Datenpanne bei Mastercard und Mastercard Priceless

Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 22.08.2019.

Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) liegen derzeit zahlreiche Beschwerden vor, die eine Datenpanne der Mastercard Europe SA, Belgien, betreffen. Dieser Vorfall ist Gegenstand zahlreicher Presseberichterstattungen und betrifft die Veröffentlichung von personenbezogenen Daten aus einem Kundenbindungsprogramm (Mastercard Priceless).

Der Vorfall wurde dem HBDI von der Mastercard Europe SA gemäß Artikel 33 Datenschutz-Grundverordnung (DS-GVO) gemeldet. Die Details werden von Mastercard Europe SA noch untersucht. Dies betrifft sowohl den Umfang der Datenpanne, als auch deren Ursachen, Auswirkungen und mögliche Maßnahmen zu deren Behebung. Erfahrungsgemäß wird für derartige Untersuchungen etwas Zeit benötigt.

Mastercard Europe SA hat bereits Maßnahmen zur Behebung der Folgen eingeleitet und durchgeführt. An den Stellen, an denen die personenbezogenen Daten veröffentlicht sind, wurden diese bereits wieder gelöscht.

Der Vorfall betrifft mit Mastercard Europe SA ein Unternehmen, das in der gesamten Europäischen Union tätig ist. Die Hauptniederlassung von Mastercard Europe SA für die Europäische Union sitzt in Belgien. Der HBDI ist für das Repräsentationsbüro von Mastercard Europe SA in Frankfurt zuständig. In Fällen grenzüberschreitender Verarbeitung personenbezogener Daten sieht die DS-GVO vor, dass ein Vorgang bei einer europäischen Datenschutzaufsichtsbehörde federführend für ganz Europa bearbeitet und koordiniert werden kann.

Aufgrund der belgischen Hauptniederlassung spricht derzeit vieles dafür, dass die Datenschutzbehörde, Drukpersstraat 35, 1000 Brüssel, https://www.privacycommission.be/, für die Koordinierung des Vorgangs federführend zuständig ist. Die Einzelheiten befinden sich derzeit noch in Klärung.

Auf hier eingereichte Beschwerden kann der HBDI erst dann eine belastbare Antwort geben, wenn der Vorgang hinreichend aufgeklärt ist.

Die Pressemitteilungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.