DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott
Britische Datenschützer legen erneut vor: Nach der Airline British Airways soll nun auch die Hotelkette Marriott eine satte Strafe aufgebrummt bekommen.
Zum Marriott-Konzern gehören zahlreiche Hotelketten, darunter Westin, Sheraton und Ritz Carlton.
(Bild: Marriott)
Die britische Datenschutzaufsicht ICO (Information Commissioner's Office) will gegen die Hotelkette Marriott wegen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld von 99,2 Millionen britischen Pfund verhängen (umgerechnet rund 110 Millionen Euro). Grund dafür ist ein Ende 2018 bekanntgewordener Hack gegen die Hotelkette, der Daten von vermutlich 339 Millionen Kunden kompromittierte.
Im November 2018 hatte der Hotelkonzern eingestanden, dass Dritte unerlaubt auf die Reservierungsdatenbank der Marriott-Tochterfirma Starwood zugegriffen hätten. Größtenteils seien nur Daten wie Namen und Adressinformationen abgegriffen worden, aber in einigen Fällen auch vertrauliche Daten wie Pass- und Kreditkartennummern, teilweise sogar unverschlüsselt.
Marriott will anfechten
Der ICO zufolge hatten die unbekannten Täter bereits 2014 Zugriff auf die Systeme von Starwood erlangt. 2016 hatte Marriott das Unternehmen aufgekauft, aber bis Ende 2018 nichts von dem Datenleck bemerkt. Die Prüfung der britischen Datenschützer habe ergeben, dass die Marriott-Kette keine ausreichenden Prüfungen bei der Übernahme durchgeführt und auch danach nicht ausreichend für die Sicherheit der Systeme gesorgt hätte. Die Pflicht zum Schutz der Daten, die die DSGVO Unternehmen auferlege, umfasse aber auch solche Fälle von Übernahmen, erklärte Chef-Datenschützerin Elizabeth Denham.
Bei dem Strafmaß handelt es sich zunächst nur um eine Absichtserklärung der ICO. Die Hotelkette hat nun noch die Möglichkeit, Stellung zu beziehen, bevor der endgültige Bescheid ergeht. Und das werde man auch nach Kräften tun und das Strafmaß anfechten, heißt es in einer Pressemitteilung von Marriott. CEO Arne Sorenson erklärte, dass man den Fall zutiefst bedauere und die Sicherheit der Kundendaten sehr ernst nehme.
Millionenstrafe auch für British Airways
Die Datenschutzbehörden anderer EU-Staaten, aus denen Betroffene des Hacks kommen, können ebenfalls noch Stellung zu der Sache nehmen. Laut ICO stammen 30 Millionen der Kompromittierten aus der EU.
Erst am Montag hatte die ICO erklärt, der Airline British Airways eine noch größere Strafe aufbrummen zu wollen: Die Fluggesellschaft soll ein Bußgeld in Höhe von 183,39 Millionen Britische Pfund zahlen, umgerechnet etwa 204 Millionen Euro. Bei einem Angriff hatten Cyberkriminelle 2018 persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes (CVV-Nummern) von Kunden der Airline abgegriffen, die zwischen dem 21. August und 5. September ihre Flüge per Kreditkarte bezahlt hatten. Betroffen waren davon rund 500.000 Kunden. Auch British Airways will Widerspruch gegen dieses Bußgeld einlegen. (axk)
