BaFin-Geldbuße gegen Deutsche Bank – das ist der Grund

Die Bundesanstalt für Finanz­dienst­leistungs­aufsicht (BaFin) hat eine Geldbuße in Höhe von 50.000 Euro gegen die Deutsche Bank verhängt. Grund für diese Maßnahme ist die Feststellung der BaFin, dass die Bank falsche Angaben zu einem erheblichen IT-Sicherheitsvorfall im Bereich der Zahlungs­dienste im Jahr 2023 gemacht hatte. Darüber hinaus wurde die Aufsichtsbehörde über den Vorfall deutlich verspätet informiert.

Der Vorfall, der sich auf die IT-Sicherheit der Zahlungsdienste bezog, wurde von der Deutschen Bank offenbar nicht rechtzeitig und korrekt an die BaFin gemeldet, was einen Verstoß gegen die Meldepflicht darstelle, so die Aufsichtsbehörde. Finanzinstitute sind verpflichtet, die BaFin unverzüglich zu informieren, sobald ein schwerwiegender Betriebs- oder Sicherheitsvorfall bei ihren Zahlungsdiensten und den dazugehörigen Betriebsprozessen auftritt. Im Falle einer Feststellung muss der Vorfall binnen 24 Stunden klassifiziert werden. Liegen alle erforderlichen Informationen vor, ist eine unmittelbare Einstufung erforderlich.

Bei der Einstufung eines Vorfalls als schwerwiegend ist der Zahlungsdienstleister gehalten, diesen innerhalb von vier Stunden über das von der BaFin bereitgestellte Melde- und Veröffentlichungsportal (MVP-Portal) zu melden. Eine nachträgliche Einstufung als schwerwiegend erfordert ebenfalls eine sofortige Meldung an die BaFin.

Finanzinstitute müssen die BaFin unverzüglich informieren, wenn es zu einem schwerwiegenden Betriebs- oder Sicherheitsvorfall bei ihren Zahlungsdiensten kommt.”

Aus der BaFin-Mitteilung

Vorfall fand im Sommer letzten Jahres statt

Konkret geht es bei dem Bußgeldbescheid, den die Deutsche Bank laut Medienberichten akzeptiert habe, um einen IT-Vorfall im Juni 2023, wie das Unternehmen gegenüber dem Handelsblatt bestätigte. Obwohl dieser kurzfristig behoben gewesen sein soll, wie das Unternehmen erklärt, habe man die entsprechenden Prozesse zur ordnungsgemäßen Meldung angepasst. Damals kam es offenbar zu einer überdurchschnittlichen Zahl an Betrugsfällen. Diese hatten im Übrigen offenbar nichts mit der IT-Migration der Postbank-Kundenkonten zu tun, wie einige Berichterstatter vermutet hatten.

Unklar ist, ob es sich dabei um die Geschichte rund um den Kontowechsel-Service der Majorel handelte, der in der fraglichen Zeit für Schlagzeilen sorgte (sich sogar als größer als zunächst gedacht ergab) und auf deren Dienstleistung auch die Deutsche Bank und ihre Tochterunternehmen Postbank und Norisbank setzte (neben einigen weiteren Instituten). Dabei handelte es sich um einen Leak, der mit einer Sicherheitslücke in einer verwendeten (Standard-) Software zu tun hatte und dazu führte, dass insgesamt rund 144.000 Datensätze im Darknet landeten. Dagegen würde allerdings sprechen, dass hierbei keine PIN-Daten, sondern lediglich persönliche Daten mitsamt zugehöriger IBAN erbeutet wurden. Zudem hatten die betroffenen Banken hiermit nur mittelbar in Form der negativen Auswirkungen zu tun, waren aber streng genommen nicht daran schuld.

Wie dem auch sei: Der Bußgeldbescheid gegen die Deutsche Bank ist rechtskräftig und der gesamte Sachverhalt unterstreicht die Ernsthaftigkeit, mit der die BaFin solche Verstöße gegen die Meldepflichten behandelt. Die Maßnahme dient als Erinnerung an die Wichtigkeit der Einhaltung der regulatorischen Anforderungen und der fristgerechten Kommunikation mit der Aufsichtsbehörde.tw