Am 25.06.2024 wurde von der schwedischen Datenschutzbehörde Integritetsskyddsmyndigheten (IMY) ein Bußgeld in Höhe von 15 Millionen SEK (umgerechnet etwa 1.286.799 Euro) an die schwedische Avanza Bank AB verhangen.
Avanza hatte in der Zeit vom 15.11.2019 bis einschließlich 02.06.2021 das sogenannte Facebook-Pixel verwendet, das aufgrund falscher Einstellungen personenbezogene Daten von bis zu einer Million Kunden an das US-Unternehmen Meta übermittelt hatte. Bei diesen Daten handelte es sich um sehr persönliche Daten, u.a. um Kontaktdaten, Wertpapierbestände, Kontonummern und auch Darlehensbeträge der Kunden.
Zwar gab Avanza an, sich der Aktivierung der Funktion, die laut eigenen Angaben der Bank unbeabsichtigt stattgefunden hatte, nicht bewusst gewesen zu sein. Dennoch war die IMY der Ansicht, dass Avanza systematische Sicherheitsvorkehrungen hätte treffen müssen, um eine solche Datenübermittlung wenigstens zu bemerken, insbesondere weil diese über einen Zeitraum von fast drei Jahren stattgefand.
Unmittelbar nach dem Bekanntwerden des Vorfalls deaktivierte die Bank das Facebook-Pixel und kontaktierte Meta. Laut Angaben des US-Konzerns seien daraufhin alle Daten gelöscht worden. Der vorliegende Fall stellte einen Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Grundsatz der Integrität und Vertraulichkeit) sowie gegen Art. 32 Abs.1 DSGVO (Sicherheit der Verarbeitung) dar.
Quellenangabe:
- Artikel „Top 5 DSGVO-Bußgelder im Juni 2024“, abgerufen am 23.07.2024 unter: https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-juni-2024/