Datenverlust zu spät gemeldet: Booking.com muss Strafe zahlen
Weil Booking.com den Verlust von Kundendaten erst nach gut drei Wochen gemeldet hat, muss das Portal in den Niederlanden nun fast 500.000 Euro zahlen.
(Bild: Nina Janesikova/Shutterstock.com)
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat Booking.com eine Strafe in Höhe von 475.000 Euro aufgedrückt, weil das Portal zu spät einen Vorfall gemeldet hat. Kriminelle haben über die Seite Daten von 4109 Kunden abgreifen können. Allerdings mit einem Zwischenschritt.
Zugang bekamen die Betrüger über die Konten von Mitarbeitern von 40 Hotels in den Vereinigten Arabischen Emiraten. Diese erreichten sie via "social engineering"-Techniken, schreibt die Nachrichtenseite The Register; sie wird dabei allerdings nicht konkreter. Über die Zugänge der Hotelangestellten kamen die Betrüger an Daten von Gästen, die in den Hotels über Booking.com Zimmer gebucht hatten. Neben Namen, Adressen, Telefonnummern und Buchungsdetails konnten in 283 Fällen auch Kreditkarteninformationen eingesehen werden – bei 97 Karten sogar samt der Sicherheitsnummer. Zudem versuchten die Kriminellen mehr Kreditkartendaten zu bekommen, indem sie sich als Mitarbeiter der Hotels ausgaben und die Gäste per Mail oder Telefon kontaktierten.
25 Tage statt 72 Stunden
Gegenüber The Register gab Booking.com an, es habe keine unerlaubten Zugriffe direkt über die eigene Seite oder eigene Systeme gegeben. Der Vorfall sei zudem auf 40 Hotels beschränkt, bei denen Mitarbeiter ihre Zugangsdaten Kriminellen offenlegten. Laut der Klageschrift gab es allerdings auch eine unbekannte dritte Partei, die auf das Booking.com-Extranet zugreifen konnte, in dem die Kundendaten hinterlegt waren.
Zwar ist der unerlaubte Zugriff bereits 2019 geschehen, die Strafe folgt jedoch erst jetzt. 475.000 Euro muss das Portal zahlen, weil die Meldung des Vorfalls bei der Datenschutzbehörde erst 25 Tage nachdem sie selbst davon wussten erfolgte. Die DSGVO besagt, Datenlecks müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Betroffene Kunden hatte man nach 22 Tagen informiert. Booking.com erklärt, man habe nicht so schnell reagiert, wie man hätte reagieren wollen. An einer Beschleunigung der Prozesse wird gearbeitet. Bei einem anderen Datenleck waren 2019 ebenfalls Kundeninformationen von Booking.com abgeflossen. Betroffen war dabei aber vor allem die französische Gekko Group.
(emw)