Millionen Strafzahlung für Deutsche Bank wegen WhatsApp-Verwendung

[English]Die Deutsche Bank (und andere Bankinstitute) haben sich ein dickes Problem mit der Erlaubnis, WhatsApp oder andere Messenger bei Mitarbeitern zu erlauben, eingefangen. Laut US-Börsenaufsicht verstoßen die Banken gegen Auflagen (da diese Messenger-Nachrichten gelöscht werden können). Jetzt drohen Bußgeldbescheide in Höhe von insgesamt 2 Milliarden US-Dollar (die Einigung soll wohl bis Ende September 2022 verkündet werden).

Ich finde das Thema irgendwie „funny“ – 2018 hatte ich im Rahmen der DSGVO hier bei mir WhatsApp als Messenger gelöscht. Aber viele Firmen scherten sich einen feuchten Dreck um das Thema (siehe WhatsApp wird trotz Datenschutzbedenken fleißig weiter genutzt). Nur Firmen wie Conti haben den Einsatz von WhatsApp im betrieblichen Umfeld verboten (siehe DSGVO: Aus für WhatsApp & Snapchat bei Continental). Während in Europa bei einem betrieblichen Einsatz die DSGVO relevant wird, spielt bei Banken, speziell im US-Geschäft, noch die Frage der Archivierung der Messenger-Nachrichten eine Rolle. Diese Compliance-Vorgaben lassen sich bei privaten Messengern wie WhatsApp etc. wohl nicht einhalten, was zu Ärger führt.

Gegen US-Compliance-Vorgaben verstoßen

Institute wie die Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Barclays und die Deutsche Bank sowie die japanische Bank Nomura waren bei der WhatsApp-Nutzung aber weiterhin fleißig dabei. Wie man so liest, scheinen private Messenger in der Kommunikation der Bankmitarbeiter und Manager recht beliebt – auch wenn deren Nutzung aus Sicherheits- und Datenschutzgründen problematisch ist.  Die Banken haben sich jetzt dadurch in den USA mächtig Ärger eingehandelt. Auf die Information bin ich über nachfolgenden Tweet gestoßen.

Deutsche Bank: Strafe wegen WhatsApp-Nutzung

Quelle des Golem-Artikels ist dieser Artikel des Handelsblatts, welches sich wiederum auf Informationen des US Wall Street Journals als Quelle bezieht. Die US-Börsenaufsicht SEC untersucht seit 2021 die Nutzung von Messengern wie WhatsApp im geschäftlichen Umfeld der Banken. Die Verwendung dieser Messenger verstößt gegen Auflagen der Börsenaufsicht – da damit die Aufzeichnungspflichten nicht erfüllt werden können.

Finanzunternehmen müssen in den USA ihre Kommunikation archivieren – was mit privaten Messengern nicht gewährleistet ist.  Hintergrund für die Auflage der US-Börsenaufsicht ist der Libor-Skandal. Händler mehrerer Großbanken, darunter auch der Deutschen Bank, haben dabei wichtige Referenzzinssätze manipuliert. Die illegalen Absprachen wurden über Chatnachrichten organisiert.

Die Deutsche Bank hat Anfang 2022 die Mitarbeiter (laut Berichten) darauf hingewiesen, dass WhatsApp-Nachrichten nicht gelöscht werden dürfen. Jedenfalls hat die Deutsche Bank im Geschäftsbericht für das zweite Quartal 2022 Rückstellungen für drohende Prozesse und Strafen in Höhe von 165 Millionen Euro:

einschließlich zusätzlicher Rückstellungen mit Bezug zu behördlichen Untersuchungen durch die amerikanische SEC und die CFTC hinsichtlich der Nutzung nicht genehmigter Geräte durch die Mitarbeiter und die Aufzeichnungsanforderungen des Unternehmens

gebildet. Es gibt wohl in Finanzkreisen die Information, dass die zehn Vorstände der Deutschen Bank wegen der Verfehlungen auf je 75.000 Euro ihrer variablen Vergütung verzichten wollen. Können die locker stemmen, denn der Deutsche Bank-Vorstand kam 2021 (damals mit 11 Personen) auf rund 66,5 Millionen Euro Vergütung, davon waren etwa 40 Millionen Euro Boni).

Bafin prüft ebenfalls WhatsApp-Nutzung

Die deutsche Finanzaufsicht Bafin untersucht laut Handelsblatt ebenfalls die WhatsApp-Nutzung von Mitarbeitern der Deutschen Bank. Insidern zufolge sollen Manager der Bank sowie von deren Fondstochter DWS in der Vergangenheit regelmäßig außerhalb der offiziellen Kanäle kommuniziert haben. Auch dort könnte es also Strafen geben, zumal die Behörden (neben Compliance-Verstößen) auch mögliche Sicherheitslücken befürchten. Diese könnten durch die Vermischung von dienstlichen und privaten Apps sowie dienstlichen und privaten Geräten Hackern Zugang zu sensiblen Systemen gewähren. Das DSGVO-Thema ist diesbezüglich noch nicht einmal angesprochen worden – auch dort könnte es Ärger geben.

