N26-Mitarbeiter konnten offenbar Kontobewegungen einsehen – obwohl ihnen die Berechtigung dafür fehlte
Exklusiv: Im Herbst 2019 gab es bei N26 eine Datenpanne, Mitarbeiter hatten Zugriff auf sensible Transaktionsdaten. Der Aufsicht meldete das Fintech den Vorfall nicht.
Im Oktober 2019 verfasst eine Mitarbeiterin der Berliner Smartphone-Bank N26 eine dringliche Fehlermeldung an ihre Vorgesetzten. Sie sei „sehr überrascht über die Menge an unverschlüsselten persönlichen Informationen“, die sie in einer internen Datenbank des Unternehmen gefunden habe. Mithilfe von Namen oder Mailadressen von Kunden konnten Mitarbeiter auf deren Kontodaten zugreifen – und so Transaktionen einsehen, die normalerweise verschlüsselt sein müssten. „Sollte [die Behebung des Bugs] nicht für alle eine Top-Priorität haben?“, fragte die Mitarbeiterin. Ein Screenshot der Fehlerbeschreibung liegt Finance Forward vor.
Der Blick in die Konten der Kollegen
N26 gibt auf Anfrage an, dass jede Datenabfrage durch Mitarbeiter protokolliert werde und einen Grund aufweisen müsse, etwa dass sich ein Kunde beim Kundenservice gemeldet habe. „Alle unsere Mitarbeiter, die Zugang zu sensiblen Transaktionsdaten haben, arbeiten unter strengen Sicherheits- und Datenschutzprotokollen und -vorschriften“, so ein Sprecher. Auf Kunden- und Transaktionsdaten hätten ausschließlich Mitarbeiter mit hoher Sicherheitsstufe Zugriff. „N26 nimmt diese Vorschriften sehr ernst und duldet keine Verstöße. Ein entsprechender Verstoß kann die sofortige Entlassung des Mitarbeiters oder der Mitarbeiterin zur Folge haben.“
Für Mitarbeiter ohne die entsprechende Sicherheitsstufe sollten die Daten verschlüsselt sein, dort steht dann anstelle des Namens ein Code aus Nummern oder Buchstaben. Bei dem Vorfall im Herbst 2019 aber lagen die Daten offenbar für Mitarbeiter im Klartext vor, das geht auch aus dem Meldung der Mitarbeiterin hervor. Mehrere Quellen beziffern die Zahl der Angestellten, die einen unverschlüsselten Zugriff auf die entsprechenden Daten gehabt haben sollen, auf mindestens 300 – nicht alle davon mit der notwendigen Sicherheitsstufe. Wie viele den Bug tatsächlich ausnutzten und wie viele von ihnen überhaupt davon wussten, lässt sich nicht nachvollziehen. Datenschutzexperte und IT-Anwalt Peter Hense nennt die Datenpanne im Gespräch mit Finance Forward in jedem Fall eine „herbe Verletzung elementarer datenschutzrechtlicher Vorgaben“.
Unter den Mitarbeitern führte der technische Fehler unterdessen zu Ärger, weil sie die Gehälter ihrer Kollegen nachvollziehen konnten, wenn diese ihr Gehaltskonto bei N26 führten. Anderen war nicht wohl dabei, dass Vorgesetzte Einblick in ihre Kontobewegungen haben könnten – und zum Beispiel festgestellt haben könnten, dass sie Mitglied in einer Gewerkschaft sind.
Bestand eine Meldepflicht?
N26 soll früh von dem Fehler gewusst haben, gleich mehreren Mitarbeitern waren die unverschlüsselten Daten aufgefallen. Doch N26 reagierte langsam. Nach Informationen von Finance Forward wurde der Bug Anfang Oktober bereits von einzelnen Mitarbeitern entdeckt. Das Datenleck habe sich herumgesprochen, wurde auch direkt dem zuständigen Sicherheitsteam gemeldet, heißt es von mehreren Insidern.
Erst als Reaktion auf die Fehlermeldung der Mitarbeiterin, die das Leck Ende Oktober gemeldet hatte, erhielt die Aufgabe intern höchste Priorität, um die sensiblen Details zu den Konten aus der Datenbank zu entfernen. Demnach dauerte es mehr als eine Woche, bis der Fehler behoben war. Interne Dokumente zeigen, dass die Datenpanne erst frühestens Anfang November unterbunden wurde.
Nicht nur intern könnte der Fall Ärger für N26 nach sich ziehen. Bei „Verletzungen des Schutzes personenbezogener Daten“ müssen nicht nur die Betroffenen – beziehungsweise Geschädigten – informiert werden, Unternehmen sind nach der europäischen Datenschutzgrundverordnung (DSGVO) dazu verpflichtet, innerhalb von 72 Stunden die zuständige Datenschutzbehörde und die Aufsichtsbehörde Bafin zu informieren. Nach Informationen von Finance Forward ist in diesem Fall beides nicht geschehen, da laut N26 zu keiner Zeit ein Risiko für Kunden bestand.
Auf Anfrage teilt die Berliner Datenschutzbeauftragte mit, der geschilderte Fall „dürfte meldepflichtig nach Artikel 33 der DSGVO sein“, eine Bewertung des Sachverhalts sei ohne vorherige Prüfung jedoch nicht möglich. Von der Bafin heißt es: Es könnte eine „Verletzung des Schutzziels der Vertraulichkeit vorliegen, da möglicherweise nicht berechtigte Personen auf Kundendaten zugreifen konnten. Eine fehlende Protokollierung dieser Zugriffe könnte darüber hinaus das Schutzziel Integrität verletzt haben.“ Ob und inwiefern eine Verletzung aufsichtlicher Anforderungen vorlag, sei jedoch im Einzelfall und im Detail zu prüfen.
„Es bestand zu keiner Zeit ein Risiko für N26-Kunden“, beteuert das Unternehmen
Das Unternehmen argumentiert: „Die entsprechenden Transaktionsdaten haben zu keinem Zeitpunkt die sicheren, internen Systeme und Datenbanken von N26 verlassen. Es bestand zu keiner Zeit ein Risiko für N26-Kunden nach Artikel 33 DSGVO.“ Deshalb habe man den Fall nicht gemeldet. Mitarbeiter ohne entsprechende Sicherheitsstufe und Personen außerhalb von N26 „hatten und haben keinen Zugriff auf diese Daten oder Datenbanken“, so ein Sprecher.
Es ist noch nicht lange her, dass N26 eine Strafe wegen eines Datenschutzverstoßes zahlen musste: Das Berliner Unternehmen musste im vergangenen Jahr bereits ein Bußgeld von 50.000 Euro zahlen, weil es Daten von ehemaligen Kunden auf einer schwarzen Liste gespeichert hatte. „In der Vergangenheit gingen vergleichsweise viele Beschwerden über die Bank bei uns ein – nachdem wir im letzten Jahr ein Bußgeld gegen das Unternehmen erlassen hatten, ist das Aufkommen aber merklich zurückgegangen“, heißt es dazu vom Büro der Berliner Datenschutzbeauftragten.
Laut Rechtsanwalt Hense könnte der Vorfall vom Herbst 2019 im Falle einer Untersuchung durch die zuständigen Behörden ein Bußgeld in siebenstelliger Höhe nach sich ziehen, da die Strafen bei DSGVO-Verstößen mit bis zu vier Prozent des weltweiten Umsatzes des Vorjahres bemessen werden können. Das bekam der Internetanbieter 1&1 bereits zu spüren, als er im Dezember 9,5 Millionen Euro zahlen musste, weil Unberechtigte Auskünfte zu Kundendaten erhalten konnten.
