Datenpanne bei der Investitionsbank Berlin

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30.03.2020

Die Internetseite der Investitionsbank Berlin (IBB), über welche die von staatlicher Seite bereitgestellten Soforthilfen für freiberufliche Personen und Kleinunternehmen beantragt werden können, wies am vergangenen Freitag, den 27. März 2020, einen schwerwiegenden Programmierfehler auf. Dieser führte dazu, dass Antragstellerinnen und Antragstellern, die an diesem Tag in der Zeit von ca. 15:30 Uhr bis ca. 16:15 Uhr einen Antrag gestellt haben, jeweils die Antragsbestätigung einer anderen Person zugänglich gemacht wurde. Bei der Antragstellung werden neben Daten zum Unternehmen auch Ausweis-, Steuer und Bankdaten abgefragt. Antragstellerinnen und Antragsteller, die ihre Anträge im genannten Zeitraum gestellt haben, müssen daher davon ausgehen, dass ihre Daten an Dritte übermittelt wurden. Nach derzeitigem Kenntnisstand geht die IBB von bis zu 390 betroffenen Personen aus.

Nachdem das Problem bekannt geworden war, hatte die Bank das Antragsverfahren umgehend ausgesetzt und erst wieder in Betrieb genommen, nachdem der Programmierfehler behoben war. Die IBB hat den Vorfall am Montag, den 30. März 2020 um 12 Uhr fristgerecht bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit gemeldet. Hierzu ist sie gemäß Art. 33 Datenschutz-Grundverordnung (DS-GVO) verpflichtet. Die betroffenen Antragstellerinnen und Antragsteller werden derzeit ermittelt und von der IBB gemäß Art. 34 DS-GVO informiert. Die Berliner Datenschutzbeauftragte wird diesen Prozess aufsichtsrechtlich begleiten.

Die Daten der Betroffenen waren nicht allgemein zugänglich, sondern wurden ausschließlich anderen Antragstellerinnen bzw. Antragsstellern wechselseitig zugänglich gemacht. Die Berliner Datenschutzbeauftragte fordert alle Antragstellerinnen und Antragsteller, die im Zuge dieses Vorfalls unrechtmäßig Zugang zu den Daten anderer Personen erhalten haben, dazu auf, diese unverzüglich datenschutzgerecht zu löschen und entsprechende Ausdrucke zu vernichten. Die Daten dürfen keinesfalls dauerhaft gespeichert oder auf andere Weise weiterverarbeitet werden.

Die Pressemitteilungen der Berliner Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.