ExklusivDatenpanne bei Digitalbank N26

Das Unternehmen hinter der Banking-App N26 hat seinen Sitz in Berlinimago images / photothek

Beim gehypten Berliner Banken-Start-up N26 soll es im Herbst vergangenen Jahres erneut eine Datenpanne gegeben haben. Mitarbeiter der Unternehmensgruppe sollen Zugriff auf umfangreiche Kontodaten von Kunden gehabt haben – Gehaltszahlungen und Transaktionen einsehbar. Das berichtet Capital (Ausgabe 8/2020, EVT 16. Juli).

Die neue Capital erscheint am 16. Juli

Normalerweise muss jeder Blick von Bankmitarbeitern auf Kundendaten protokolliert werden, dafür gibt es genaue Vorschriften. Interne Dokumente legen nahe, dass das System bei einer Datenbank von N26 jedoch zeitweise nicht funktioniert hat. Es gab Ärger unter Mitarbeitern, weil sie die Gehälter ihrer Kollegen nachschauen konnten – manche haben ihre Konten im eigenen Haus. Andere Mitarbeiter fürchteten, dass über die Konten bekannt würde, dass sie Gewerkschaftsmitglieder sind. Datenschutzexperte und IT-Anwalt Peter Hense spricht von einer „herben Verletzung elementarer datenschutzrechtlicher Vorgaben“.

Zu den entsprechenden Datenbanken hatten ausschließlich Mitarbeiter mit hoher Sicherheitsstufe Zugang, betont ein Sprecher des Unternehmens. „N26 nimmt diese Vorschriften sehr ernst und duldet keine Verstöße. Ein entsprechender Verstoß kann die sofortige Entlassung des jeweiligen Mitarbeiters zur Folge haben.“

Die Datenpanne wurden von Mitarbeitern Mitte Oktober gemeldet, interne Dokumente zeigen allerdings, dass der Fall frühestens Ende Oktober gelöst wurde. Nicht nur Betroffene müssten bei Verletzungen des Schutzes personenbezogener Daten informiert werden, Unternehmen sind nach der europäischen Datenschutzgrundverordnung dazu verpflichtet, innerhalb von 72 Stunden die Berliner Datenschutzbeauftragte – und unter Umständen auch die Aufsichtsbehörde Bafin – zu informieren. Nach Capital-Informationen ist dies nicht geschehen, da laut N26 zu keiner Zeit ein Risiko für Kunden bestand. „Die entsprechenden Transaktionsdaten haben zu keinem Zeitpunkt die sicheren, internen Systeme und Datenbanken von N26 verlassen“, so das Unternehmen. 2019 wurde gegen N26 bereits ein Bußgeld verhängt, weil es Daten von Ex-Kunden auf einer schwarzen Liste gespeichert hatte.