Bußgeld wegen verspäteter Meldung einer Datenpanne

Die niederländische Aufsichtsbehörde hat gegen die Übernachtungs- und Reisevermittlungsplattform Booking.com ein Bußgeld von 475.000 Euro verhängt, weil ein Datenschutznotfall nicht rechtzeitig gemeldet wurde.

Hintergrund der DSGVO-Geldbuße

Im Jahr 2019 hatten Hacker 4.000 Datensätze erbeutet, darunter Personalausweis- und Kreditkartendaten einschließlich der Sicherheitsnummer. Die Hacker hatten die Daten über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten erlangt.

Begründung des Bußgeldes

Booking.com hatte den Vorfall erst 25 Tage nach Bekanntwerden gemeldet. Der Vize-Präsident der niederländischen Datenschutzbehörde beurteilte dies als schweren Verstoß gegen die Meldepflichten der Datenschutz-Grundverordnung (DSGVO).

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung

Booking.com behauptet, dass die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Stattdessen hätten die Hacker per Social-Engineering, also durch menschliche Einflussnahme die Daten abgegriffen. Die Hacker hatten sich als Booking.com-Mitarbeiter ausgegeben und waren in telefonischen Kontakt zu den betroffenen Kunden getreten.

Doch selbst wenn Booking.com damit für die technische Schwachstelle keine Verantwortung tragen sollte, hätte eine Datenpanne in diesem Ausmaß gemäß Art. 33 Abs. 1 DSGVO der niederländischen Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden bei Booking.com gemeldet werden müssen.

Booking.com kann gegen das Bußgeld noch Widerspruch einlegen, hat aber bereits über seinen Sprecher erklären lassen, das Bußgeld zu akzeptieren. Booking.com wies zudem darauf hin, dass es keine Kompromittierung der Booking.com-Datenbanken gegeben habe und dass das Bußgeld lediglich für das Verstreichen der Meldefristen verhängt worden sei.

Hinweise zum richtigen Umgang mit Datenpannen und Bußgeldern

Das Bußgeld zeigt, dass Aufsichtsbehörden die DSGVO ernst nehmen und nicht nur prüfen ob ausreichende Maßnahmen zur Verhinderung einer Datenpanne getroffen werden, sondern auch sanktionieren, wenn Verantwortliche die Datenpanne nicht ordnungsgemäß behandeln und sie der Aufsichtsbehörde oder den Betroffenen rechtzeitig melden.

Deshalb sollten Unternehmen sich ausreichend auf Datenschutznotfälle bzw. Datenpannen vorbereiten:

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

One Comment

  1. Ervin Jelvos Profile Picture
    Ervin Jelvos

    Booking.com behauptet, dass die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Stattdessen hätten die Hacker per Social-Engineering, also durch menschliche Einflussnahme die Daten abgegriffen. Die Hacker hatten sich als Booking.com-Mitarbeiter ausgegeben und waren in telefonischen Kontakt zu den betroffenen Kunden getreten.

    Doch selbst wenn Booking.com damit für die technische Schwachstelle keine Verantwortung tragen sollte, hätte eine Datenpanne in diesem Ausmaß gemäß Art. 33 Abs. 1 DSGVO der niederländischen Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden bei Booking.com gemeldet werden müssen.

    Booking.com kann gegen das Bußgeld noch Widerspruch einlegen, hat aber bereits über seinen Sprecher erklären lassen, das Bußgeld zu akzeptieren. Booking.com wies zudem darauf hin, dass es keine Kompromittierung der Booking.com-Datenbanken gegeben habe und dass das Bußgeld lediglich für das Verstreichen der Meldefristen verhängt worden sei.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.