Datenschutzverletzung deckt strukturelle Schwächen im Sicherheitskonzept auf

Die italienische Datenschutzaufsichtsbehörde Garante per la protezione dei dati personali (GPDP) hat laut Pressemitteilung vom 30. März 2026 ein Bußgeld in Höhe von 31,8 Mio. € gegen die Intesa Sanpaolo S.p.A. verhängt. Das Unternehmen gehört zu den größten Bankengruppen Europas.

Die Behörde deckte gravierende Sicherheitsdefizite im Umgang mit personenbezogenen Daten auf, die auf unzureichend ausgestaltete technische und organisatorische Maßnahmen zurückzuführen waren. Ausgangspunkt der Untersuchung war eine Datenpanne, die die Bank im Juli 2024 meldete.

gdprworkcontract 31,8 Mio. € Bußgeld wegen unbefugter Datenzugriffe durch Mitarbeiter Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Unbefugte Mitarbeiterzugriffe über mehr als zwei Jahre

Nach Feststellungen der Aufsichtsbehörde hatte ein Mitarbeiter über mehr als zwei Jahre – vom 21. Februar 2022 bis zum 24. April 2024 – insgesamt mehr als 6.600 Mal auf Kundendaten zugegriffen, ohne dass dies für seine Arbeit erforderlich war.

Betroffen waren 3.573 Kunden, darunter auch Hochrisikokunden, wie Personen in öffentlichen Ämtern, für die besondere Schutzanforderungen gelten.

Die Zugriffe blieben trotz der internen Kontrollsysteme der Bank über den gesamten Zeitraum unerkannt, sodass das Verhalten über mehr als zwei Jahre unbemerkt blieb.

Schwächen im Berechtigungs- und Kontrollkonzept sowie im Umgang mit dem Datenschutzvorfall

Die Datenschutzbehörde bemängelte vor allem das zugrunde liegende Berechtigungsmodell. Mitarbeitende konnten weitgehend auf den gesamten Kundenstamm zugreifen, unabhängig davon, ob das für ihre Aufgabe notwendig war. Zudem fehlten wirksame Kontrollen der Datenzugriffe.

Neben den strukturellen Defiziten bei den technischen und organisatorischen Maßnahmen beanstandete die Behörde auch den Umgang mit der Datenschutzvorfall selbst. Nicht nur erfolgte die Meldung an die Aufsichtsbehörde verspätet und unvollständig, auch die Benachrichtigung der betroffenen Personen erfolgte erst nach einer entsprechenden Anordnung der Aufsichtsbehörde.

Bußgeldbemessung und berücksichtigte Faktoren

Bei der Bemessung der Geldbuße berücksichtigte die Aufsichtsbehörde insbesondere die Schwere und Dauer der Verstöße und die hohe Anzahl betroffener Kunden.

Die verspätete und unvollständige Meldung an die Behörde und die verzögerte Benachrichtigung der Betroffenen wurden dabei bußgelderhöhend gewertet.

Mildernd berücksichtigt wurden die nachträglich ergriffenen Maßnahmen zur Verbesserung der Sicherheits- und Kontrollsysteme.

Was das Bußgeld für die Praxis bedeutet

Für die Aufsichtsbehörde ist entscheidend, ob ein Vorfall durch geeignete technische und organisatorische Maßnahmen hätte verhindert oder zumindest rechtzeitig erkannt und begrenzt werden können. Das Bußgeld zeigt, dass strukturelle Defizite bei der Umsetzung datenschutzrechtlicher Anforderungen zunehmend konsequent ahnden werden, insbesondere vor dem Hintergrund, dass die DSGVO bereits seit 2018 gilt und ausreichend Zeit zur Umsetzung bestand.

In der Praxis zeigen sich immer wieder dieselben Schwachstellen: Zugriffsrechte werden beim Eintritt vergeben, später nicht mehr überprüft und sind häufig zu weit gefasst, sodass Mitarbeitende auf Daten zugreifen können, die sie nicht oder nicht mehr benötigen. Auffällige Zugriffsmuster bleiben unentdeckt, obwohl entsprechende Kontrollen technisch möglich wären. Zudem werden Datenschutzverletzungen oft zu spät gemeldet, etwa weil Meldeprozesse unklar sind, Zuständigkeiten fehlen und relevante Informationen zum Vorfall nur verzögert zusammengetragen werden.

Mit den folgenden Maßnahmen lassen sich diese Risiken wirksam reduzieren:

Praxis-Tipps:

  • Zugriffsrechte überprüfen
    • Stellen Sie sicher, dass Mitarbeitende nur auf die Daten zugreifen können, die sie für ihre Aufgabe tatsächlich benötigen. Pauschale oder zu weit gefasste Zugriffsrechte sollten durch klar definierte Rollen und Zuständigkeiten ersetzt werden.
  • Zugriffe dokumentieren und auswerten
    • Stellen Sie sicher, dass sämtliche Datenzugriffe nachvollziehbar protokolliert und regelmäßig ausgewertet werden. Auffällige Zugriffsmuster, etwa ungewöhnlich häufige oder sachlich nicht erklärbare Abfragen, sollten automatisiert erkannt und überprüft werden können.
  • Sensible Daten besonders schützen
    • Für bestimmte Kundengruppen oder besonders schutzbedürftige Daten sollten strengere Zugangsbeschränkungen gelten, etwa eine Freigabe durch eine zweite Person.
  • Prozesse für Datenschutzvorfälle festlegen
    • Richten Sie klare Prozesse für den Umgang mit Datenschutzverletzungen ein und stellen Sie sicher, dass Meldungen an Behörden und Betroffene vollständig und fristgerecht erfolgen. Verzögerungen oder unvollständige Meldungen werden von Aufsichtsbehörden regelmäßig als eigenständiger Verstoß gewertet und können das Bußgeld erheblich erhöhen.
  • Zugriffsrechte regelmäßig überprüfen und entziehen
    • Überprüfen Sie mindestens einmal jährlich, ob bestehende Berechtigungen noch erforderlich sind. Bei Stellenwechseln oder Austritten sollte das unmittelbar erfolgen.
  • Mitarbeitende schulen
    • Schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit personenbezogenen Daten. Mitarbeitende müssen wissen, dass ein Zugriff auf Kundendaten nur dann zulässig ist, wenn er für die Wahrnehmung einer Aufgabe notwendig ist.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt