Wenn Kreditkarteninformationen bei einem Datenverstoß abgefangen werden, müssen so schnell wie möglich Maßnahmen ergriffen werden. Das Reiseportal „Booking.com“ benötigte drei Wochen, um die betroffenen Kunden zu benachrichtigen. Das Unternehmen muss nun eine Geldstrafe für diesen Fehler zahlen.
Nach der Europäischen Allgemeinen Datenschutzverordnung (DSGVO) sind Unternehmen verpflichtet, Datenlecks innerhalb weniger Tage zu melden. In einem Fall dauerte das Portal „Booking.com“ mehr als drei Wochen. Die zuständige niederländische Datenschutzbehörde hat daher inzwischen eine Geldstrafe von fast einer halben Million Euro verhängt.
Wie heise.de berichtet, hätte der Vorfall 2019 passieren sollen. Zu dieser Zeit hatten Kriminelle Zugriff auf die Daten von mehr als 4.000 „Booking.com“ -Kunden, nachdem sie die Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten gehackt hatten. Die Täter haben die Zugriffsdaten möglicherweise durch Phishing-Angriffe erhalten. Die von der Datenverletzung betroffenen Personen sind ehemalige Gäste dieser Hotels, die ihr Zimmer über „Booking.com“ gebucht haben.
Booking.com weist die Vorwürfe zurück
Die Täter konnten Namen, Adressen, Telefonnummern und Buchungsinformationen sowie in einigen Fällen Kreditkarteninformationen sehen. Sie gaben dann vor, Hotelmitarbeiter zu sein, um andere Gäste zu kontaktieren und zusätzliche Kreditkarteninformationen anzufordern.
Booking.com übernimmt keine Verantwortung für die Datenverletzung. Es gab keinen unbefugten Zugriff über die Buchungsseite oder Ihr eigenes I.T-Systeme gegeben. Die zuständige Datenschutzbehörde in den Niederlanden sieht Beweise für die Mitverantwortung des Betreibers und verlangt eine Geldstrafe von 475.000 Euro.
Das Unternehmen hätte den Datenverstoß innerhalb von 72 Stunden nach Bekanntwerden melden müssen. Tatsächlich wurde der Bericht erst nach 25 Tagen erstellt. Die betroffenen Kunden stellten erst nach 22 Tagen bei Booking.com fest, dass ihre persönlichen Daten und sogar Kreditkartennummern in die Hände von Kriminellen gelangt waren.
Booking.com entschuldigte sich für die verspätete Antwort und versprach, die internen Prozesse zu verbessern.