Die polnische Datenschutzbehörde (UODO) hat der Bank Millenium S.A. eine Geldstrafe in Höhe von 80.000 EUR auferlegt, nachdem im Zuge von Ermittlungen nach einer eingegangenen Beschwerde eines Betroffenen festgestellt wurde, dass sie ihren Meldepflichten gemäß Art. 33 und Art. 34 DSGVO im Falle eines Datenschutzverstoßes nicht nachgekommen war.
Konkret ging es um den Verlust von Dokumenten durch ein Kurierunternehmen. Diese Dokumente enthielten u.a. Name, Vorname, persönliche Identifikationsnummer, Adresse und Kontonummer von Kunden der Bank.
Zwar hatte die Bank die Betroffenen über diesen Vorfall informiert, diese Information war jedoch nicht ausreichend. So war die Bank der Ansicht, die Verletzung des Schutzes der personenbezogenen Daten habe für die Betroffenen nur ein mittelgroßes Risiko und meldete den Vorfall daher nicht an die Aufsichtsbehörden und erfüllte auch nicht alle Anforderungen hinsichtlich der Mitteilung an die betroffenen Personen.
Ursächlich für die Höhe des Bußgeldes war laut Aufsichtsbehörde u.a. die Tatsache, dass die Bank auch während des laufenden Verfahrens ihren Verpflichtungen nicht nachgekommen war, nur ungenügend mit der Aufsichtsbehörde zusammengearbeitet hatte sowie die vorsätzliche Begehung und die Art und Schwere der Verletzung des Schutzes personenbezogener Daten.
Unsere Einschätzung:
Mal wieder wird deutlich, wie wichtig es ist, im Falle eines Datenschutzverstoßes gewissenhaft und gründlich zu prüfen und diesen nicht auf die leichte Schulter zu nehmen. Kommt es doch zu einem Verfahren, sollte kooperativ und einsichtig mit der zuständigen Aufsichtsbehörde zusammengearbeitet werden.
(UNVERZAGT Rechtsanwälte)