Das Handelsblatt berichtet, dass die Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Barclays und die Deutsche Bank kurz vor einiger Einigung mit der US-Börsenaufsicht SEC und der Derivateaufsicht CFTC stehen und berufen sich auf das Wall Street Journal. Demzufolge soll jedem der genannten Institute eine Geldbuße von bis zu 200 Millionen US-Dollar drohen. Bei der japanischen Nomura-Bank soll der Betrag kleiner sein. Die Einigungen könnten bis Ende September 2022 bekannt gegeben werden.

Ähnliche Artikel:
WhatsApp aktualisiert Datenschutzbedingungen, Daten werden mit Facebook geteilt
WhatsApp-AGB-Änderung zum 15. Mai 2021
Kehrtwende bei WhatsApp-Nutzerzustimmung … (29.5.2021)
WhatsApp: Was passiert bei abgelehnter AGB-Änderung?
Rückzieher: WhatsApp verzögert neue Regeln um 3 Monate
Auch deutsche Nutzer erhalten WhatsApp-AGB-Änderung
LKA Niedersachsen warnt Nutzer vor WhatsApp-Account-Übernahme (Juni 2021)
WhatsApp wird trotz Datenschutzbedenken fleißig weiter genutzt
EU-Verbraucherschutzorganisation legt Beschwerde gegen WhatsApp-Bedingungen ein
Facebook: Bug gibt private Fotos von 6,8 Millionen Nutzern frei
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Hat WhatsApp nun einen Mittelweg für seine AGB-Benutzerzustimmung gefunden?
WhatsApp kassiert 225 Millionen Euro DSGVO-Strafe
WhatsApp: DSGVO-Widerspruch? Uns doch egal …
DSGVO: Aus für WhatsApp & Snapchat bei Continental

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Millionen Strafzahlung für Deutsche Bank wegen WhatsApp-Verwendung

  1. Phadda sagt:

    Hm also ich lese da jetzt aus den Quellen heraus, das die Verwendung von WhatsApp OK ist in USA. Lediglich die Sicherungspflicht der Chats wird bestraft. Dann wäre die Headline vom Artikel eher was im Stil von „Millionen Strafzahlung für Deutsche Bank wegen fehlender WhatsApp Sicherung/Backup“ hm? ;-)

    • Günter Born sagt:

      Hm, ich lese aus meinem Text heraus, dass die US-Börsenaufsicht die Strafen wegen Verstoßes gegen Compliance-Vorschrifen ausprechen wird. Und bei der Deutsche Bank geht es in diesem Kontext konkret um WhatsApp. Ich habe jetzt noch im Anrisstext kleine Korrekturen und im Beitrag Zwischenüberschriften eingeführt, damit auch die „Nur Überschrifteleser“ ggf. erkennen, wo die Klippen liegen – es gibt in meinen Augen aber keinen Grund, jetzt irgendwie eine Überschrift hinzufummeln, die das alle Eventualitäten befriedigt.

      • Tom Bongers sagt:

        Naja, in dem Artikel wird im relativ großen zweiten Abschnitt auf das Thema DSGVO eingegangen, obwohl es bei der im Raum stehenden Strafe im ersten Schritt gar nicht um DSGVO Themen geht sondern um die Pflicht zur Archivierung von Unternehmenskommunikation.

        Ich glaube darum ging es dem User „Phadda“.

  2. UweK sagt:

    Hmm, ich gehe mal alle Messenger durch und bei der Datensicherung sind sie alle raus.
    In dieser Hinsicht dürfte Signal = WhatsApp = böse sein.
    Ich habe das 2019 mal gegenüber gestellt.
    https://uwe-kernchen.de/netdesign/messenger-dienste-in-unternehmen

    Da bleibt nichts übrig, was in der Masse verwendet wird.
    Also firmenintern machbar, aber mit externen Partnern eher unrealistisch.

    • Günter Born sagt:

      Ich habe es nicht thematisiert – im Handelsblatt habe ich gelesen, dass die Deutsche Bank mit einer Lösung experimentiert, wo diese rechtssichere Archivierung wohl gegeben ist. Zitat aus dem Artikel:

      Die Bank hat auch eine technologische Lösung eingeführt, mit der sie über Apps gesendete Nachrichten aufzeichnen und archivieren kann […]. Das Pilotprogramm sei Ende April gestartet und die Software auf den Geräten von 1750 Mitarbeitern mit Kundenkontakt in den USA installiert worden.

      Das könnte dann das Thema im Hinblick auf SEC-Compliance erschlagen. Insgesamt bleibt auch dort für mich das Thema brisant, da die Banken in Europa halt der DSGVO unterliegen.

      Eine Vermischung privater/geschäftlicher Belange auf den Smartphones der Mitarbeiter erhöht das Risiko. Wenn da was passiert, hat die Bank ein Problem. Und ja, mir ist klar, dass es technologische Möglichkeiten gibt, die private/geschäftliche Nutzung der Geräte zu trennen.

      PS: Gerade den Fall gehabt, dass ich eine sehr merkwürdige Mail von einer Bank bekam, dass man keine Goldmünzen im Verkauf habe. Nach dem Lesen der Mail wurde mir klar, dass da eine Kundenanfrage von einer Bankmitarbeiterin beantwortet wurde, diese aber wohl eine falsche E-Mail-Adresse verwendet hat. Aufgefallen ist es, weil die Nachricht bei meinem web.de Freemail-Konto in einer Kategorie „Verträge und Abos“ aufgeschlagen ist. Habe dann dort die „Kündigung“ angewählt, um die Kategorie von „Autofill Leichen“ zu bereinigen. Das war bei der Mail aber ein klarer DSGVO-Verstoß der Bank. Und mit US-Bürgern hatte ich bei einigen Free-Mail-Konten (z.B. von Google) häufiger diese Problematik – da gingen mir teils sehr private Mails zu, weil ein falscher E-Mail-Empfänger verwendet wurde.

      • Tom Bongers sagt:

        Das Thema mit der Vermischung von privater und geschäftlicher Kommunikation lässt sich technisch zu einem gewissen Grad lösen. Die Deutsche Bank wird die Devices doch hoffentlich zentral verwalten und dann lassen sich dort doch einfach private und geschäftliche Apps trennen. Das läuft dann in einem extra Container und ist dann auch technisch sauber getrennt.

        Dann ist halt im Zweifelsfall 2x Whatsapp auf dem Smartphone. Einmal im privaten Bereich und einmal im geschäftlichen.

        Organisatorisch kannst du natürlich nie verhindern, dass ein Anwender im privaten Profil geschäftlich kommuniziert. Dann musst du die private Nutzung geschäftlicher Devices verbieten und ebenso die geschäftliche Nutzung privater Devices.

      • Fritz sagt:

        In unserer Firma wird um den Kaffeautomaten herum und in der Kantine sehr viel geschwatzt, wobei die Grenzen von privaten und dienstlichen Themen sehr fließend sind. Wie will man da eine rechtssichere Archivierung machen? Alles aufzeichnen oder einen Protokollanten für den Smalltalk hinsetzen? Mir passiert es öfters, daß ein Kollege behauptet „Das habe ich Dir doch gesagt!“. Wenn es eine solche informelle Runde war, habe ich es meistens nicht bewußt wahrgenommen und kann es in den Mails oder dem Ticketsystem nicht finden. Wie will man damit umgehen? Schließlich kann ich nicht jedes mal, wenn ich mir einen Kaffee hole eine Aktennotiz anlegen.

        Unabhängig davon ist bei uns WhatsApp aus einem anderen Grund (Abgreifen von Kontakten und Telefonnummern) eh verboten.

  3. Lukas sagt:

    Lächerlich wegen so etwas eine Strafzahlung zu verhängen. Sind denen die Einnahmequellen ausgegangen?

    • Günter Born sagt:

      Also: Ein Verstoß gegen die Compliance Richtlinien der US-Börsenaufsicht ist weder lächerlich und noch kein Pappenstiel. Diese Richtlinien (in Bezug auf die Aufzeichnung der Kommunikation) wurden ja aufgrund eines Vorfalls verschärft, wo erinnerungsmäßig u.a. die Deutsche Bank Milliarden durch Manipulation des Libor (“London Interbank Offered Rate”, Referenzzinssat) gescheffelt hat. Ist oben im Text erklärt – da geht es nicht darum, dass Klein-Gretel als Angestellte der Deutsche Bank ihrem Hans eine private WhatsApp-Nachricht geschickt hat.

  4. Tom sagt:

    Mal sehen wieviel von den $2.000.000.000 am Ende übrig bleiben – wenn überhaupt!?!
    Andererseits wäre es mal eine richtige Ansage, da der Gewinn der Deutschen Bank in 2021 bei rund $1.940.000.000 lag ->

    https://de.statista.com/statistik/daten/studie/76928/umfrage/gewinn-deutsche-bank/

    und diese somit ein ganzes Jahr „für nichts gearbeitet“ hätte – ja, ich weiß: …wäre, wäre – Fahrradkette…

    • Günter Born sagt:

      Die Einzelbanken bewegen sich bei Strafsummen von 200 Mio Dollar – das ist in Verhandlungen (gibt es keinen Vergleich, kommt es zu einer Klage). Da es aber eine Reihe Banken trifft, wird die Gesamtsumme stattlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert