Nach den Einbußen aufgrund der Corona-Pandemie kommt es für das Reiseportal Booking.com noch schlimmer. Aufgrund der verspäteten Meldung eines Sicherheitsvorfalls muss die Reiseplattform ein Bußgeld von insgesamt 475.000 € bezahlen. Der zugrundeliegende Bescheid vom 10.12.2020 wurde am 31.03.2021 veröffentlicht.
Hintergrund des Bußgeldes
Laut Angaben von Booking.com haben mehrere Hotels im Dezember 2018 versehentlich die Kontaktdaten von Kunden an Online-Betrüger weitergegeben. Zugang zu den Daten bekamen die Betrüger über die Konten der Hotelmitarbeiter. Mit Hilfe der Mitarbeiterkonten gelangten sie an die Daten von Gästen, die über die Reiseplattform Booking.com Zimmer in den jeweiligen Hotels gebucht haben.
Die abgegriffenen Daten umfassen neben Namen, Adressen, Buchungsdetails und Telefonnummern nach Angaben von „The Register“ auch in 283 Fällen Kreditkarteninformationen. Hierbei konnte bei 97 Karten auch die zugehörige Sicherheitsnummer eingesehen werden.
Darüber hinaus versuchten die Angreifer im Anschluss einige Betroffene telefonisch zu kontaktieren. Hierbei gaben sie sich als Angestellte von Booking.com aus, um weitere Kreditkartendaten zu erhalten.
Verspätete Meldung
Entsprechend den Vorgaben der Datenschutz-Grundverordnung (DSGVO) müssen Datenlecks binnen 72 Stunden nach Bekanntwerden gemeldet werden. Booking.com soll von dem Vorfall am 13. Januar 2019 Kenntnis erlangt haben. Erst 22 Tage später, also am 04. Februar 2019, wurden die Betroffenen darüber informiert und erst nach weiteren 3 Tagen, also am 07. Februar 2019, wurde die zuständige Datenschutzbehörde informiert.
Die Vizepräsidentin der niederländischen Datenschutzbehörde, Monique Verdier, äußerte sich gegenüber dem Onlinemagazin „The Record“ und benannte den Vorfall als „schweren Verstoß“. Ergänzend fügte sie hinzu: „Eine Datenschutzverletzung kann leider überall passieren, auch wenn Sie gute Vorsichtsmaßnahmen getroffen haben. Aber um Schaden für Ihre Kunden und die Wiederholung einer solchen Datenverletzung zu verhindern, müssen Sie diese rechtzeitig melden.“
Handlungsempfehlung
Die Grundlage des Bußgeldes gegen Booking.com verdeutlicht einmal mehr, wie essenziell es ist, dass Unternehmen sich intern gut strukturieren.
Innerhalb des Unternehmens muss klar definiert sein, wann und wie ein Datenleck zu melden ist. Zudem ist es wichtig, alle Mitarbeiter entsprechend zu schulen. Diesen sollte klar sein, wann es sich um ein Datenleck handelt und wie eine schnelle Meldung sichergestellt werden kann. Hierzu ist es wichtig, dass jedes Unternehmen eigene klar definierte Prozesse vorgibt, nach denen eine unverzügliche Meldung intern und im nächsten Schritt an die Datenschutzbehörde erfolgt. Anderenfalls kann es schnell sehr teuer werden und auch ein möglicher Image-Schaden sollte hinreichend Beachtung finden.
Von Tamina Wiatr, 04.05.2021
