Kurze Information zum Thema DSGVO-Verstoß und Meldepflicht. Bei der Hotel-Reservierungsplattform booking.com gab es einen Datenschutzverstoß, für die die Plattform nichts konnte (Zugangsdaten von Hotel-Mitarbeitern wurden entwendet). Weil booking.com diesen Vorfall aber zu spät bei der Datenschutzaufsicht meldete, gab es jetzt einen Bußgeldbescheid.
Anzeige
Kriminellen gelang es, mit Hilfe von Social-Engineering-Techniken, Mitarbeitern von 40 Hotels in den Vereinigten Arabischen Emiraten (VAE) die Anmeldedaten für ihre Booking.com-Konten zu entlocken. Anschließend verschafften sie sich Zugang zu Daten wie Namen, Adressen, Telefonnummern und Details zu den Buchungen der Nutzer – und es wurde auf Kreditkartendaten zugegriffen. Dazu heißt es:
The criminals also [accessed] the credit card details of 283 people – including the security code of the credit card in 97 cases. In addition, they tried to obtain the credit card details of other victims by posing as an employee of Booking.com by email or telephone.
Die niederländische Datenschutzbehörde (The Netherlands Data Protection Authority) hat Booking.com nun mit einer Geldstrafe in Höhe von 475.000 Euro belegt, weil das Unternehmen zu spät darüber informierte, dass Kriminelle auf die Daten von 4.109 Personen zugegriffen hatten, die über die Website ein Hotelzimmer gebucht hatten.
(Quelle: Pexels CC0 Lizenz)
Erinnert daran, dass Firmen bei Datenschutzverstößen die zuständige Datenschutzaufsicht binnen 72 Stunden informieren müssen.
Anzeige
Anzeige
Naja, bei 15 MILLIARDEN US-Dollar Umsatz in 2019… – kommen wir aber nun zu etwas völlig anderem…
https://de.wikipedia.org/wiki/Booking_Holdings
Wohin und wie meldet man so etwas überhaupt?
Habe es gerade gegoogelt, es gibt wohl eine Website für sowas: https://www.lda.bayern.de/de/datenpanne.html
Und wie es aussieht hätte man jeden Exchange Hack von vor zwei Wochen melden müssen, eine eigene Kategorie dafür gibt es ja. Wirklich? Da müsste ich ja jetzt noch 20 Meldungen für meine Kunden nachreichen, oder wie? Weil Webshells waren überall vorhanden…
Ich übertrage das mal fragend auf ein anderes Beispiel: Ein Internetnutzer "verliert" sein email-Postfachkennwort an einen Angreifer (oder der errät es). Der Angreifer liest das Webmailkonto des Nutzers, wo ggf. hunderte oder tausende eMails liegen; sprich hunderte personenbezogene Daten (Mailadressen, ggf. privat Mails über Gesundheit, Hobbies etc). Und dann muss der eMail-Anbieter einen Datenschutzvorfall melden? Hatten denn die Hotels den Vorfall an Booking.com gemeldet? Oder wie/wann hat Booking.com von dem Vorfall erfahren?