Die Aufsichtsbehörde in den Niederlanden verhängte für eine verspätete Meldung eines Datenschutzvorfalles (Art 33 DSGVO) eine Geldstrafe gegen einen Verantwortlichen.
Es traf keinen Geringeren als booking.com.
Die Strafe ist nicht rechtskräftig.
Booking.com erhielt am 13. Jänner 2019 Kenntnis über einen massiven Datenschutzvorfall, der der Meldepflicht iSd Art 33 DSGVO unterlag; die Meldung an die Aufsichtsbehörde hätte daher spätestens am 16. Jänner 2019 erfolgen müssen.
Erst am 7. Februar 2019 informierte der Verantwortliche die Aufsichtsbehörde; die Meldung langte daher erst 25 Tage nach der Entdeckung des Datenschutzvorfalles bei der Behörde ein. Die Frist des Art 33 DSGVO ("unverzüglich, längstens jedoch binnen 72 Stunden" war daher nicht gewahrt, sondern massiv, um ca. 3 Wochen überschritten.
Bereits einige Tage vor der Meldung an die Aufsichtsbehörde (Art 33 DSGVO) hat der Verantwortliche die betroffenen Personen am 4. Februar 2019 (Art 34 DSGVO) über den Data-Breach informiert.
Die Aufsichtsbehörde verhängte eine Geldbuße gem. Art 83 DSGVO in Höhe von EUR 475.000,--
Laut Medienberichten hat der Verantwortliche ein Rechtsmittel eingelegt, sodass die DSGVO-Strafe nicht rechtskräftig ist.
Ein Risiko für die Verantwortlichen bei einer verspäteten Meldung iSd Art 33 DSGVO eine Geldstrafe zu erhalten, ist jedoch mE immer gegeben.
Alle Mitarbeiter*Innen sollten daher die notwendigen Schritte bei einem Datenschutzvorfall kennen, um dem Verantwortlichen die Möglichkeit zu geben, rasch vorzugehen, und einen Datenschutzvorfall zu "klassifizieren" und gegebenenfalls eine Meldung an die Aufsichtsbehörde iSd Art 33 DSGVO ("Risiko nicht ausgeschlossen") zu machen bzw. auch die betroffenen Personen iSd Art 34 DSGVO zu informieren ("hohes Risiko"). Eventuell kommt der Verantwortliche in der Beurteilung auch zum Schluss, dass kein Risiko gegeben ist, dann ist unmittelbar keine Veranlassung zu treffen.
Jedenfalls ist ein Datenschutzvorfall - auch wenn keine Meldepflicht gegeben sein sollt - weil kein Risiko für die betroffenen Personen besteht oder bestanden hat, iSd Art 33 Abs 4 DSGVO zu dokumentieren.
21.06.2021, Autor
Michael Schweiger, zert DSBA
Kommentar schreiben