In den Niederlanden wurde unlängst ein Bußgeld in Höhe von EUR 475.000 gegen Booking.com verhängt. Ursächlich hierfür war ein Databreach, welcher sich um den Jahreswechsel 2018/2019 ereignet hat und in dessen Rahmen mehrere tausend Kundendatensätze (darunter auch Kreditkarteninformationen und Sicherheitscode) von Hackern durch gezielte Phishing-Angriffe erbeutet wurden.

So weit so schlimm, aber - seien wir mal ehrlich: sowas kann passieren Shit happens nunmal. Und wäre es auch nur das gewesen, dann wäre es wohl zu keinem Bußgeld gekommen. Jedoch meldete Booking.com diesen Vorfall der Datenschutzbehörde erst 22 Tage später. Wohlgemerkt nicht 22 Tage nachdem sich der Vorfall ereignet hat, sondern 22 Tage nachdem der Vorfall und das Schadensausmaß bereits intern bekannt waren.

Da war doch etwas mit 72h

Da - wie bereits allgemein bekannt sein dürfte - die DSGVO vorschreibt, dass ein solcher Databreach unverzüglich... längstens jedoch binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden ist, sah sich die niederländischer Datenschutzbehörde dazu veranlasst ein Bußgeld gegen Booking.com zu verhängen. Angesichts der (potentiell) durchaus schwerwiegenden Konsequenzen für die von dem Sicherheitsvorfall betroffenen Personen (zB finanzielle Schäden) ist das gegenständliche Bußgeld sogar relativ milde ausgefallen, da die verhängten EUR 475.000 "nur" 0,003% des Umsatzes darstellen - theoretisch wäre ein Strafrahmen von 60 Mio EUR (Jahresumsatz ca. 15 Mrd EUR) möglich gewesen.

Doch das ist kein Einzelfall

Das (Fehl-)Verhalten von Booking.com ist im Übrigen kein Einzelfall, da sich in letzter Zeit viele gleichartige Fälle ereignet haben: Exemplarisch können hier vor allem ein Bußgeld in Höhe von EUR 450.000, gegen die ID Finance in Polen, gegen welche ein Bußgeld in Höhe von EUR 240.000 und das National Government Service Center in Schweden, gegen welches ein Bußgeld in Höhe von EUR 18.000 verhängt wurde, angeführt werden.

Fazit

"Bestraft" wurde in all diesen Fällen übrigens nicht der Umstand, dass sich diese Sicherheitsvorfälle ereignet haben. Einem Cyberangriff zum Opfer zu fallen kann nun mal - wie bereits eingangs erwähnt - passieren und ist mittlerweile ein allgemeines Lebensrisiko. Auch waren / sind diese Bußgelder nicht als Strafe für veraltete IT-Sicherheitssysteme gedacht, da bei keinem der belangten Unternehmen grundlegende technische Mängel festgestellt wurden. Im Gegenteil sind hier die technischen Sicherheitsmaßnahmen eher auf hohem Standard anzusiedeln. Verhängt wurden diese Bußgelder einzig und allein deswegen, weil die Meldepflichten nach Art 33, 34 DSGVO nicht eingehalten worden sind.

Oftmals gibt es hier organisatorische Defizite: beispielsweise vielgliedrige Entscheidungswege. Aber auch Unternehmen mit flachen Hierarchien können hiervon betroffen sein, wenn etwa innerhalb der Belegschaft unzureichende Awarenessbildende Maßnahmen gesetzt werden. Auf jeden Fall sollte man sich aus den gegenständlichen Entscheidungen mitnehmen, dass Datenschutz nicht mit IT-Security gleichzusetzen, sondern es sich um einen ganzheitlichen Prozess handelt.