Booking.com muss fast eine halbe Million Euro Bußgeld wegen DSGVO-Verstoßes zahlen
Kommt es bei einem Unternehmen zu einer Datenpanne, muss dies der zuständigen Behörde gem. Art. 33 Abs. 1 DSGVO grundsätzlich innerhalb von 72 Stunden gemeldet werden. Wichtig ist dies vor allem bei Vernichtung, Verlust oder Veränderung von Daten, unbefugter Offenlegung oder unbefugter Zugriffsmöglichkeit. Vorliegend kam es zu einer Meldeverzögerung – statt 3 dauerte es 25 Tage, bis der Behörde der Verstoß mitgeteilt wurde.
Online-Betrüger hatten Zugriff auf Kundendaten wie Name, Adresse, Telefonnummer oder Buchungsdetails erlangt, betroffen waren ungefähr 4000 Kunden. Bei knapp 300 Kunden schafften es die Betrüger außerdem an Kreditkartendaten, teilweise sogar inklusive Sicherheitsnummern. Mithilfe sogenannter „Social Engineering“-Techniken konnte auf die Konten von Mitarbeitern von Hotels aus den Vereinigten Arabischen Emiraten zugegriffen werden, über die die Betrüger dann an die Daten gelangten. Die betroffenen Personen wurden nach 22 Tagen informiert, die niederländische Datenschutzbehörde erst weitere drei Tage später.
Grund für das Bußgeld ist allein die Meldeverzögerung, es steht laut Unternehmen in keinerlei Verbindungen mit den Datenschutz- und Sicherheitsvorkehrungen. Nun sollen nach eigenen Angaben des Portals Prozesse beschleunigt und optimiert sowie Mitarbeiter sensibilisiert werden, um derartigen Vorfällen künftig entgegenzuwirken. Dank Transparenz und Zusammenarbeit mit der Behörde ist das Bußgeld 50 000 Euro niedriger ausgefallen als angesetzt.