Die niederländische online Reisevermittlung Booking.com ist weltweit aus der Reisebranche nicht mehr wegzudenken. Die Funktionsweise der Reiseplattform besteht darin, die Buchungen von Hotelzimmern, Pensionen und anderen Unterkünften zwischen Konsument und Anbieter zu vereinfachen. Dieser Prozess setzt die Datenübermittlung zwischen Booking.com und den einzelnen Unterkünften voraus, wobei personenbezogene Daten wie Namen, Adresse und Kontodaten an die Anbieter der Unterkünfte weitergegeben werden. Das dabei Datenpannen auftreten können, ist selbstverständlich, doch wie kam es dazu, dass Booking.com eine so saftige Summe zahlen muss?
Was ist passiert?
Der Grund für das DSGVO-Bußgeld ist die fehlerhafte Reaktion der Reiseplattform auf Datenschutzverletzungen im Dezember 2018. Online-Betrüger haben über Booking.com-Konten von verschiedenen Hotels in den Vereinigten Arabischen Emiraten Zugang zu Kundendaten erlangt. Dabei konnten die Daten von mehr als 4000 betroffenen Personen abgegriffen werden, unter welchen sich sogar 283 Kreditkartendaten sowie 97 Sicherheitsnummer befanden.
Obwohl die Booking.com bereits am 13. Januar 2019 bemerkt hat, dass der Datenschutzverstoß stattgefunden hat, haben Sie den Vorfall jedoch erst am 7. Februar, 22 Tage später, an die niederländische Datenschutzbehörde gemeldet. Die Betroffenen wurden bereits am 4. Februar informiert.
Wie hätten Booking.com auf die Datenschutzverletzung reagieren müssen?
Datenpannen können in allen Unternehmen passieren, vor allem dort, wo viele Daten gespeichert und verarbeitet werden. Wichtig ist es zu wissen, wie man in einem solchen Fall zu reagieren hat:
Neben der transparenten Kommunikation mit den Betroffenen setzt die Datenschutz-Grundverordnung voraus, dass Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls an die zuständige Datenschutzbehörde gemeldet werden müssen. Eine Frist, die Booking.com um 19 Tage verpasst hat!
Solche Datenschutzverletzungen können fatale Folgen für Kunden und die Firma haben, egal wie gut die Vorsichtsmaßnahmen im Unternehmen sind. Es ist wichtig, sich vor Augen zu führen, dass der Schlüssel darin liegt, richtig mit Datenpannen umzugehen, um den Schaden der Betroffenen zu mindern und zukünftige Vorfälle zu vermeiden.
Pridatects Fazit
Datenpannen passieren täglich und sind nicht immer auf Hacker-Attacken wie bei Booking.com zurückzuführen. Eine Datenpanne liegt bereits dann vor, wenn Sie Ihren Arbeitslaptops verlieren. Sie unterliegen jedoch nicht immer der Meldepflicht. Hat Ihr Unternehmen ausreichende technische und organisatorische Maßnahmen zum Schutz der Daten implementiert und beispielsweise alle Daten auf dem Gerät verschlüsselt, können die Risiken von Datenschutzpannen so sehr gemindert werden, dass der Vorfall nicht meldepflichtig ist.
Eine Datenschutzverletzung wie die von Booking.com hingegen ist an ein hohes Risiko gebunden. Eine korrekte Dokumentation und fristgerechte Meldung innerhalb 72 Stunden ist dann unabdingbar und gesetzlich verpflichtend.
Sensibilisieren und schulen Sie Ihre Mitarbeiter im DSGVO-konformen Umgang mit Daten und stellen Sie ihnen die richtigen und notwendigen Werkzeuge und Informationen zur Verfügung. Nur so können Sie die Wahrscheinlichkeit für Datenschutzverletzungen und deren Risiken so gering wie möglich halten und größere Schaden, Bußgelder und zukünftige Fehler vermieden werden.
Hinweis: Dieser Blogeintrag stellt keine Rechtsberatung dar, sondern dient lediglich zu Informationszwecken.
