iusNet Digitales Recht und Datenrecht

Schulthess Logo

Digitales Recht und Datenrecht > Rechtsprechung > International > Datenschutzverletzungen > Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Rechtsprechung
Datenschutzverletzungen

Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Booking.com wurde von der niederländischen Datenschutzbehörde («AP») zu einer Geldstrafe von rund einer halben Million Euro verurteilt. Grund dafür war eine verspätete Meldung eines Datenlecks an die Behörde.

Anstatt innerhalb von 72 Stunden (Art. 33 Abs. 1 DSGVO) meldete Booking.com das Datenleck 22 Tage später. Booking.com vertrat in erster Linie den Standpunkt, dass kein Verstoss vorliege, da es erst am 4. Februar 2019, nach Abschluss der internen Untersuchung, von dem Verstoss Kenntnis erlangt habe, woraufhin es rechtzeitig und ohne unangemessene Verzögerung innerhalb von 72 Stunden nach Bekanntwerden des Verstosses benachrichtigt worden sei, was laut Booking.com im Einklang mit Art. 33 Abs. 1 DSGVO stehe. Die AP überzeugte diese Argumentation nicht. Die AP hatte festgestellt, dass Booking.com am 13. Januar 2019 von der Verletzung Kenntnis erlangt hatte. Daraus folgte sie, dass Booking.com die Verletzung der personenbezogenen Daten nicht gemäss Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden gemeldet hatte.

iusNet DigR 26.05.2021

 

Der komplette Artikel mit sämtlichen Details
steht exklusiv iusNet Abonnenten zur Verfügung.