Mehr Infos

Booking.com Datenpanne DSGVO

 
 
 

 

Bußgeld i.H.v. 475.000 € wegen verspäteter Meldung einer Datenschutzpanne

Spätestens seit der Einführung der Datenschutzgrundverordnung im Mai 2018 sollten Unternehmen die DSGVO und die dort benannten Pflichten ernst nehmen. Immer wieder verhängen die Datenschutzbehörden hohe Bußgelder wegen Missachtung datenschutzrechtlicher Grundsätze. So wurde das niederländische Portal für die Buchung von Unterkünften Booking.com mit einem Bußgeld in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne sanktioniert.

 

Das Wichtigste in Kürze

  • Eine Datenpanne liegt dann vor, wenn es zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten kommt oder unbefugte Dritte Kenntnis von den personenbezogenen Daten erlangen.

  • Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.

  • Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

  • Die Verletzung der Meldepflicht kann mit einer Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes sanktioniert werden.

 

Die Datenpanne

Der Bußgeldbescheid der niederländischen Datenschutzbehörde erging infolge einer schweren Datenpanne, die sich bei dem internationalen Online-Portal für die Buchung von Übernachtungsmöglichkeiten Booking.com abgespielt hat. Im Dezember 2018 verschafften sich Cyber-Kriminelle Zugang zu personenbezogenen Daten von über 4.000 Kunden.

Dafür sollen sie sich Zugangsdaten für die Booking.com-Konten von ca. 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten beschafft haben.

Über die anschließende Nutzung der Plattform, konnten die Hacker auf die personenbezogenen Daten der Kunden zugreifen.

Gestohlen wurden komplette Datensätze mit Namen, Adressen sowie Zahlungsmitteln. Laut Booking.com soll es jedoch zu keiner Kompromittierung  des Codes sowie der Datenbanken gekommen sein.

Darüber hinaus konnten die Hacker telefonisch und per E-Mail, indem sie sich als Mitarbeiter der Plattform ausgaben, Kreditkartendaten abgreifen, wobei teilweise die Sicherheitsnummern einsehbar waren.

 

DSGVO-Verstoß: Verspätete Meldung der Datenpanne

Das Unternehmen mit Sitz in den Niederlanden stellte die Sicherheitsverletzung am 13. Januar 2019 fest. Eine Meldung an die Datenschutzbehörde erfolgte demgegenüber erst 25 Tage später am 7. Februar 2019, nachdem das Unternehmen drei Tage zuvor seine Kunden benachrichtigt hatte. Dieses Vorgehen stellt einen schweren Verstoß gegen die Meldepflicht aus der DSGVO dar.

 

Wann besteht eine Meldepflicht?

Gem. Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden.

Eine Datenpanne liegt gem. Art. 4 Nr. 12 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, die zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten führt oder zur Kenntnisnahme durch unbekannte Dritte.

Unter den Begriff der Datenschutzverletzung sind folgende Situationen zu fassen:

  • Vernichtung

Erfasst sind alle Formen der Datenlöschung, die eine unwiderrufliche Zerstörung von Daten zur Folge hat, ganz gleich, ob dies vorsätzlich oder unbeabsichtigt erfolgt.

  • Verlust

Auch Daten, die unvorhergesehen verloren gehen, ganz gleich, ob nur vorübergehend oder dauerhaft können einen Datenschutzverstoß darstellen.

  • Veränderung

Darunter ist die inhaltliche Umgestaltung von Daten zu verstehen, durch die personenbezogene Daten einen neuen Informationsgehalt aufweisen.

  • Offenlegung/Weitergabe

Insbesondere die Weitergabe von Daten an Dritte oder die Offenlegung gegenüber Dritten kann einen Datenschutzverstoß bedeuten, wenn keine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage einschlägig ist.

  • Unbefugter Zugriff

Können sich Dritte aufgrund unzureichender Sicherheitsmaßnahmen unbefugt Zugang zu personenbezogenen Daten verschaffen und von diesen Kenntnis nehmen, stellt auch dies eine Datenschutzverletzung dar.

Tritt eine dieser Situationen ein, liegt in der Regel eine meldepflichtige Datenschutzverletzung im Sinne des Art. 33 Abs. 1 DSGVO vor.

 

Frist zur Meldung einer Datenpanne

Gem. Art. 33 Abs. 1 DSGVO muss eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.

Die Vorgabe der 72 Stunden-Frist soll eine schnelle Meldung sowie damit einhergehende Maßnahmen zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleisten.

Eine Überschreitung der Frist des Art. 33 Abs. 1 DSGVO ist nur dann zulässig, wenn für eine Meldung zu diesem Zeitpunkt nicht genügend Informationen vorliegen. Ist dies der Fall, muss bei Vornahme der Meldung eine überzeugende Begründung der Verzögerung beigefügt werden.

Sofern die inhaltlichen Mindestanforderungen nicht sofort, sondern nur schrittweise erfüllt werden können, besteht nach Art. 33 Abs. 4 DSGVO die Option, die erforderlichen Informationen nach und nach an die zuständige Behörde herauszugeben.

Für die Einhaltung der verhältnismäßig kurzen Frist ist es von großer Wichtigkeit, Datenschutzverletzungen im eigenen Unternehmen schnellstmöglich feststellen zu können. Aus diesem Grund ist es empfehlenswert, Prozesse für die Meldung von Datenpannen zu etablieren.

 

Meldepflicht des Verantwortlichen

Die Meldepflicht trifft grundsätzlich den für die Datenverarbeitung Verantwortlichen.

Sofern eine gemeinsame Verantwortlichkeit vorliegt, ist eine vorherige Festlegung der Verantwortung für eine Meldung erforderlich. Regelmäßig wird die Person, in deren Zuständigkeit die Datenschutzverletzungen dieser Art fallen, verantwortlich sein.

Kommt es im Rahmen einer Auftragsverarbeitung zu einer Datenschutzpanne, hat der Beauftragte gemäß Art. 33 Abs. 2 DSGVO unverzüglich Meldung an den Verantwortlichen zu machen, sodass dieser sich an die zuständige Aufsichtsbehörde wenden kann. Der Auftragsverarbeiter muss die Datenpanne hingegen nicht an die zuständige Aufsichtsbehörde melden.

 

Ausnahme der Meldepflicht

Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

Zentraler Anknüpfungspunkt ist demnach eine zuvor vorgenommene Risikoprognose. Der Verantwortliche muss eine Bewertung des Risikos vornehmen, bei der das Verhältnis von Schwere und Eintrittswahrscheinlichkeit der Verletzung sowie der Schadenshöhe berücksichtigt wird. Dabei müssen für das Nichtvorliegen des Risikos keine Beweise vorliegen. Eine schlüssige Prognose ist ausreichend.

 

Inhaltliche Anforderungen an die Meldepflicht

Inhaltliche Mindestanforderungen einer Meldung an die Aufsichtsbehörde regelt Art. 33 Abs. 3 DSGVO.

Danach muss die Meldung eine umfassende Beschreibung der Art der Datenschutzverletzung (z.B. Zugriff unbefugter Dritter) haben. Darin muss soweit es möglich ist, eine Angabe der Kategorien (z.B. Kundendaten) und der ungefähren Zahl der Betroffenen sowie die ungefähre Zahl der betroffenen personenbezogenen Datensätze enthalten sein.

Weiterhin muss aus der Meldung der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Konsequenzen der Datenschutzverletzung sowie eine Beschreibung der vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und gegebenenfalls zur Abmilderung der nachteiligen Auswirkungen hervorgehen.

 

Benachrichtigung Betroffener über eine Datenpanne

Weiterhin enthält die Verordnung eine abgestufte Melde- und Benachrichtigungspflicht.

So müssen Betroffene im Gegensatz zur Aufsichtsbehörde nach Art. 34 Abs. 1 DSGVO immer erst dann benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.

Anders als gegenüber der Aufsichtsbehörde muss der Verantwortliche dem Betroffenen kein umfassendes Bild der Datenschutzverletzung geben. Aus der Benachrichtigung muss lediglich die Art der Datenschutzverletzung hervorgehen, etwaige Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen sowie der bereits ergriffenen und empfohlenen Maßnahmen.

Trifft der Verantwortliche im Vorfeld geeignete Sicherheitsvorkehrungen, die einen Zugriff Dritter auf die schützenswerten Daten effektiv verhindern (bspw. durch Verschlüsselung), muss der Betroffene entsprechend Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden. Dasselbe gilt für den Fall, dass der Verantwortliche als Reaktion auf die Datenpanne Maßnahmen ergreift, die mit hoher Wahrscheinlichkeit sicherstellen, dass das hohe Risiko für die Daten des Betroffenen nicht mehr besteht.

 

Form der Meldung einer Datenpanne

Auch wenn Art. 33 DSGVO keine Vorgaben hinsichtlich der Form einer Meldung enthält, empfiehlt es sich aus Gründen des Nachweises einen schriftlichen Meldenachweis zu führen.

Denn in diesem Zusammenhang besteht eine allgemeine Dokumentationspflicht des Verantwortlichen aus der DSGVO, die zum einen der aufsichtsbehördlichen Prüfung und zum anderen dem Verantwortlichen als Nachweis dienen soll.

Entsprechende Meldeformulare sind regelmäßig auf den Webseiten der Landesdatenschutzbehörden zu finden.

 

Bußgeld wegen verspäteter Meldung der Datenpanne

Im Fall von Booking.com hat die niederländische Datenschutzbehörde zur Sanktion der zu spät eingegangenen Meldung ein Bußgeld in Höhe von 475.000 Euro verhängt.

Gem. Art. 83 Abs. 4 lit. a) DSGVO kann bei der Verletzung der Pflicht aus Art. 33 DSGVO eine Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes gegen den Verantwortlichen verhängt werden.

 

Ausblick

Bußgelder wie im Fall von Booking.com führen deutlich vor Augen, welche Konsequenzen die mangelhafte Umsetzung der DSGVO und der aus ihr resultierenden Pflichten haben kann. Die Aufsichtsbehörden nehmen die DSGVO ernst und prüfen nicht nur, ob Unternehmen ausreichende Maßnahmen zur Prävention von Datenschutzpannen treffen, sondern sanktionieren vielmehr auch den fehlerhaften Umgang mit Datenpannen, insbesondere verspätete Meldung an die zuständige Behörde. Bereiten Sie Ihr Unternehmen jetzt auf den richtigen Umgang mit Datenschutzpannen vor, indem sie interne Richtlinien zum Vorgehen bei Datenschutzverletzungen aufstellen sowie technische Maßnahmen implementieren, um solchen vorzubeugen.

Call Now ButtonKontakt aufnehmen