeiter der Bank sollen Zugriff auf die Konten von Kunden gehabt haben und neben persönlichen Daten auch alle Kontobewegungen gesehen haben können. Eine "herbe Verletzung elementarer datenschutzrechtlicher Vorgaben", zitiert das Magazin den Datenschutzexperten und IT-Anwalt Peter Hense.

Weil einige Mitarbeiter der Bank ihr Konto im eigenen Haus haben, konnten Kollegen offenbar zum Beispiel die Höhe ihres Gehalts einsehen. Andere fürchteten, dass über die Konten bekannt würde, dass sie Gewerkschaftsmitglieder sind, schreibt "Capital".

Keine Meldung trotz strenger Vorschriften
N26 nehme es sehr ernst, dass der Zugang zu Kundendaten stark reglementiert sei, sagte ein Sprecher des Unternehmens dem Wirtschaftsmagazin. Daher hätten nur Mitarbeiter mit einer entsprechend hohen Sicherheitsstufe Datenzugang. Ein entsprechender Verstoß könne die sofortige Entlassung des jeweiligen Mitarbeiters zur Folge haben.

Gleichwohl sollen "Capital" zufolge nach der Meldung durch Mitarbeiter zwei Wochen vergangen sein, bevor N26 eine Lösung für das Problem fand. Das sei ein Verstoß gegen die europäische Datenschutzgrundverordnung. Sie verpflichte Unternehmen dazu, nicht nur die Betroffenen darüber zu informieren, dass der Schutz ihrer personenbezogenen Daten verletzt wurde. Vielmehr hätte auch die Berliner Datenschutzbeauftragte binnen 72 Stunden und unter Umständen auch die Bafin informiert werden müssen, was aber nach "Capital"-Informationen nicht geschehen sei.

N26 relativiert den Vorfall
N26 bemüht sich um Relativierung. Auf Anfrage von FONDS professionell ONLINE teilt das Unternehmen mit, dass Kundendaten zu keiner Zeit die internen N26-Systeme verlassen hätten: "Keine Personen außerhalb von N26 hatten Zugriff. Alle unsere Mitarbeiter, die Zugang zu sensiblen Kundendaten haben, arbeiten unter strengen Sicherheits- und Datenschutz-Protokollen und -Vorschriften", teilt das Unternehmen in einer Stellungnahme mit. Es habe darüber hinaus zu keiner Zeit ein so hohes Risiko für Kunden von N26 bestanden, dass eine Meldepflicht gegenüber der Aufsichtsbehörde oder eine Benachrichtigungspflicht gegenüber betroffenen Personen bestanden hätte

Vor einem Jahr musste N26 wegen Verstoßes gegen die Datenschutzgrundverordnung bereits ein Bußgeld über 50.000 Euro berappen. Die Bank habe personenbezogene Daten ehemaliger Kunden in einer "schwarzen Liste" gespeichert, lautete der Vorwurf. Die beanstandete Praxis sei kurz darauf umgestellt worden, teilte das Unternehmen damals mit. (tw)