Halbe Million Euro Strafe: Booking.com hat Datenleck zu spät gemeldet

Nadine Juliana Dressler am 02.04.2021 15:52 Uhr
1 Kommentare
Das Buchungsportal Booking.com muss nach einem Datenleck in den Niederlanden jetzt fast eine halbe Million Euro Strafe zahlen. Booking hatte den Vorfall lange verheimlicht und erst spät an die Behörden gemeldet.

Aufgrund des Versäumnis der zeitnahen Meldung hat die niederländische Aufsichtsbehörde Booking.com nun zu einer Geldstrafe in Höhe von 475.000 Euro verdonnert. Der Vorfall selbst liegt schon etwas zurück und betraf nur einen Teil der Kunden, die über Booking.com Reisen gebucht hatten. Soweit bekannt ist, kam es zum Diebstahl von Kundendaten, was das Unternehmen aber mehr als drei Wochen lang trotz besseren Wissens verschwiegen hatte.

Democracy: Im Rausch der Daten - Datenschutz-Doku im Trailer
videoplayer

Umfangreiche Datensätze gestohlen

Laut dem Bericht des Online-Magazins The Register hatten unbekannte Kriminelle auf die Daten von 4.109 Personen zugegriffen, die über die Website ein Hotelzimmer gebucht hatten. Möglich war das, da die Unbekannten sich Zugangsdaten von rund 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten mithilfe von Social-Engineering-Techniken ergaunerten. So konnten sie sich bei den Hotelbuchungen einklinken und die Daten der Kunden abgreifen. Zu den gestohlenen Daten gehörten komplette Datensätze mit Namen, Adressen und Zahlungsmitteln.

Die Kriminellen griffen soweit bekannt ist auch auf die Kreditkartendaten von 283 Personen zu - einschließlich des Sicherheitscodes der Kreditkarten in 97 Fällen. Darüber hinaus versuchten sie, die Kreditkartendaten anderer Opfer zu erhalten, indem sie sich per E-Mail oder Telefon als Mitarbeiter von Booking.com ausgaben. Booking.com teilte The Register mit, dass es keinen Einbruch in die internen Systeme gab. Es hieß, dass weder der Code noch die Datenbanken, die die Booking.com-Plattform betreiben, kompromittiert wurden.

Es ging bei dem "Hack" rein um die Zugangsdaten der Hotel-Mitarbeiter. Das niederländische Unternehmen wurde nun wegen verspäteter Benachrichtigung der Datenschutzpanne zu einer Geldstrafe von 475.000 Euro verurteilt. Wie die Unbekannten an die Daten gekommen sind ist dabei zweitrangig. Booking hätte in dem Moment, in dem man den Datendiebstahl bemerkt hat, eine Meldung abgeben müssen.

Meldung hätte spätestens nach 72 Stunden erfolgen müssen

Booking wusste dabei seit dem 13. Januar 2019 über das Datenleck bescheid, hat dann aber erst am 7. Februar die Aufsichtsbehörde eingeschaltet - das war 22 Tage zu spät. Auf Basis der europäischen Datenschutzgrundverordnung sind Unternehmen dazu verpflichtet, eine Datenverletzung innerhalb von 72 Stunden zu melden.

Download W10Privacy Download - Datenschutz-Tool
Mehr zum Thema Datenschutz
1 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies