Fastbooking Hack: Wie kann man die GDPR nach dem Diebstahl von Hotelgastdaten einhalten?

Fastbooking, die auf digitale Dienstleistungen für Hotels spezialisierte Tochtergesellschaft von AccorHotels, bestätigte, dass sie Opfer eines Hacking-Angriffs wurde, bei dem die Buchungsdaten von Privatpersonen gestohlen wurden. Der Kyos-Rechtsexperte Dashnim Murati erläutert die Anforderungen der GDPR, die Hoteliers im Falle eines Datendiebstahls zu erfüllen haben.

Wie Sie vielleicht wissen, wurden die Allgemeinen Datenschutzbestimmungen (GDPR) am 14. April 2016 vom Europäischen Parlament verabschiedet. Seit dem 25. Mai 2018 gilt diese Verordnung direkt für alle in der Europäischen Union tätigen Akteure, aber auch für bestimmte Schweizer Unternehmen. Die GDPR ist nämlich auf sie anwendbar, insbesondere wenn sie Daten von europäischen Bürgern verarbeiten, und soweit diese Verarbeitung mit der Lieferung von Waren oder Dienstleistungen an diese Personen innerhalb der Union verbunden ist.

Die GDPR erlegt jedem der ihr unterstellten Datenverantwortlichen eine Reihe von Verpflichtungen auf. Insbesondere ist der für die Verarbeitung Verantwortliche verpflichtet, die zuständige Aufsichtsbehörde über die Verletzung personenbezogener Daten zu informieren. Der Begriff des Verstoßes wird in der Verordnung definiert als ein Sicherheitsverstoß, der zur unbeabsichtigten oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden.

Die Mitteilung muss so schnell wie möglich erfolgen, spätestens jedoch 72 Stunden nach Bekanntwerden des Verstoßes, es sei denn, es liegt eine berechtigte Ursache für die Verzögerung vor. Für den Fall, dass der Controller einen Prozessor, wie z.B. einen IT-Dienstleister, mit der Verarbeitung personenbezogener Daten beauftragt, ist dieser auch verpflichtet, den Controller, nicht aber eine Aufsichtsbehörde, über eine Verletzung so schnell wie möglich nach Kenntnisnahme zu informieren.

Die Mitteilung an die zuständige Aufsichtsbehörde muss eine bestimmte Menge an Informationen enthalten. Der für die Verarbeitung Verantwortliche ist verpflichtet, die Verletzung personenbezogener Daten zu beschreiben, einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der von der Verletzung betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze. Sie muss auch den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle angeben, bei der zusätzliche Informationen eingeholt werden können, die wahrscheinlichen Folgen der Verletzung personenbezogener Daten beschreiben, aber auch die Maßnahmen beschreiben, die ergriffen wurden oder zu ergreifen sind, um die Verletzung personenbezogener Daten zu beheben, einschließlich gegebenenfalls Maßnahmen zur Minderung negativer Folgen.

Diese Ansätze und die Einhaltung anderer Verpflichtungen aus der GDPR können für die Unternehmen relativ belastend sein und sind möglicherweise nicht einfach umzusetzen, was noch dadurch verstärkt wird, dass die Sanktionen bei Nichteinhaltung besonders schwerwiegend sein können.

Deshalb begleitet Sie Kyos und hilft Ihnen, all diese neuen Regeln einzuhalten.

Weitere Informationen zu diesem Thema finden Sie unter >>> Kontakt