Datenschutzvorfall: Indiskreter Umgang mit Kundeninformationen
Im Frühjahr 2024 sorgte ein Vorfall in einer Sparkasse für Aufsehen, als Kundeninformationen versehentlich öffentlich preisgegeben wurden. Dieser am 04.09.2024 in einem Pressegespräch vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) dargelegte Vorfall zeigt auf eindrückliche Weise die Notwendigkeit strikter Vertraulichkeitsmaßnahmen im Umgang mit personenbezogenen Daten. Der folgende Beitrag beleuchtet die Details des Vorfalls, die rechtliche Einordnung und wie ein diskreter Umgang mit Kundeninformationen in öffentlichen Filialen ermöglicht werden kann.
Der Vorfall in der Sparkasse
Im März 2024 erhielt der LfDI RLP eine Beschwerde über einen indiskreten Umgang mit Kundeninformationen im öffentlichen Schalterraum einer Sparkasse, so das Handout zum Pressegespräch. Die betroffene Kundin hatte mit einer Mitarbeiterin der Sparkasse in einem längeren Telefonat über private Themen wie Vermögenswerte, einen geplanten Wohnortwechsel und den Gesundheitszustand naher Angehöriger besprochen. Die Mitarbeiterin wiederholte die wesentlichen Inhalte der Konversation im Rahmen des „aktiven Zuhörens“ laut. Da das Gespräch, ohne Kenntnis der Kundin, in einer offenen Umgebung in der Schalterhalle stattfand, konnten andere anwesende Kunden, darunter eine Person aus dem Bekanntenkreis der Kundin, unfreiwillig über deren private Angelegenheiten Kenntnis erlangen. Die bekannte Person berichtete der Kundin über diese Indiskretion. Diese reichte im Anschluss beim LfDI RLP Beschwerde ein.
Verstoß gegen die DSGVO
Im Verhalten der Bankmitarbeiterin liegt ein Verstoß gegen die Grundsätze der Datenschutzgrundverordnung (DSGVO).
Zum einen liegt in dem lauten Wiederholen der Daten ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung aus Art. 5 Abs. 1 lit. f DSGVO. Hiernach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. Dies umfasst den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, etwa durch einen der anderen anwesenden Kunden.
Daneben könnte auch ein Verstoß gegen die nach Art. 32 DSGVO erforderliche Gewährleistung der Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen (TOM) vorliegen. Laut dem LfDI RLP handelte es sich jedoch vorliegend „um ein individuelles Fehlverhalten“ der Bankmitarbeiterin. Da anscheinend „keine strukturellen Defizite zu erkennen waren“, ist unklar, ob hier auch eine Verletzung der Pflicht zum Treffen angemessener TOM vorliegt.
Maßnahmen der Sparkasse
Die Sparkasse erkannte den Vorfall als Datenschutzverletzung und meldete deshalb den Fall nach Kenntniserlangung gemäß Art. 33 DSGVO fristgerecht an den LfDI RLP als zuständige Aufsichtsbehörde. Die Sparkasse habe erklärt, dass zukünftig derartige Gespräche nur noch in gesonderten Räumen geführt würden. Zudem seien die Mitarbeiter nun sensibilisiert und die internen Dienstanweisungen angepasst worden.
Datenschutzkonforme Organisation in öffentlichen Räumen
Filialen und Niederlassungen, die vor Ort Kundeninformationen verarbeiten, sollten unbedingt sicherstellen, dass in öffentlichen Räumen strenge Vorgaben im Umgang mit personenbezogenen Daten eingehalten werden. Dafür sollten interne Prozesse und Dienstanweisungen eingeführt und kontinuierlich überprüft werden. In diesem Zusammenhang sollten regelmäßig Mitarbeiter geschult werden, um Datenschutzverletzungen vorzubeugen. Besondere Aufmerksamkeit sollte dabei auf die Vertraulichkeit im Kundenkontakt gelegt werden. Dazu gehört, dass Gespräche, die sensible Informationen betreffen, nur in geschützten Räumen geführt werden. Ein lautes Wiederholen personenbezogener Daten sollte grundsätzlich unabhängig vom Aufenthaltsort, wenn möglich, vermieden werden.
Fazit
Der Vorfall sollte als Weckruf für alle Banken, Finanzdienstleister und sonstige öffentlichen Filialen und Niederlassungen dienen, die vor Ort Kundeninformationen verarbeiten. Der Vorfall in der Sparkasse zeigt auf, wie schnell es zu einer Datenschutzverletzung kommen kann, wenn Vertraulichkeitsmaßnahmen nicht konsequent umgesetzt werden. Bei der Umsetzung und Einhaltung der verschiedenen datenschutzrechtlichen Vorgaben helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.