Datenschutzverstoß

DSGVO: 100 Mio. Euro Strafe für Hotelkette

Die Hotelkette Marriott wurde im November letzten Jahres von einem groß angelegten Hackerangriff heimgesucht, bei welchem mehr als 300 Mio. Kundendaten abgegriffen wurden. Durch die DSGVO wurden nun Rekordstrafen angekündigt.

Mittwoch, 10.07.2019, 11:20 Uhr, Autor: Thomas Hack
Ein Richterhammer schlägt auf ein DSVGO-Schild

Rund 110 Millionen Euro soll Marriot nun zahlen, weil Hacker persönliche Gästedaten abgegriffen haben. (© denissimonov/vector_master/Montage:TH)

Die Hotelkette Marriott wurde im November letzten Jahres vom wohl größten Hackerangriff der Geschichte heimgesucht. (Wir berichteten hier). Die Hotelgruppe habe seinerzeit eingestehen müssen, dass in ihrem Tochterunternehmen Starwood jahrelang persönliche und finanzielle Daten von mehr als 300 Millionen Kunden abgegriffen worden waren – darunter auch diejenigen von 8,6 Millionen Kreditkarten, wie es damals hieß. Der Cyber-Vorfall wurde schließlich dem ICO gemeldet, dem Datenschutzbeauftragten Großbritanniens und Leiter der britischen Datenschutzbehörde. Als wäre dies alles nicht schon schlimm genug, drohen Marriot nun Folgekosten in dreifacher Millionenhöhe: Wie das ICO in einem aktuellen Statement berichtete, habe Marriot massiv gegen die GDPR (der englische Begriff für DSGVO) verstoßen. Wörtlich hieß es in der Stellungnahme: „Nach einer umfassenden Untersuchung hat das ICO mitgeteilt, dass es beabsichtigt, Marriott International wegen Verstößen gegen die Allgemeine Datenschutzverordnung mit einer Geldbuße von 99.200.396 Pfund zu belegen.“ Dies entspräche in etwa 110 Millionen Euro.

„Hotels haben rechtliche Verpflichtung, die Datensicherheit zu gewährleisten“

Dem ICO zufolge hat eine Untersuchung ergeben, dass Marriott beim Kauf des Tochterunternehmens Starwood keine ausreichende Sorgfaltspflicht übernommen hätte und mehr hätte unternehmen sollen, um seine Systeme ausreichend zu sichern. Die ICO-Komissarin Elizabeth Denham ließ dazu verlauten: „Die GDPR soll sicherstellen, dass Unternehmen für die von ihnen gespeicherten personenbezogenen Daten verantwortlich sind. Dies umfasst auch die Durchführung einer ordnungsgemäßen Prüfung bei einem Unternehmenskauf, um zu beurteilen, welche personenbezogenen Daten erfasst wurden – und vor allem, wie sie geschützt sind. Personenbezogene Daten haben einen realen Wert, so dass Unternehmen eine rechtliche Verpflichtung haben, ihre Sicherheit zu gewährleisten, so wie sie es mit jedem anderen Vermögen tun würden. Sollte dies nicht geschehen, werden wir nicht zögern, bei Bedarf energische Maßnahmen zum Schutz der Rechte der Öffentlichkeit zu ergreifen.“

Endgültige Entscheidung erst nach Stellungnahme

Die Hotelgruppe Marriott hat eigenhändig an der ICO-Untersuchung mitgewirkt und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert, wie es in der ICO-Stellungnahme weiter heißt. „Das Unternehmen wird nun Gelegenheit haben, gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen.“ Das ICO werde anschließend die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor es seine endgültige Entscheidung trifft, hieß es abschließend in dem Papier.

 

Zurück zur Startseite

Weitere Themen