Gegen das Online-Reiseportal booking.com wurde von der niederländischen Datenschutzbehörde wegen einer verspäteten Meldung einer Datenschutzverletzung ein Bußgeld in Höhe von 475.000 Euro verhangen.
Verspätete Meldung einer schweren Datenschutzverletzung gemäß Art. 33 DSGVO
Im Dezember 2018 wurden Datensätze von 4.109 Kunden aus der Datenbank von booking.com gestohlen. Betroffen waren Namen, Adressen, Telefonnummern, Buchungsangaben sowie Kreditkarteninformationen. Booking.com erfuhr am 13.01.2019 von den Vorfällen, meldete sie der Datenschutzbehörde allerdings erst eine Woche später am 07.02.2019. Betroffene Kunden wurden wenige Tage vorher, am 04.02.2019, informiert.
Rechtlicher Rahmen
Eine Datenschutzverletzung soll laut Artikel 33 Abs. 1 DSGVO unverzüglich nach Bekanntwerden der Verletzung und wenn möglich binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Handelt es sich um einen Verstoß, welcher kein Risiko für die Rechte und Freiheiten der Betroffenen birgt, wird die Frist von 72 Stunden ausgesetzt.
Meldung von „Datenpannen“
Eine Datenschutzverletzung wird in Art. 4 Nr. 12 DSGVO als Sicherheitsbruch definiert, welcher zur Vernichtung, zum Verlust, zur Veränderung oder zur unrechtmäßigen Offenlegung von personenbezogenen Daten führt. Man versteht darunter jedwede Unregelmäßigkeit in der internen Datenverarbeitung, welche zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führen kann.
Grundsätzlich birgt jede Datenschutzverletzung ein Risiko für die Betroffenen. Meldepflichtig sind allerdings nur diese, die wegen der Art der betroffenen Datensätze (wie zum Beispiel Bankinformationen, Passwörter oder Gesundheitsdaten) oder des Umfangs der Daten oder der Betroffenenanzahl ein hohes Risiko aufzeigen. Neben der Offenlegung von Datensätzen für unbefugte Dritte müssen außerdem versehentliche Löschvorgänge oder Vernichtungen von personenbezogenen Daten gemeldet werden.
Der Meldevorgang
Die Meldung eines Datenschutzvorfalls kann oftmals online über Formulare der Datenschutzbehörde geschehen. Um die Datenpanne korrekt melden zu können müssen gewisse Informationssätze über den Vorfall abgefragt werden. Der Vorfall muss zunächst definiert werden: Handelte es sich um einen Hacking-Angriff, Diebstahl, Verlust von Daten oder einer anderen Art? Darauffolgend werden die betroffenen Daten definiert.
Die Art und der Umfang des Vorfalls definieren die damit entstehenden Risiken für Betroffene. Neben der Kategorisierung und Abschätzung der Anzahl an Betroffenen muss außerdem der Datenschutzbeauftragte genannt und eine Folgenabschätzung vorgenommen werden (Art. 33 Abs. 3 lit. a, b, c DSGVO). Hier muss abgeschätzt werden, in welchem Rahmen Betroffene Auswirkungen des Vorfalls erleben könnten. Beispiele hierfür wären Risiken von finanziellen Schäden, Rufschädigung, oder Identitätsdiebstahl. Zusätzlich müssen ergriffene und geplante Maßnahmen zur Behebung und Abmilderung der Verletzung angezeigt werden (Art. 33 Abs. 3 lit. d DSGVO).
Datenschutzvorfälle müssen unverzüglich nach Bekanntwerden des Geschehens und binnen 72 Stunden gemeldet werden. Sollte dies gar nicht oder verspätet geschehen besteht die Möglichkeit, zusätzlich zu einer Strafe wegen des Vorfalls ein Bußgeld für die Meldeverspätung zu erhalten.
Um die Meldefrist einhalten zu können, und einer Ungewissheit über die Vorgehensweise präventiv aus dem Weg gehen zu können empfiehlt es sich, einen Reaktionsplan aufzubauen und bestimmte Rollen im Umgang mit Datenpannen an bestimmte Mitarbeiter zu verteilen. Für Informationen können Sie sich jederzeit an uns wenden.
Wir helfen weiter!
Das könnte Sie auch interessieren:
- Datenschutzerklärung für Ihre Website – Inhalte & Hinweise nach DSGVO
- Auftragsverarbeitung nach DSGVO – So einfach gehts!
- LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro