Neues zum Datenschutzrecht
5.11.2021
Datenpannen – Späte Meldung kann zu hohem Bußgeld führen
Werden Datenschutzverletzungen der Aufsicht nicht unverzüglich und innerhalb von 72 Stunden gemeldet, kann das zu empfindlichen Bußgeldern führen. Welche gravierenden Folgen ein Verstoß gegen die gesetzliche Frist haben kann, zeigt der Fall von Booking.com, einer Buchungsplattform für Reiseunterkünfte. Gegen den gleichnamigen Anbieter hat die niederländische Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) ein Bußgeld in Höhe von 475.000 EUR verhängt.
Ausgangspunkt war ein krimineller Angriff auf die Daten von booking.com, bei dem auf die Daten von mehr als 4000 Kunden zugegriffen wurde. Die Daten betrafen Name, Adresse, Telefonnummer und Buchungsdetails. In ca. 280 Fällen waren auch Kreditkartendaten betroffen, wobei in ca. 100 Fällen sogar der für Zahlungen im Online-Bereich relevante Kreditkarten-Sicherheitscode umfasst war. Weiterhin gaben sich die kriminellen Angreifer im Wege von Phishing-Attacken per E-Mail und Telefon gegenüber den betroffenen Personen als Mitarbeiter von Booking.com aus, um weitere Kreditkartendaten zu erhalten. Daher waren die betroffenen Personen nach – zutreffender – Einschätzung der niederländischen Aufsicht dem erhöhten Risiko ausgesetzt, großen finanziellen Schaden zu erleiden. Dennoch kam Booking.com seiner Meldepflicht erst am 7. Februar 2019 nach, obwohl die Datenverletzung bereits am 13. Januar 2019 bekannt geworden war. Die betroffenen Kunden hat Booking.com drei Tage vor der Datenschutzaufsicht benachrichtigt.
Die Behörde bewertete die verspätete Meldung insbesondere auch mit Blick als schweren Verstoß. Booking.com hat gegen verhängte Geldbuße weder Einspruch noch Berufung eingelegt. Den ausführlichen Bescheid (leider nur in niederländischer Sprache) können Sie hier aufrufen. Eine englischsprachige Zusammenfassung der niederländischen Aufsicht finden Sie hier.
Fazit
Dieser Fall zeigt, wie wichtig das Bestehen und die Einhaltung interner Prozesse zum Umgang mit Datenschutzvorfällen sind. Dabei müssen auch die gesetzlichen Vorgaben für die Meldung an die Datenschutzaufsicht und die Benachrichtigung der betroffenen Personen berücksichtigt werden.
Sollten Sie Fragen zum Umgang mit Datenpannen, insbesondere zur Meldepflicht gegenüber der Datenschutzaufsicht und zur Benachrichtigung der betroffenen Personen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht