Am 10.12.2020 wurde ein Bußgeld-Verfahren gegen booking.com geschlossen. Das Unternehmen mit Hauptsitz im niederländischen Amsterdam muss ein Bußgeld in Höhe von 475.000 Euro zahlen. Das Onlinebuchungsportal booking.com war im Dezember 2018 Opfer eines Hackerangriffs geworden, bei dem Daten von 4.109 Kunden gestohlen wurden. Die Höhe des Bußgeldes resultiert allerdings auch daraus, dass booking.com den Vorfall nicht schnell genug an die zuständige Datenschutzbehörde gemeldet hat.
Das Unternehmen erlangte am 13.01.2019 Kenntnis von dem Vorfall, meldete diesen allerdings erst am 07.02.2019 an die niederländische Datenschutzbehörde. Als vorwiegender Verstoß wird aus diesem Grund auch der Artikel 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) angegeben. Datenschutzverstöße sind mit einer Frist von 72 Stunden nach Kenntnisnahme an die Behörde zu melden. Diese Frist hat booking.com mit einer ca. 4 Wochen verspäteten Meldung weit überschritten. Die Information der Betroffenen erfolgte ebenfalls erst am 04.02.2019, allerdings sogar vor der Meldung an die Datenschutzbehörde.
Bei dem Hackerangriff kam es zum Datendiebstahl von 4.109 Kunden, darunter unter anderem Namen, Adressen, Telefonnummern sowie Angaben zu den Buchungen der Kunden. Bei 283 betroffenen Personen wurden auch Kreditkarteninformationen und der verwendete Sicherheitscode (bei 97 Personen) gestohlen. Im Nachgang wurde festgestellt, dass die Hacker über die gestohlenen Daten die Kunden kontaktieren und versuchten gefälschte Zahlungsaufforderungen einzutreiben.
Quellenangaben
- Artikel „Top 5 DSGVO-Bußgelder im März 2021“, abgerufen am 13.04.2021 unter https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-maerz-2021/
- Zusammenfassung des Falls auf dem „GDPR Enforcement Tracker“, abgerufen am 13.04.2021 unter https://www.enforcementtracker.com/