Haufe Online Redaktion
Haufe Online Redaktion
Bußgeld wegen verspäteter Meldung des Diebstahls von Kundendaten
Bild: MEV Agency UG Der Zugriff auf die Konten von Mitarbeitern bei ca. 40 Hotels erbeutete die Daten von 4000 Booking.com Kunden

Die Reiseplattform Booking.com hat eine Datenpanne, bei der Kundendaten entwendet wurden, erst mit erheblicher Verzögerung an die Betroffenen und die Aufsichtsbehörde gemeldet. Damit verstieß sie gegen die DSGVO. Die niederländische Datenschutzbehörde verhängte daraufhin jetzt ein Bußgeld in Höhe von 475.000 EUR. Zur Meldepflicht bei Datenpannen informiert ein FAQ der niedersächsischen Datenschutzbehörde

Die Frist zur Meldung einer Datenpanne beträgt nach den Vorgaben der DSGVO üblicherweise 72 Stunden nach Bekanntwerden des Vorfalls. Die Reiseplattform Booking.com überzog diese Frist jedoch deutlich und meldete einen sicherheitsrelevanten Datenverlust erst nach mehr als 20 Tagen, weshalb die für das Unternehmen mit Sitz in Amsterdam zuständige niederländische Datenschutzbehörde tätig wurde und gegen das Unternehmen nun ein Bußgeld in Höhe von 475.000 EUR verhängt.

Sensible Kundendaten von Booking.com wurden ausspioniert

Bei dem Vorfall hatten sich Betrüger nach Angaben von Booking.com mittels sogenannter Social-Engineering-Angriffe Zugriff auf die Konten von Mitarbeitern bei ca. 40 Hotels in den Vereinigten Arabischen Emiraten verschaffen können. Über diese konnten sie anschließend umfangreiche Datensätze von solchen Kunden abgreifen, die diese Hotels über Booking.com gebucht hatten. Insgesamt waren knapp über 4.000 Kunden betroffen, von denen Daten wie Name, Adresse, Telefonnummer sowie Buchungsdetails erbeutet wurden. In knapp 300 Fällen wurden zudem auch Kreditkartendaten ausspioniert, wobei teilweise sogar die Sicherheitsnummer einsehbar war.

Anfang Januar von dem Datenangriff erfahren, 22 bzw. 25 Tage mit der Meldung gezögert

Booking.com erhielt nach eigenen Angaben am 13. Januar 2019 Kenntnis von diesen Vorfällen, informierte die betroffenen Kunden jedoch erst 22 Tage später. Die Meldung über die Datenpanne an die Datenaufsichtsbehörde wurde sogar mit noch größerer Verzögerung nach 25 Tagen übermittelt. 

Die Sanktion erfolgt ausschließlich aufgrund der verspäteten Meldung

Gegenüber der Nachrichten-Website The Register gab das Unternehmen an, dass es bei dem Datendiebstahl keine unerlaubten Zugriffe auf die eigenen Systeme und Webserver gegeben habe, es seien „nur“ die Konten von Mitarbeitern in rund 40 Hotels von dem Angriff betroffen gewesen. 

Bußgeld betrifft Meldeverzögerung, nicht allgemeinen Sicherheits- und Datenschutzvorkehrungen

Die Strafe sei daher auch ausschließlich aufgrund der verspäteten Benachrichtigung erfolgt, und stehe nicht in Verbindung zu den allgemeinen Sicherheits- und Datenschutzvorkehrungen des Unternehmens.

Zudem habe der transparente Umgang mit dem Vorfall durch Booking.com dazu beigetragen, dass das Bußgeld letztlich sogar um 50.000 Euro niedriger angesetzt wurde als ursprünglich vorgesehen. Booking.com hat zudem zugesagt, die Prozesse zu optimieren und Mitarbeiter zu sensibilisieren, um künftig derartige Verzögerungen zu verhindern.

Auch die Vizepräsidentin der niederländischen Datenschutzbehörde bestätigte gegenüber The Register indirekt die Aussagen des Unternehmens und sprach davon, dass es selbst bei guten Schutzvorkehrungen zu solchen Datenpannen kommen könne, Schäden für die Betroffenen jedoch durch eine schnelle Meldung des Vorfalls vermeidbar gewesen wären.

Hintergrund: Diese Vorgaben gelten für die Meldung von Datenpannen

Meldepflichtig sind nach der DSGVO Vorfälle, bei denen es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Derartige Datenpannen liegen vor,

  • wenn es zu einer Vernichtung,
  • zum Verlust oder zur Veränderung (egal ob unbeabsichtigt oder unrechtmäßig) der Daten gekommen ist,
  • eine unbefugte Offenlegung erfolgte
  • oder eine unbefugte Zugriffsmöglichkeit auf personenbezogene Daten festgestellt wurde.

Meldetempo:

Der Aufsichtsbehörde gemeldet werden müssen solche Datenpannen nach Art. 33 DSGVO unverzüglich oder möglichst binnen 72 Stunden nach Bekanntwerden des Vorfalls. Sofern diese Frist nicht eingehalten werden kann, muss die Verzögerung in jedem Fall zusammen mit der verspäteten Meldung begründet werden.

Ausnahmen:

Die Meldepflicht besteht nur dann nicht, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt oder es hierfür nur ein sehr geringes Risiko gibt.

Datenpanne mit hohem Risiko für die Betroffenen:

Entsteht dagegen durch die Datenpanne sogar ein hohes Risiko für die Betroffenen, drohen also etwa erhebliche Konsequenzen oder schwerwiegende Beeinträchtigungen, müssen nach Art. 34 Abs. 1 DSGVO neben der Datenschutzbehörde zusätzlich auch die von der Datenpanne direkt betroffenen Personen benachrichtigt werden. Dies gilt insbesondere dann, wenn diese nach der Information über den Vorfall selbst Schritte unternehmen können, um mögliche Schäden zu verhindern bzw. zu minimieren.

Beispiel: werden etwa Passwörter gestohlen, können die Betroffenen durch eine schnelle Änderung den Zugriff auf die damit geschützten Konten noch verhindern oder bei gestohlenen Kreditkartendaten durch eine Sperrung der Karte finanzielle Schäden vermieden werden.

Was tun bei Datenpannen?

Weitere detaillierte Hinweise zur Meldepflicht bei Datenschutzverstößen, mit denen solche Fehler vermeidbar sind, finden Sie beispielsweise auch in einem

FAQ der niedersächsischen Datenschutzbehörde

Weitere News zum Thema:

Schadensersatz für Betroffene bei DSGVO-Verstößen

Schadensersatz wegen fehlgeleiteter E-Mail mit Bewerberdaten

Massenklagen: Datenschutzverstöße können künftig Sammelklagen nach sich ziehen

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Bußgeld
Meistgelesene beiträge
Neueste beiträge