DatenschutzSchwachstellen

Italienische Behörde verhängt Millionenbuße gegen Intesa Sanpaolo wegen Datenschutzmängel

Italienische Behörde verhängt Millionenbuße gegen Intesa Sanpaolo wegen Datenschutzmängel
Zusammenfassung

Die italienische Datenschutzbehörde hat das Finanzinstitut Intesa Sanpaolo SpA mit einer Geldbuße von 31,8 Millionen Euro belegt – ein bedeutsamer Fall von Datenschutzverletzungen, der erhebliche Sicherheitsmängel bei einem der größten Kreditinstitute des Landes aufdeckt. Ein Mitarbeiter der Bank hatte zwischen Februar 2022 und April 2024 die Bankdaten von über 3.500 Kunden ohne triftigen Grund unrechtmäßig aufgerufen, ohne dass interne Kontrollmechanismen dies erkannten. Besonders besorgniserregend ist, dass es sich bei den betroffenen Konten um sogenannte hochriskante Kunden handelte, einschließlich bekannter öffentlicher Persönlichkeiten, für die verstärkte Sicherheitsmaßnahmen hätten gelten müssen. Darüber hinaus verstieß die Bank gegen ihre Benachrichtigungspflichten gegenüber den geschädigten Kunden – Mitteilungen waren unvollständig und überschritten die gesetzlichen Fristen. Für deutsche Nutzer und Finanzinstitute ist dieser Fall ein warnendes Beispiel: Er zeigt, wie kritisch robuste interne Kontrollsysteme, angemessene Zugriffsbeschränkungen und schnelle Reaktionen auf Datenpannen sind. Deutsche Banken sollten ihre Sicherheitsarchitekturen überprüfen und sicherstellen, dass ihre Überwachungsmechanismen tatsächlich unbefugte Zugriffe erkennen und verhindern können.

Die italienische Datenschutzbehörde hat einen bedeutsamen Bescheid gegen Intesa Sanpaolo gefällt und damit erneut unterstrichen, wie ernst europäische Regulatoren Datenschutzverletzungen nehmen. Die verhängte Buße in Höhe von 31,8 Millionen Euro basiert auf einer umfassenden Untersuchung, die nach einer im Juli 2024 gemeldeten Datenpanne eingeleitet wurde.

Das zentrale Problem: Ein Angestellter der Bank konnte über mehr als zwei Jahre hinweg auf sensitive Bankdaten von 3.573 Kunden zugreifen, ohne dass dafür eine geschäftliche Notwendigkeit bestand. Noch beunruhigender ist die Tatsache, dass die internen Kontrollsysteme diese unbefugten Zugriffe nicht erkannten. Dies deutet auf gravierende Schwachstellen in den Überwachungs- und Präventionsmechanismen hin.

Die Behörde kritisierte insbesondere das Betriebsmodell von Intesa Sanpaolo, das es Operatoren ermöglichte, die gesamte Kundenbasis in einer unkontrollierten Weise abzufragen. Die Balance zwischen Funktionalität und Sicherheitskontrollen war nicht gegeben. Besonders problematisch: Die betroffenen Konten gehörten hochriskanten Kunden – einige davon prominente Persönlichkeiten des öffentlichen Lebens. Diese hätten unter verstärkten Sicherheitsmaßnahmen stehen sollen.

Neben den unbefugten Zugriffen selbst rügte die Behörde auch die mangelhafte Reaktion der Bank. Die Benachrichtigungen an betroffene Kunden waren unvollständig und kamen verspätet an – ein weiterer Verstoß gegen die geltenden Datenschutzbestimmungen.

Die Höhe der Buße wurde basierend auf mehreren Faktoren festgesetzt: der Schwere und Dauer der Verstöße, der Anzahl betroffener Kunden sowie der Maßnahmen, die Intesa Sanpaolo nach Entdeckung der Probleme ergriff.

Für deutsche Finanzinstitute sendet dieser Fall ein klares Signal: Datenschutz ist nicht optional, sondern eine rechtliche Verpflichtung, die mit massiven Geldstrafen durchgesetzt wird. Unter der DSGVO und nationalen Datenschutzgesetzen müssen Banken gewährleisten, dass der Zugriff auf Kundendaten rollengerecht beschränkt ist, dass Zugriffe protokolliert und überwacht werden, und dass verdächtige Aktivitäten automatisch erkannt werden. Der Fall Intesa Sanpaolo zeigt, dass eine Compliance nur auf dem Papier nicht ausreicht – die tatsächliche Umsetzung wird streng überprüft.

Ähnliche Artikel