Suche
Contact
15.04.2021 | KPMG Law Insights

Datenschutz – Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenschutzvorfalls

Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenschutzvorfalls

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat gegen die Übernachtungs- und Reisevermittlungsplattform booking.com ein Bußgeld von 475.000 Euro verhängt, weil diese einen Datenschutzvorfall nicht rechtzeitig gemeldet hatte.

Bereits im Jahr 2019 war es Hackern gelungen auf die Daten von 4109 Kunden von booking.com (https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-bookingcom-delay-reporting-data-breach_en) zuzugreifen. Bei den Daten handelte es sich neben Namen, Adressen, Telefonnummern und Details zu Hotelbuchungen auch um Kreditkarteninformationen von 283 Betroffenen, in 97 Fällen einschließlich der Sicherheitsnummern. Zugang zu den Daten erhielten die Hacker über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten, vermutlich durch „socialengineering“-Techniken oder Phishing. Darüber hinaus versuchten die Hacker Zugriff auf weitere Kreditkartendaten zu erlangen, indem sie Gäste der Hotels per E-Mail oder Telefon kontaktierten. Hierdurch bestand auch für diejenigen Kunden von booking.com, deren Kreditkartendaten nicht betroffen waren, ein hohes Sicherheitsrisiko.

booking.com sah sich nicht in der Verantwortung für den Datenschutzvorfall, da die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Die AP sah hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das Bußgeld erging jedoch unabhängig von dieser Frage allein auf Grund der Tatsache, dass booking.com den Datenschutzvorfall erst nach 22 Tagen den betroffenen Kunden und erst nach 25 Tagen der Aufsichtsbehörde gemeldet hatte. Eine Datenpanne dieses Ausmaßes hätte der Datenschutzbehörde gemäß Art.33 Abs.1 DSGVO spätestens binnen 72 Stunden nach Bekanntwerden bei booking.com gemeldet werden müssen.

Gegen das Bußgeld kann noch Widerspruch eingelegt werden. booking.com hat jedoch bereits erklären lassen, das Bußgeld zu akzeptieren. Die booking.com-Datenbank sei zu keinem Zeitpunkt kompromittiert worden, man wolle aber an einer Verbesserung der internen Prozesse arbeiten.

Bemerkenswert and dieser Bußgeldentscheidung ist, dass der eigentliche Vorfall nicht sanktioniert wurde. Vielmehr wurde allein die verspätete Meldung bestraft. Dies belegt, dass die Aufsichtsbehörden eben nicht nur die Maßnahmen zur Verhinderung von Datenschutzvorfällen prüfen und sanktionieren. Auch die verspätete Meldung von Vorfällen an die Aufsichtsbehörden und/oder die Betroffenen stellt einen eigenen und sanktionierungsfähigen Verstoß dar.

Verantwortliche sind daher gut beraten, ihre internen Prozesse zur Meldung von Datenschutzvorfällen zu überprüfen und sicherzustellen, dass eine erforderliche Meldung rechtzeitig erfolgen kann. Dabei ist insbesondere zu berücksichtigen, dass es sich bei der Frist von 72 Stunden um eine Maximalfrist handelt und diese – jedenfalls nach Auffassung der deutschen Aufsichtsbehörden – auch am Wochenende oder an Feiertagen läuft. Vor dem Hintergrund der üblicherweise erforderlichen Sachverhaltsermittlungen im Unternehmen müssen hierfür entsprechende organisatorische Vorkehrungen getroffen werden.

Explore #more

02.06.2025 | Dealmeldungen

KPMG Law und KPMG beraten Diehl Defence bei der Übernahme von e.sigma

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die Diehl Defence GmbH & Co. KG (Diehl Defence) bei dem…

27.05.2025 | KPMG Law Insights

Handy-Kontrollen bei der Einreise in die USA: So verhalten Sie sich richtig

Keyfacts: US-Einwanderungsbeamte überwachen öffentliche Social-Media-Daten und Reisende sollten bereit sein, Details zu ihren persönlichen Social-Media-Konten zu teilen. Alle Reisenden in die USA können an der…

23.05.2025 | KPMG Law Insights

Mitarbeiterentsendung in die USA: Das ist bei der US-Immigration zu beachten

Die Verschärfungen bei der US-Immigration führen weltweit zu Verunsicherung. Insbesondere die Kontrollen bei der Einreise in die USA sind seit dem Antritt der neuen US-Regierung

14.05.2025 | KPMG Law Insights

BGH zu Kundenanlagen: Beschluss ordnet richtlinienkonforme Anwendung an

Mit Beschluss vom 13. Mai 2025 hat der BGH die Versorgunginfrastruktur im konkreten Fall einer Wohnanlage in Zwickau als Verteilernetz eingestuft und damit die Beschwerde…

13.05.2025 | In den Medien

KPMG Law Experte im Spiegel zur aktuellen Energiepolitik

In einem aktuellen Beitrag im Spiegel zur Energiepolitik wird Dirk-Henning Meier, Senior Manager im Bereich Energierecht bei KPMG Law, zitiert. Sie finden den Beitrag…

13.05.2025 | In den Medien, Karriere

azur Karriere Magazin – Alles KI oder was?

Künstliche Intelligenz ist längst in Kanzleien und Rechtsabteilungen angekommen. Doch der Umgang mit ihr will gelernt sein. Viele Arbeitgeber erweitern daher ihre Legal-Tech-Ausbildung um KI-Schulungen…

13.05.2025 | KPMG Law Insights

Erste Erfahrungen mit dem Einwegkunststofffondsgesetz: Das sollten Hersteller beachten

Getränkebecher, Folien und Plastikzigarettenfilter verschmutzen Straßen, Parks und Gehwege. Die Reinigungskosten tragen die Kommunen. Das Einwegkunststofffondsgesetz soll sie finanziell entlasten. Die Idee: Die Hersteller bestimmter…

07.05.2025 | KPMG Law Insights

Kündigung von befristeten Mietverträgen bei der „Vermietung vom Reißbrett“

Bei einer „Vermietung vom Reißbrett“ beginnt das Mietverhältnis erst zu einem späteren Zeitpunkt zu laufen, meist dem Übergabetermin. In der Regel gehen die Vertragsparteien in…

06.05.2025 | In den Medien

Wirtschaftswoche zeichnet KPMG Law aus

KPMG Law wurde vom der WirtschaftsWoche als „TOP Kanzlei 2025“ im Bereich M&A ausgezeichnet. Ian Maywald, Partner bei KPMG Law in München, wurde außerdem…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999-20
shoegl@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll