Um Klarheit darüber zu erlangen, welche Pflichten für Hotels entstehen, die von einer solchen Attacke betroffen sind, hat der IHA den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin, um eine rechtliche Einschätzung gebeten, ob der geschilderte Sachverhalt für betroffene Hotels zu einer Meldepflicht nach Art. 33 DSGVO führen könnte. Die Antwort des Landesbeauftragten für den Datenschutz in Berlin bezieht sich auf Ausführungen der niederländischen Aufsichtsbehörde, die für Booking.com zuständig ist, und gemäß der Booking.com alle Verantwortung von sich weist.
Die Antwort des Berliner Datenschutzbeauftragten hat den folgenden Grundtenor: „Die bisher eingegangenen Meldungen bzgl. des Datenschutzvorfalls konnten noch nicht abschließend bewertet werden. Leider sind noch nicht alle Antworten von den meldenden Unternehmen eingegangen. Wenn die Schutzverletzung der personenbezogenen Daten beim IT-System des Hotels als Verantwortlichem passiert, dann ist das betroffene Unternehmen nach Art. 33 DS-GVO meldepflichtig. Dass die versendeten E-Mails wie E-Mails von Booking.com aussehen, ist hier nicht entscheidend.“
Was betroffene Betriebe tun können, wenn ihr Booking.com-Account gehackt und Gäste von Betrügern kontaktiert wurden, lesen Interessierte auf der Website des Hotelverbands Deutschland (IHA).