Datenklau bei Fastbooking, was müssen betroffene Hotels jetzt tun?

Laut www.heise.de wurden mehr als 120.000 Gastdaten von den Servern des Booking-Engine Anbieters „Fastbooking“  geklaut. Das Unternehmen hat seinen Hauptsitz in Frankreich und ist –nach eigenen Angaben- Software-Lieferant für Web Booking Engines, Channel Managern und Webseiten von mehr als 4.000 Hotels. Interessant ist am Rande, dass es auf der Webseite von Fastbooking keine Data Privacy Information gibt und auch keinen Hinweis auf den Vorfall.

Laut Heise wurden die betroffenen Hotels von Fastbooking bereits informiert, ob ihre eigenen Gäste betroffen sind.

Was ist jetzt zu tun von den verantwortlichen Hotels?

1. Meldung des Vorfalls bei der zuständigen Aufsichtsbehörde

Laut DSGVO sind die Hotels, von deren Gästen womöglich Daten (inkl. Kreditkartendaten) abhandengekommen sind jetzt als Verantwortliche verpflichtet, die zuständige Datenschutzbehörde binnen 72 Stunden zu informieren, da insbesondere durch die Tatsache, dass auch Kreditkarteninformationen betroffen sind, ein Risiko für die betroffenen Gäste besteht. Das sollte der Datenschutzbeauftragte der Hotelgruppe oder des Hotels tun. Eine vorherige juristische Abstimmung ist sehr empfehlenswert.

Diese Meldung muss folgendes beinhalten (Auszug DSGVO):

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
• Namen und die Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Z. B. durch den nächsten Punkt.
  

2. Information der betroffenen Gäste, inklusive des Hinweises, dass künftige Kreditkartenbelege sehr genau geprüft werden müssen

3. Umgehende Prüfung, ob bis jetzt alles Erforderliche unternommen wurde, um das aktuelle Datenschutzgesetz umzusetzen.

Ist das Verfahrensverzeichnis aktuell, gibt es eine Auftragsdatenverarbeitungs-Vereinbarung mit Fastbooking, sind Löschkriterien von Gastdaten und Kreditkarten in Fastbooking definiert und umgesetzt, gibt es eine Sicherheitsrichtlinie…. Spätestens jetzt müssen die betroffenen Hotels auch eine Dokumentation aller Maßnahmen parat haben, die sie unternommen haben, um solche Attacken zu vermeiden.

4. Information an den Versicherer für die hoffentlich von Ihrem Hause abgeschlossene Cyberrisk-Versicherung.

Sie fragen sich bei Punkt 3 zu jedem Begriff, wovon wir eigentlich reden? Dann sollten Sie mit unserem Datenschutzbeauftragten, Timo Sprenger bald ein unverbindliches Telefonat führen.

Timo Sprenger

Timo Sprenger,  Leiter Kundenbetreuung und Qualitätsmanagement und zertifizierter Datenschutzbeauftragter &nb…

mehr

Lesen Sie auch diese passenden Artikel:

Datenschutzbeauftragter Hotel

Datenschutzbeauftragter Hotel Die RHC bietet als versierter kaufmännischer Dienstleister und Berater der Hotelle…

mehr

3 Fragen und Antworten zum Datenschutz à la DSGVO für Hotels (Teil1)

Diese Fragen werden in fast jedem DSGVO Beratungsgespräch gestellt. Unser Datenschutzbeauftragter hat die Antwort…

mehr

DSGVO – Was ist zu tun als schneller Überblick

Sie haben noch keinen Überblick, was die EU-Datenschutz-Grundverordnung (DSGVO) für Sie als Hotelier bedeutet? Hie…

mehr