Datenpanne zu spät gemeldet: Bußgeld in Höhe von 400.000 EUR gegen Booking.com

Geschrieben von Anna Tiede, veröffentlicht am 04.06.2021

Auch die Meldung von Datenpannen ist an eine Frist gebunden. Dieser Umstand kostete dem Urlaubsportal Booking.com eine hohe Geldstrafe von über 400.000 €.

Sachverhalt

Mitarbeiter von ungefähr 40 Hotels in den Vereinigten Arabischen Emiraten wurden durch einen Telefonbetrug dazu überredet persönliche Kontodaten in einem System des Urlaubsportals Booking.com preiszugeben. Anschließend konnten die Drahtzieher des Betruges durch einen Angriff auf das Booking.com-System über 4000 persönliche Daten von Booking.com-Kunden auslesen. Hiervon waren neben Identifikations- und Kontaktdaten auch Kontodaten betroffen.

Problematik

Die DSGVO gewährt für einen solchen Vorfall eine Frist von 72 Stunden für die Meldung an die Datenschutzbehörde. Booking.com erlangte am 13. Januar 2019 über den Datenschutzvorfall Kenntnis, meldete die Datenpanne jedoch erst 22 Tage später der zuständigen niederländischen Datenschutzbehörde sowie den betroffenen Personen. Die niederländische Datenschutzbehörde untersuchte federführend den Datenschutzvorfall, da das Headquarter von Booking.com hier ansässig ist. Durch die internationale Tragweite des Vorfalls waren jedoch zudem weitere Datenschutzbehörden in die Untersuchung der Panne involviert.

Die Datenschutzbehörden hielten die Verzögerung der Meldung an die Datenschutzbehörde und die betroffenen Personen für inakzeptabel, da diese von entscheidender Bedeutung ist, um den Schaden der Datenpanne minimieren zu können. Aufgrund der Größe des Unternehmens, des Umfangs der durch Booking.com verarbeiteten Daten und der großen Verantwortung, die hiermit einhergeht, wurde diese Verzögerung als schwerwiegend eingestuft.

Fazit

Die Höhe der Geldbuße zeigt, wie wichtig ein umgehendes Handeln und die Mitteilung an die Behörde bei einer Datenpanne ist. Die im vorliegenden Fall entstandene Verzögerung von 22 Tagen ist zu weit entfernt von den Vorgaben der DSGVO. Eine solche Verzögerung ermöglicht Kriminellen einen erheblichen Vorteil gegenüber den betroffenen Personen, die keine Möglichkeit haben, ihre Daten bestmöglich zu schützen, z.B. die kompromittierten Passwörter zu ändern oder Kreditkartenanbieter zu kontaktieren.

Wir sind Ihnen im Fall einer Datenpanne gerne behilflich und unterstützen Sie gern dabei, den Vorfall richtig einzuordnen und entsprechende Meldungen an Datenschutzbehörden und Betroffene zu formulieren. Wenden Sie sich daher gerne an uns.