Suche
Contact
15.04.2021 | KPMG Law Insights

Datenschutz – Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenschutzvorfalls

Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenschutzvorfalls

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat gegen die Übernachtungs- und Reisevermittlungsplattform booking.com ein Bußgeld von 475.000 Euro verhängt, weil diese einen Datenschutzvorfall nicht rechtzeitig gemeldet hatte.

Bereits im Jahr 2019 war es Hackern gelungen auf die Daten von 4109 Kunden von booking.com (https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-bookingcom-delay-reporting-data-breach_en) zuzugreifen. Bei den Daten handelte es sich neben Namen, Adressen, Telefonnummern und Details zu Hotelbuchungen auch um Kreditkarteninformationen von 283 Betroffenen, in 97 Fällen einschließlich der Sicherheitsnummern. Zugang zu den Daten erhielten die Hacker über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten, vermutlich durch „socialengineering“-Techniken oder Phishing. Darüber hinaus versuchten die Hacker Zugriff auf weitere Kreditkartendaten zu erlangen, indem sie Gäste der Hotels per E-Mail oder Telefon kontaktierten. Hierdurch bestand auch für diejenigen Kunden von booking.com, deren Kreditkartendaten nicht betroffen waren, ein hohes Sicherheitsrisiko.

booking.com sah sich nicht in der Verantwortung für den Datenschutzvorfall, da die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Die AP sah hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das Bußgeld erging jedoch unabhängig von dieser Frage allein auf Grund der Tatsache, dass booking.com den Datenschutzvorfall erst nach 22 Tagen den betroffenen Kunden und erst nach 25 Tagen der Aufsichtsbehörde gemeldet hatte. Eine Datenpanne dieses Ausmaßes hätte der Datenschutzbehörde gemäß Art.33 Abs.1 DSGVO spätestens binnen 72 Stunden nach Bekanntwerden bei booking.com gemeldet werden müssen.

Gegen das Bußgeld kann noch Widerspruch eingelegt werden. booking.com hat jedoch bereits erklären lassen, das Bußgeld zu akzeptieren. Die booking.com-Datenbank sei zu keinem Zeitpunkt kompromittiert worden, man wolle aber an einer Verbesserung der internen Prozesse arbeiten.

Bemerkenswert and dieser Bußgeldentscheidung ist, dass der eigentliche Vorfall nicht sanktioniert wurde. Vielmehr wurde allein die verspätete Meldung bestraft. Dies belegt, dass die Aufsichtsbehörden eben nicht nur die Maßnahmen zur Verhinderung von Datenschutzvorfällen prüfen und sanktionieren. Auch die verspätete Meldung von Vorfällen an die Aufsichtsbehörden und/oder die Betroffenen stellt einen eigenen und sanktionierungsfähigen Verstoß dar.

Verantwortliche sind daher gut beraten, ihre internen Prozesse zur Meldung von Datenschutzvorfällen zu überprüfen und sicherzustellen, dass eine erforderliche Meldung rechtzeitig erfolgen kann. Dabei ist insbesondere zu berücksichtigen, dass es sich bei der Frist von 72 Stunden um eine Maximalfrist handelt und diese – jedenfalls nach Auffassung der deutschen Aufsichtsbehörden – auch am Wochenende oder an Feiertagen läuft. Vor dem Hintergrund der üblicherweise erforderlichen Sachverhaltsermittlungen im Unternehmen müssen hierfür entsprechende organisatorische Vorkehrungen getroffen werden.

Explore #more

17.05.2024 | KPMG Law Insights

Podcast-Serie „KPMG Law on air“: Wenn das Familienunternehmen verkauft werden soll

Circa 38.000 Familienunternehmen werden momentan pro Jahr übergeben. In den meisten Fällen findet der Inhaberwechsel innerhalb der Familie statt. Doch immer häufiger entschließen sich Familien…

14.05.2024 | KPMG Law Insights

So können Rechtsabteilungen KI im Vertragsmanagement nutzen

Der Einsatz künstlicher Intelligenz ermöglicht es Rechtsabteilungen, manuelle Prozesse im Vertragsmanagement zu automatisieren. Dies steigert die Effizienz über den gesamten Lebenszyklus eines Vertrags hinweg und…

10.05.2024 | PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: Auch Legal Counsel haben Teil an der sozialen Verantwortung des Unternehmens.

In der Ausgabe 3/2024 (Seite 20 ff.) des In-house Counsel findet sich ein Beitrag mit Statement von KPMG Law Expertin Kathrin Brügger. ESG, kurz…

10.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: EU-Drittstaatensubventionsverordnung

In der Ausgabe 3/2024 (Seite 50 ff.) des In-house Counsels findet sich ein Beitrag mit Statement von KPMG Law Experte Jonas Brueckner. Seit Juli des…

08.05.2024 | KPMG Law Insights

ArbG Hamburg: Erlaubnis von ChatGPT ist nicht mitbestimmungspflichtig

Wenn ein Arbeitgeber seinen Mitarbeitenden die Verwendung von generativer KI wie ChatGPT bei der Arbeit über private Accounts erlaubt und hierfür Regeln aufstellt, muss er…

07.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im Handelsblatt mit KPMG Law Statement: Komplexe Prüfung bei M&A Transaktionen und in öffentlichen Vergabeverfahren

In der Ausgabe vom 06. Mai im Handelsblatt  findet sich ein Beitrag mit einem Statement von KPMG Law Experte Jonas Brueckner. Bei M&A-Transaktionen und…

03.05.2024 | KPMG Law Insights

Zweifel an der Arbeitsunfähigkeit? Das können Arbeitgeber tun

Die Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) dient dem Nachweis einer krankheitsbedingten Arbeitsunfähigkeit. Allerdings nur, wenn die Bescheinigung bestimmten Vorgaben der Arbeitsunfähigkeits-Richtlinie entspricht. Ist das nicht der Fall, kann…

03.05.2024 | KPMG Law Insights

ESG ist ein weiterer Grund für den Kampf gegen Produktpiraterie

Produktpiraterie ist auf dem Vormarsch, auch bedingt durch den stetig wachsenden Online-Handel. Ein Großteil der gefälschten Waren wird außerhalb der EU hergestellt, wo andere –…

03.05.2024 | PR-Veröffentlichungen

Statement von Thomas Wolf in der Creditreform

Froh, traurig, wütend, entschlossen, unsicher – die Stimme verrät viel über unsere Stimmung. Kann sie auch Aufschluss über unsere Persönlichkeit, die beruflichen Chancen oder gar…

30.04.2024 | KPMG Law Insights

Novelle der Industrieemissionsrichtlinie verabschiedet

Am 12. April 2024 hat der Europäische Rat mit großer Mehrheit die Trilog-Vereinbarung zur Novelle der Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) angenommen. Hauptziel der Überarbeitung…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll