Ihre Kontakte
Booking.com wurde von der niederländischen Datenschutzbehörde im Frühling mit einer Busse in der Höhe von € 475’000 belegt, da ein Data Breach nicht rechtzeitig gemeldet wurde. Datenschutzpannen müssen gemäss der DSGVO spätestens innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Der Fall von Booking veranschaulicht, wie schwer die Einhaltung dieser Frist in der Praxis sein kann. Diese Frist gilt ebenfalls für Schweizer Unternehmen im Anwendungsbereich der DSGVO. Zudem sind auch unter dem neuen Schweizer Datenschutzgesetz Data Breaches «so rasch als möglich» zu melden, sodass sich auch ohne ausdrückliche Frist eine Orientierung an der 72-stündigen Frist empfiehlt.
Datenschutzpannen müssen innerhalb von 72 Stunden gemeldet werden
Nach der EU-DSGVO müssen Unternehmen nicht nur angemessene Datensicherheitsvorkehrungen ergreifen, sondern auch Verletzungen derselben, d.h. «Datenpannen», innerhalb von 72 Stunden bei der zuständigen Behörde melden (vgl. MLL News vom 2. Dezember 2017; MLL News vom 12. August 2019). Beide Voraussetzungen bringen in der Praxis besondere Herausforderungen mit sich. Während sich bei den Massnahmen zur Gewährleistung die Frage stellt, was konkret als angemessen gilt (vgl. dazu auch MLL News vom 20. Januar 2019), ist bei der Pflicht zur Meldung von Data Breaches die Einhaltung der vorgeschriebenen Frist besonders anspruchsvoll.
Data Breach bei Booking.com
Einmal mehr veranschaulicht wird dies durch eine Entscheidung der niederländischen Datenschutzbehörde von Ende März 2021 (vgl. die Pressemitteilung in Englisch). Grund für die Entscheidung war folgender Sachverhalt: Booking.com wurde am 13. Januar 2019 über einen Data Breach informiert, in welchem die Täter durch Telefonanrufe das Personal von 40 Hotels in den Vereinigten Arabischen Emiraten dazu brachte, die Log-in-Daten für ihre Konten in einem Booking.com-System preiszugeben. Dadurch erhielten die Täter Zugang zu den persönlichen Daten von mehr als 4’000 Kunden. Zu den kompromittierten Daten gehörten unter anderem Namen, Adressen, Telefonnummern, Buchungsdetails sowie beinahe 300 Kreditkartennummern. In 97 Fällen wurde auch der Sicherheitscode der Kreditkarte in Erfahrung gebracht.
Nichteinhalten der Frist führt zu Busse in der Höhe von € 475’000
Obwohl der Vorfall Booking.com bereits am 13. Januar 2019 bekannt wurde, erfolgte die Meldung an die Datenschutzbehörde erst am 7. Februar 2019 und somit 22 Tage zu spät. Die betroffenen Kunden wurden am 4. Februar 2019 informiert und es wurden Massnahmen zur Schadensbegrenzung ergriffen (z.B. Angebot, etwaige Verluste zu ersetzen).
Da der Vorfall nicht innerhalb der vorgegeben 72 Stunden gemeldet wurde, verhängte die niederländische Datenschutzbehörde eine Busse in der Höhe von € 475’000 gegen Booking.com. Weshalb es zu dieser Verzögerung kam, ist nicht bekannt.
Die Höhe der Busse lässt sich darauf zurückführen, dass die Pflichtverletzung als schwerwiegend eingestuft wurde. Die niederländische Datenschutzbehörde räumt zwar ein, dass eine Datenpanne leider überall vorkommen könne, selbst wenn ein Unternehmen angemessene Sicherheitsmassnahmen getroffen hat. Aber um Schäden für die Kunden und künftige Angriffe zu verhindern, müssten die Unternehmen eine Verletzung rechtzeitig melden. Schnelles Handeln sei unerlässlich, nicht zuletzt für die Opfer der Datenschutzverletzung. Nach Eingang einer Meldung könne die Datenschutzbehörde ein Unternehmen anweisen, die Betroffenen sofort zu warnen. Dies könne verhindern, dass Kriminelle wochenlang Zeit haben, um zu versuchen, Kunden zu betrügen.
Fazit und Anmerkungen
Die Bussgeldentscheidung, die von Booking.com nicht angefochten wurde, verdeutlicht einmal mehr, wie zeitkritisch Datensicherheitsvorfälle sind. Die Frist in der DSGVO ist äusserst knapp bemessen. Dementsprechend ist es notwendig, dass Prozesse für solche Vorfälle bereits im Voraus ausgearbeitet werden. Die internen Zuständigkeiten, Abläufe und Entscheidungsprozesse sollten klar definiert sein. Des Weiteren sollte bereits im Voraus bestimmt sein, welche spezialisierten Drittdienstleister im Bereich von IT und/oder Recht bei Bedarf unterstützend beigezogen werden können.
Bussen drohen auch für Schweizer Unternehmen
Dieses Fazit ist für Schweizer Unternehmen nicht nur dann relevant, wenn sie in den Anwendungsbereich der DSGVO fallen (vgl. MLL News vom 19. Dezember 2019), sondern (wohl) ab der zweiten Jahreshälfte 2022 auch für alle anderen Schweizer Unternehmen. Denn auch das revidierte Schweizer Datenschutzgesetz enthält eine Meldepflicht für Data Breaches. Es wurde jedoch keine konkrete Frist für die Meldung festgelegt, allerdings muss die Meldung in jedem Fall so rasch wie möglich erfolgen. Was dies konkret bedeutet, wird erst die Behördenpraxis zeigen. Bis dahin ist es jedoch empfehlenswert, die internen Prozesse an der 72-Stunden-Frist der DSGVO zu orientieren.
Weitere Informationen:
- MLL News vom 2. Dezember 2017: «EU-DSGVO: Europäische Datenschützer veröffentlichen Richtlinien zu Breach Notifications, automatisierten Einzelentscheidungen/Profiling sowie Bussen»
- MLL News vom 12. August 2019: «ICO will British Airways mit 204 Millionen Euro Busse wegen einer Datenschutzpanne belegen»
- MLL News vom 20. Januar 2019: «EDÖB veröffentlicht Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes»
- MLL News vom 19. Dezember 2019: «EU-Datenschützer (EDSA) veröffentlichen definitive Leitlinien zum räumlichen Anwendungsbereich der DSGVO»
- Medienmitteilung der niederländischen Datenschutzbehörde vom 31. März 2021 (niederländisch)