Bußgeld für Booking.com: Warum der Reisevermittler 475.000€ blechen muss

Die niederländische online Reisevermittlung Booking.com ist weltweit aus der Reisebranche nicht mehr wegzudenken. Die Funktionsweise der Reiseplattform besteht darin, die Buchungen von Hotelzimmern, Pensionen und anderen Unterkünften zwischen Konsument und Anbieter zu vereinfachen. Dieser Prozess setzt die Datenübermittlung zwischen Booking.com und den einzelnen Unterkünften voraus, wobei personenbezogene Daten wie Namen, Adresse und Kontodaten an die Anbieter der Unterkünfte weitergegeben werden. Das dabei Datenpannen auftreten können, ist selbstverständlich, doch wie kam es dazu, dass Booking.com eine so saftige Summe zahlen muss?

Was ist passiert?

Der Grund für das DSGVO-Bußgeld ist die fehlerhafte Reaktion der Reiseplattform auf Datenschutzverletzungen im Dezember 2018. Online-Betrüger haben über Booking.com-Konten von verschiedenen Hotels in den Vereinigten Arabischen Emiraten Zugang zu Kundendaten erlangt. Dabei konnten die Daten von mehr als 4000 betroffenen Personen abgegriffen werden, unter welchen sich sogar 283 Kreditkartendaten sowie 97 Sicherheitsnummer befanden.  

Obwohl die Booking.com bereits am 13. Januar 2019 bemerkt hat, dass der Datenschutzverstoß stattgefunden hat, haben Sie den Vorfall jedoch erst am 7. Februar, 22 Tage später, an die niederländische Datenschutzbehörde gemeldet. Die Betroffenen wurden bereits am 4. Februar informiert. 

Wie hätten Booking.com auf die Datenschutzverletzung reagieren müssen?

Datenpannen können in allen Unternehmen passieren, vor allem dort, wo viele Daten gespeichert und verarbeitet werden. Wichtig ist es zu wissen, wie man in einem solchen Fall zu reagieren hat:

Neben der transparenten Kommunikation mit den Betroffenen setzt die Datenschutz-Grundverordnung voraus, dass Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls an die zuständige Datenschutzbehörde gemeldet werden müssen. Eine Frist, die Booking.com um 19 Tage verpasst hat! 

Solche Datenschutzverletzungen können fatale Folgen für Kunden und die Firma haben, egal wie gut die Vorsichtsmaßnahmen im Unternehmen sind. Es ist wichtig, sich vor Augen zu führen, dass der Schlüssel darin liegt, richtig mit Datenpannen umzugehen, um den Schaden der Betroffenen zu mindern und zukünftige Vorfälle zu vermeiden.

Pridatects Fazit

Datenpannen passieren täglich und sind nicht immer auf Hacker-Attacken wie bei Booking.com zurückzuführen. Eine Datenpanne liegt bereits dann vor, wenn Sie Ihren Arbeitslaptops verlieren. Sie unterliegen jedoch nicht immer der Meldepflicht. Hat Ihr Unternehmen ausreichende technische und organisatorische Maßnahmen zum Schutz der Daten implementiert und beispielsweise alle Daten auf dem Gerät verschlüsselt, können die Risiken von Datenschutzpannen so sehr gemindert werden, dass der Vorfall nicht meldepflichtig ist.

Eine Datenschutzverletzung wie die von Booking.com hingegen ist an ein hohes Risiko gebunden. Eine korrekte Dokumentation und fristgerechte Meldung innerhalb 72 Stunden ist dann unabdingbar und gesetzlich verpflichtend.

Sensibilisieren und schulen Sie Ihre Mitarbeiter im DSGVO-konformen Umgang mit Daten und stellen Sie ihnen die richtigen und notwendigen Werkzeuge und Informationen zur Verfügung. Nur so können Sie die Wahrscheinlichkeit für Datenschutzverletzungen und deren Risiken so gering wie möglich halten und größere Schaden, Bußgelder und zukünftige Fehler vermieden werden.

Hinweis: Dieser Blogeintrag stellt keine Rechtsberatung dar, sondern dient lediglich zu Informationszwecken.

Teilen Sie diesen Artikel

Teilen

In unserem kostenlosen Webinar zum Thema Datenschutzaudit erklärt Ihnen unsere Datenschutzexpertin und Auditorin Lisa Hofmann mit der Unterstützung unserer Marketing-Spezialistin Ksenija Rohrkamp, wie sie mithilfe von Datenschutzaudits Datenschutzlücken in Ihrem Unternehmen frühzeitig erkennen können, wie sie Ablaufen und welche Anforderungen an Ihr Unternehmen gestellt werden. >> Mehr erfahren

Dieser Artikel wurde geschrieben von:

Lisa Hofmann

TÜV ZERTIFIZIERTE Datenschutzbeauftragte UND DATENSCHUTZAUDITORIN

Lisa ist als TÜV zertifizierte Datenschutzbeauftragte bei Pridatect für die Produktentwicklung der internationalen Datenschutzplattform zuständig. Als studierte Juristin, hat sie über 6 Jahre in diversen Unternehmen Datenschutzprogramme als interne Datenschutzbeauftragte implementiert und verantwortet. Sie ist leidenschaftlich daran interessiert Datensicherheit durch innovative technische Lösungen jedem Unternehmen einfach zugänglich zu machen.
Suche

Newsletter

Möchten Sie regelmäßig Neuigkeiten zu Datenschutz und DSGVO erhalten? Abonnieren Sie unseren Newsletter und wir senden Ihnen als erstes neue Blog Artikel, Webinare und Ebooks zu.

Ähnliche Artikel