Gegen Booking.com wurde von der niederländischen Datenschutzbehörde (AP) eine Bußgeldzahlung in Höhe von 475.000 EUR verhängt, weil die Frist für die Meldung eines Datenschutzverstoßes nicht eingehalten wurde.
Booking.com hat seinen globalen Hauptsitz in den Niederlanden. Es handelt sich um ein internationales Unternehmen mit Kunden aus verschiedensten Ländern. Die Untersuchung von Booking.com war daher eine internationale Prüfung und die niederländische Datenschutzbehörde hat mit den weiteren europäischen Datenschutzbehörden kooperiert.
Im Rahmen der Datenverletzung wurden von Kriminellen personenbezogene Daten von mehr als 4000 Kunden geplündert und Zugriff auf Keditkartendaten von fast 3000 Kunden erlangt.
Die Kriminellen extrahierten Anmeldedaten aus einem Booking.com-System von ca. 40 Hotels in den Vereinigten Arabischen Emiraten. So erhielten sie bereits im Dezember 2018 über die Buchungsseite Zugang zu den Daten von 4.109 Personen, die ein Hotelzimmer in diesem Land gebucht hatten. Dies beinhaltete Namen, Adressen und Telefonnummern sowie Details zur Buchung. So konnten sie auch die Kreditkartendaten von 283 Personen einsehen. Einschließlich des Sicherheitscodes der Kreditkarte in 97 Fällen. Indem sie sich als Mitarbeiter von Booking.com per E-Mail oder Telefon ausgaben, versuchten sie zudem die Kreditkartendaten weiterer Opfer zu erhalten.
Welchen Datenschutzverstoß beging dann Booking.com?
Booking.com erhielt am 13. Januar 2019 Kenntnis über das Datenleck, meldete den Vorfall jedoch erst am 7. Februar der Behörde. Da es verpflichtend ist, einen Datenverstoß innerhalb von 72 Stunden über den „Data Breach Reporting Desk“ zu melden, war dies mit 22 Tagen deutlich zu spät.
Booking.com hat betroffene Kunden erst am 4. Februar 2019 über das Leck informiert und weitere Maßnahmen ergriffen, um den Schaden zu begrenzen, beispielsweise das Angebot, Schäden zu kompensieren.
„Dies ist eine schwerwiegende Verletzung“, sagt Verdier von der niederländischen Datenschutzbehörde. „Ein Datenverstoß kann leider überall auftreten, selbst wenn Sie gute Vorsichtsmaßnahmen getroffen haben. Um jedoch Schäden an Ihren Kunden und das Wiederauftreten eines solchen Datenverstoßes zu vermeiden, müssen Sie dies rechtzeitig melden. Ein so großes Unternehmen mit wertvollen persönlichen Daten von Millionen von Kunden in seinen Systemen hat eine große Verantwortung. Kunden vertrauen ihre persönlichen Daten Booking.com an. Und sie müssen alles tun, um die Daten richtig zu schützen. Das bedeutet gute Sicherheit, um ein Leck zu verhindern, aber auch schnelles Handeln, falls unerwartet etwas schief geht.“