Mandanten-Informationen
Mandanten-Informationen

Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenschutzvorfalls

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat gegen die Übernachtungs- und Reisevermittlungsplattform booking.com ein Bußgeld von 475.000 Euro verhängt, weil diese einen Datenschutzvorfall nicht rechtzeitig gemeldet hatte.

Bereits im Jahr 2019 war es Hackern gelungen auf die Daten von 4109 Kunden von booking.com (https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-bookingcom-delay-reporting-data-breach_en) zuzugreifen. Bei den Daten handelte es sich neben Namen, Adressen, Telefonnummern und Details zu Hotelbuchungen auch um Kreditkarteninformationen von 283 Betroffenen, in 97 Fällen einschließlich der Sicherheitsnummern. Zugang zu den Daten erhielten die Hacker über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten, vermutlich durch „socialengineering“-Techniken oder Phishing. Darüber hinaus versuchten die Hacker Zugriff auf weitere Kreditkartendaten zu erlangen, indem sie Gäste der Hotels per E-Mail oder Telefon kontaktierten. Hierdurch bestand auch für diejenigen Kunden von booking.com, deren Kreditkartendaten nicht betroffen waren, ein hohes Sicherheitsrisiko.

booking.com sah sich nicht in der Verantwortung für den Datenschutzvorfall, da die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Die AP sah hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das Bußgeld erging jedoch unabhängig von dieser Frage allein auf Grund der Tatsache, dass booking.com den Datenschutzvorfall erst nach 22 Tagen den betroffenen Kunden und erst nach 25 Tagen der Aufsichtsbehörde gemeldet hatte. Eine Datenpanne dieses Ausmaßes hätte der Datenschutzbehörde gemäß Art.33 Abs.1 DSGVO spätestens binnen 72 Stunden nach Bekanntwerden bei booking.com gemeldet werden müssen.

Gegen das Bußgeld kann noch Widerspruch eingelegt werden. booking.com hat jedoch bereits erklären lassen, das Bußgeld zu akzeptieren. Die booking.com-Datenbank sei zu keinem Zeitpunkt kompromittiert worden, man wolle aber an einer Verbesserung der internen Prozesse arbeiten.

Bemerkenswert and dieser Bußgeldentscheidung ist, dass der eigentliche Vorfall nicht sanktioniert wurde. Vielmehr wurde allein die verspätete Meldung bestraft. Dies belegt, dass die Aufsichtsbehörden eben nicht nur die Maßnahmen zur Verhinderung von Datenschutzvorfällen prüfen und sanktionieren. Auch die verspätete Meldung von Vorfällen an die Aufsichtsbehörden und/oder die Betroffenen stellt einen eigenen und sanktionierungsfähigen Verstoß dar.

Verantwortliche sind daher gut beraten, ihre internen Prozesse zur Meldung von Datenschutzvorfällen zu überprüfen und sicherzustellen, dass eine erforderliche Meldung rechtzeitig erfolgen kann. Dabei ist insbesondere zu berücksichtigen, dass es sich bei der Frist von 72 Stunden um eine Maximalfrist handelt und diese – jedenfalls nach Auffassung der deutschen Aufsichtsbehörden – auch am Wochenende oder an Feiertagen läuft. Vor dem Hintergrund der üblicherweise erforderlichen Sachverhaltsermittlungen im Unternehmen müssen hierfür entsprechende organisatorische Vorkehrungen getroffen werden.

Ansprechpartner:

KPMG Law

Das könnte Sie auch interessieren

Rückenwind für Mieter in der COVID-19-Pandemie

Die Maßnahmen zur Eindämmung der COVID-19-Pandemie im Jahr 2020 betrafen viele Immobiliensegmente schwer. Viele Mieter und Pächter verzeichneten aufgrund der häufig eingeschränkten Öffnungsmöglichkeiten erhebliche Umsatzeinbußen....
mehr

Umfang des datenschutzrechtlichen Auskunftsanspruches: Kann der Arbeitnehmer die Herausgabe seiner dienstlich verfassten E-Mails verlangen? (BAG, 27. April 2021 - 2 AZR 342/20)

Arbeitgeber werden mittlerweile vermehrt mit Auskunftsansprüchen von (ehemaligen) Arbeitnehmern konfrontiert. Was genau aber Gegenstand des Auskunftsanspruches sein kann und in welchem Umfang diesem nachgekommen werden...
mehr

Neue HOAI 2021 – Auswirkungen auf die Vertragsgestaltung in der Praxis

Zum 1. Januar 2021 ist die neue Honorarordnung für Architekten und Ingenieure (HOAI 2021) in Kraft getreten. Die Überarbeitung war aufgrund des EuGH-Urteils vom 4....
mehr

KPMG Law berät Westfalen AG beim Verkauf ihrer tschechischen Tochtergesellschaft Westfalen Gas s.r.o.

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die Westfalen AG mit Sitz in Münster beim Verkauf ihres Geschäftsbereichs Technische Gase Tschechien einschließlich ihrer tschechischen...
mehr