CBA zahlt Rekordstrafe wegen Datenschutz-Verstoß

Australiens größte Bank muss 792.000 Dollar Strafe zahlen – die bislang höchste Sanktion im Rahmen des Open-Banking-Systems. Grund: Geschäftskunden konnten ihre Finanzdaten nicht mit Drittanbietern teilen.

Die Commonwealth Bank of Australia (CBA) hat ein deutliches Signal der Regulierungsbehörden zu spüren bekommen. Die australische Wettbewerbsbehörde ACCC verhängte vier Bußgeldbescheide wegen Verstößen gegen die Consumer Data Right (CDR)-Regeln. Das Vergehen: Die Bank hatte es versäumt, gesetzlich vorgeschriebene Datenaustausch-Funktionen für bestimmte Geschäfts- und Partnerschaftskonten bereitzustellen.

Was auf den ersten Blick nach einem technischen Detail klingt, hatte weitreichende Folgen für betroffene Firmenkunden. Sie konnten ihre Bankdaten nicht mit Steuerberatern oder Buchhaltungssoftware teilen – ein Kernversprechen des Open-Banking-Systems.

Viele Regulierer sehen technische Lücken beim Datenaustausch inzwischen als ernsthafte Compliance-Risiken – und verhängen empfindliche Strafen. Wer seine Schnittstellen und Datenflüsse nicht prüft, riskiert Bußgelder und Vertrauensverlust. Unser kostenloses E-Book zeigt, wie Sie eine rechtssichere Datenschutz-Folgenabschätzung (DSFA) für Bank-APIs erstellen, mit Vorlagen, Checklisten, Musterformulierungen für technische und vertragliche Maßnahmen sowie Praxisbeispielen – speziell für Finanzdienstleister. So dokumentieren Sie Nachrüstungen korrekt und reduzieren das Sanktionrisiko. Jetzt DSFA-Checkliste herunterladen

Konkret betraf das Problem Konten von Partnerschaften und Firmen mit einem sogenannten TEBN-Profil (Trading Entity Business Name). Seit November 2021 hätten diese Konten eigentlich in das Datenaustausch-System integriert sein müssen. Doch die technischen Systeme der CBA konnten entsprechende Anfragen schlicht nicht verarbeiten.

Die Konsequenz? Unternehmer mussten auf manuelle Umwege ausweichen oder weniger sichere Methoden nutzen, um ihre Finanzdaten weiterzugeben. Gerade für moderne Fintech-Anwendungen, die auf automatisierte Datenströme angewiesen sind, war das ein K.O.-Kriterium.

“Dies ist die bislang höchste Gesamtstrafe für einen mutmaßlichen Verstoß gegen die CDR-Regeln”, erklärte ACCC-Vize-Chefin Catriona Lowe. Die Behörde habe zahlreiche Beschwerden von Verbrauchern erhalten, die ihre CBA-Konten nicht mit CDR-fähigen Produkten verbinden konnten.

Keine Nachsicht mehr für technische Ausreden

Die Strafe reiht sich ein in eine Serie zunehmend schärferer Sanktionen. Erst Anfang des Jahres musste die National Australia Bank (NAB) umgerechnet knapp 670.000 Euro zahlen – damals noch Rekord. Auch kleinere Institute wie die Bank of Queensland oder ING wurden bereits zur Kasse gebeten, wenn auch mit deutlich niedrigeren Beträgen zwischen 47.000 und 119.000 Euro.

Was bedeutet das? Die Zeiten, in denen Regulierer bei der Einführung von Open Banking noch nachsichtig waren, sind vorbei. “Die Banken hatten nun einige Jahre Zeit, ihre CDR-Verpflichtungen zu verstehen und umzusetzen”, so Lowe. Technische Komplexität gilt nicht mehr als Entschuldigung.

Wiedergutmachung bis Januar

Immerhin: Die CBA kooperiert. Die Bank hat das Problem selbst gemeldet und sich zu einem umfassenden Maßnahmenplan verpflichtet. Bis zum 19. Dezember 2025 sollen die technischen Mängel behoben sein. Ab Mitte Januar 2026 startet dann ein Entschädigungsprogramm.

Betroffene Geschäftskunden erhalten Goodwill-Zahlungen. Wer nachweislich finanzielle oder andere Verluste erlitten hat, kann zusätzliche Kompensation beantragen. Bleibt die Frage: Reicht das aus, um das Vertrauen wiederherzustellen?

Warnsignal für die Branche

Der Fall CBA dürfte in der gesamten Finanzindustrie für Aufmerksamkeit sorgen. Das Consumer Data Right-System wird derzeit auf den Energie- und den Nicht-Banken-Kreditsektor ausgeweitet. Die technischen Anforderungen an Datenhalter werden damit noch komplexer.

Branchenbeobachter sehen in der Rekordstrafe ein klares Signal: Die ACCC meint es ernst. Andere Großbanken dürften nun ihre eigenen CDR-Systeme genauer unter die Lupe nehmen. Denn eines hat der Fall gezeigt: Die Kontrolle über die eigenen Daten ist kein theoretisches Konzept mehr, sondern eine regulierte Verpflichtung, die Banken liefern müssen – ohne Wenn und Aber.

PS: Bußgelder und Entschädigungsprogramme zeigen, wie wichtig lückenlose Dokumentation ist. Holen Sie sich das Gratis-Paket mit sofort einsetzbaren DSFA-Vorlagen, Word-Templates und einer Schritt-für-Schritt-Anleitung, damit technische Nachbesserungen und Entschädigungsprozesse sauber geprüft und belegt werden können. Perfekt für Banken, Fintechs und IT-Verantwortliche, die Regulierungsanforderungen schnell umsetzen müssen. Gratis DSFA-Vorlagen sichern