Bußgeld wegen Verletzung der DSGVO-Meldepflicht: Booking.com
Tagtäglich kommt es in Unternehmen zu Datenschutzpannen. Diese sind teils auf interne Fehler eines Unternehmens, teils auf kriminelle Cyberangriffe durch Hacker zurückzuführen. Kommt es zu einer Datenpanne, ist eine schnelle Reaktion der Verantwortlichen erforderlich.
Ansonsten können empfindlich hohe Bußgelder drohen. So wurde gegen das niederländische Buchungsportal Booking.com eine Geldbuße in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne verhängt.
Das Wichtigste auf einen Blick
1. Hintergrund
Über Mitarbeiterkonten von 40 Hotels in den Vereinigten Arabischen Emiraten konnten Betrüger Daten von 4109 Kunden des niederländischen Buchungsportals Booking.com abgreifen.
Die Angreifer verschafften sich mittels „social-engineering“-Techniken die Mitarbeiterzugänge für die Systeme. Über die Zugänge der Hotelangestellten hatten die Hacker Zugriff auf die Daten der Gäste, die sich in den betreffenden Hotels eine Unterkunft über das Internetportal gebucht hatten.
Dabei konnten personenbezogene Daten wie Namen, Adressen, Telefonnummern und andere Buchungsdetails eingesehen werden. Zudem hatten die Angreifer auch in 283 Fällen Einsicht in Kreditkarteninformationen, wovon in 97 Fällen auch die Sicherheitsnummer bekannt war.
Darüber hinaus versuchten die Kriminellen mehr Kreditkartendaten zu beschaffen, indem sie sich telefonisch oder per E-Mail als Hotelmitarbeiter ausgaben.
Das Unternehmen machte erst 25 Tage, nachdem es von diesem Vorfall Kenntnis erlangt hatte, Meldung an die zuständige Datenschutzbehörde. Dies stellte einen Verstoß gegen die Meldepflicht aus Art. 33 DSGVO dar, sodass die Aufsichtsbehörde das Unternehmen mit einem Bußgeld in Höhe von 475.000 Euro sanktionierte.
2. Pflicht zur Meldung einer Datenpanne
Nach Art. 33 Abs. 1 der Datenschutzgrundverordnung besteht die Pflicht des für die Datenverarbeitung Verantwortlichen eine Datenpanne unverzüglich, möglichst innerhalb von 72 Stunden seit Bekanntwerden des Vorfalls der zuständigen Aufsichtsbehörde zu melden.
Nach Art. 4 Nr. 12 DSGVO spricht man von einer Datenpanne, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, die zu einem Verlust, einer Veränderung oder Vernichtung der personenbezogenen Daten führt oder, wenn ein Zugriff unbefugter Dritter durch die Datenschutzverletzung ermöglicht wird.
3. Inhalt der Meldung einer Datenpanne
Die Meldung an die Datenschutzbehörde muss eine ausführliche Beschreibung der Datenpanne enthalten. Darin müssen die Art der Datenschutzverletzung, eine Angabe der betroffenen Datenkategorie sowie der ungefähren Zahl der betroffenen Datensätze enthalten sein.
Zudem ist eine Beschreibung der wahrscheinlich zu erwartenden Konsequenzen der Datenpanne sowie eine Schilderung der bereits ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und zur Eindämmung des Schadens. Soweit im Unternehmen ein Datenschutzbeauftragter bestellt ist, sind dessen Kontaktdaten ebenfalls anzugeben.
4. Frist für die Meldung einer Datenpanne
Die Meldefrist von 72 Stunden soll eine schnelle Reaktion zur Eindämmung von Schäden und Risiken für die Rechte und Freiheiten der betroffenen Personen gewährleisten.
Von der Frist kann ausnahmsweise dann abgewichen werden, wenn dem Verantwortlichen zum jeweiligen Zeitpunkt nicht genügend Informationen für eine aussagekräftige Meldung an die Datenschutzbehörde vorliegen. Allerdings muss der Verantwortliche die Verspätung überzeugend begründen.
Stellt man nach einer angemessenen Untersuchungsfrist fest, dass Risiken nicht ausgeschlossen werden können, kann man gegebenenfalls nach Art. 33 Abs. 4 DSGVO weitere Informationen schrittweise an die Aufsichtsbehörde übermitteln.
5. Ausnahmen der Meldepflicht
Eine Ausnahme der Meldepflicht aus Art. 33 Abs. 1 DSGVO kommt in Betracht, wenn der Verantwortliche eine Risikoprognose vorgenommen hat, und die Datenschutzverletzung im Ergebnis kein oder nur ein geringes Risiko für die Rechte und Freiheiten des Betroffenen zur Folge hat.
Experteninfo
Besteht die Gefahr einer Rufschädigung, eines Identitätsdiebstahls oder Betrugs, finanzieller Schäden oder Diskriminierung ist von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen und damit von einer Meldepflicht auszugehen.
6. Benachrichtigungspflicht gegenüber Betroffenen
Unter Umständen hat der Verantwortliche auch eine Benachrichtigungspflicht gegenüber Betroffenen. Nach Art. 34 Abs. 1 DSGVO müssen von der Datenpanne Betroffene immer dann benachrichtigt werden, wenn die Verletzung des Schutzes ihrer Daten voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.
7. Ausblick
Datenpannen kommen in nahezu jedem Unternehmen vor. Wichtig dabei sind schnelles Handeln und aktive Schadensbegrenzung. Der Fall von Booking.com zeigt, wie wichtig es ist, ein funktionierendes Datenschutzmanagementsystem zu haben, das eine schnelle Entdeckung und anschließenden Meldung von Datenpannen ermöglicht.
Einführung bestimmter Systeme oder Kontrollmechanismen in Ihrer IT-Abteilung und Sensibilisierung Ihrer Mitarbeiter für Auffälligkeiten können dazu beitragen, Datenschutzpannen schnell zu entdecken, sodass entsprechende Gegenmaßnahmen zeitnah ergriffen werden können.
Im Falle einer Datenpanne kann die Einbindung eines Datenschutzbeauftragten besonders hilfreich sein. Kommt man der Meldepflicht aus Art. 33 und Art. 34 DSGVO nicht hinreichend nach, können Datenschutzbehörden gem. Art. 83 Abs. 4 lit a) DSGVO Bußgelder in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes verhängen.