NL-Datenschutzbehörde: Busse gegen Booking.com aufgrund verspäteter Data Breach Meldung


Ihre Kontakte

Booking.com wurde von der niederländischen Datenschutzbehörde im Frühling mit einer Busse in der Höhe von € 475’000 belegt, da ein Data Breach nicht rechtzeitig gemeldet wurde. Datenschutzpannen müssen gemäss der DSGVO spätestens innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Der Fall von Booking veranschaulicht, wie schwer die Einhaltung dieser Frist in der Praxis sein kann. Diese Frist gilt ebenfalls für Schweizer Unternehmen im Anwendungsbereich der DSGVO. Zudem sind auch unter dem neuen Schweizer Datenschutzgesetz Data Breaches «so rasch als möglich» zu melden, sodass sich auch ohne ausdrückliche Frist eine Orientierung an der 72-stündigen Frist empfiehlt.

Datenschutzpannen müssen innerhalb von 72 Stunden gemeldet werden

Nach der EU-DSGVO müssen Unternehmen nicht nur angemessene Datensicherheitsvorkehrungen ergreifen, sondern auch Verletzungen derselben, d.h. «Datenpannen», innerhalb von 72 Stunden bei der zuständigen Behörde melden (vgl. MLL News vom 2. Dezember 2017; MLL News vom 12. August 2019). Beide Voraussetzungen bringen in der Praxis besondere Herausforderungen mit sich. Während sich bei den Massnahmen zur Gewährleistung die Frage stellt, was konkret als angemessen gilt (vgl. dazu auch MLL News vom 20. Januar 2019), ist bei der Pflicht zur Meldung von Data Breaches die Einhaltung der vorgeschriebenen Frist besonders anspruchsvoll.

Data Breach bei Booking.com

Einmal mehr veranschaulicht wird dies durch eine Entscheidung der niederländischen Datenschutzbehörde von Ende März 2021 (vgl. die Pressemitteilung in Englisch). Grund für die Entscheidung war folgender Sachverhalt: Booking.com wurde am 13. Januar 2019 über einen Data Breach informiert, in welchem die Täter durch Telefonanrufe das Personal von 40 Hotels in den Vereinigten Arabischen Emiraten dazu brachte, die Log-in-Daten für ihre Konten in einem Booking.com-System preiszugeben. Dadurch erhielten die Täter Zugang zu den persönlichen Daten von mehr als 4’000 Kunden. Zu den kompromittierten Daten gehörten unter anderem Namen, Adressen, Telefonnummern, Buchungsdetails sowie beinahe 300 Kreditkartennummern. In 97 Fällen wurde auch der Sicherheitscode der Kreditkarte in Erfahrung gebracht.

Nichteinhalten der Frist führt zu Busse in der Höhe von € 475’000

Obwohl der Vorfall Booking.com bereits am 13. Januar 2019 bekannt wurde, erfolgte die Meldung an die Datenschutzbehörde erst am 7. Februar 2019 und somit 22 Tage zu spät. Die betroffenen Kunden wurden am 4. Februar 2019 informiert und es wurden Massnahmen zur Schadensbegrenzung ergriffen (z.B. Angebot, etwaige Verluste zu ersetzen).

Da der Vorfall nicht innerhalb der vorgegeben 72 Stunden gemeldet wurde, verhängte die niederländische Datenschutzbehörde eine Busse in der Höhe von € 475’000 gegen Booking.com. Weshalb es zu dieser Verzögerung kam, ist nicht bekannt.

Die Höhe der Busse lässt sich darauf zurückführen, dass die Pflichtverletzung als schwerwiegend eingestuft wurde. Die niederländische Datenschutzbehörde räumt zwar ein, dass eine Datenpanne leider überall vorkommen könne, selbst wenn ein Unternehmen angemessene Sicherheitsmassnahmen getroffen hat. Aber um Schäden für die Kunden und künftige Angriffe zu verhindern, müssten die Unternehmen eine Verletzung rechtzeitig melden. Schnelles Handeln sei unerlässlich, nicht zuletzt für die Opfer der Datenschutzverletzung. Nach Eingang einer Meldung könne die Datenschutzbehörde ein Unternehmen anweisen, die Betroffenen sofort zu warnen. Dies könne verhindern, dass Kriminelle wochenlang Zeit haben, um zu versuchen, Kunden zu betrügen.

Fazit und Anmerkungen

Die Bussgeldentscheidung, die von Booking.com nicht angefochten wurde, verdeutlicht einmal mehr, wie zeitkritisch Datensicherheitsvorfälle sind. Die Frist in der DSGVO ist äusserst knapp bemessen. Dementsprechend ist es notwendig, dass Prozesse für solche Vorfälle bereits im Voraus ausgearbeitet werden. Die internen Zuständigkeiten, Abläufe und Entscheidungsprozesse sollten klar definiert sein. Des Weiteren sollte bereits im Voraus bestimmt sein, welche spezialisierten Drittdienstleister im Bereich von IT und/oder Recht bei Bedarf unterstützend beigezogen werden können.

Bussen drohen auch für Schweizer Unternehmen

Dieses Fazit ist für Schweizer Unternehmen nicht nur dann relevant, wenn sie in den Anwendungsbereich der DSGVO fallen (vgl. MLL News vom 19. Dezember 2019), sondern (wohl) ab der zweiten Jahreshälfte 2022 auch für alle anderen Schweizer Unternehmen. Denn auch das revidierte Schweizer Datenschutzgesetz enthält eine Meldepflicht für Data Breaches. Es wurde jedoch keine konkrete Frist für die Meldung festgelegt, allerdings muss die Meldung in jedem Fall so rasch wie möglich erfolgen. Was dies konkret bedeutet, wird erst die Behördenpraxis zeigen. Bis dahin ist es jedoch empfehlenswert, die internen Prozesse an der 72-Stunden-Frist der DSGVO zu orientieren.

Weitere Informationen:


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.