DSGVO: Marriott droht in Großbritannien eine Strafe in Höhe von 110 Millionen Euro

Nach einer umfassenden Untersuchung hat die britische Datenschutzbehörde Information Commissioner’s Office (ICO) mitgeteilt, dass es beabsichtigt, den Hotelkonzern Marriott International wegen Verstößen gegen die Allgemeine Datenschutzverordnung (DSGVO) mit einer Geldbuße von 99.200.396 Pfund (110 Millionen Euro) zu belegen. Die Geldbuße bezieht sich auf einen Cyber-Vorfall, der dem ICO von Marriott im November 2018 gemeldet wurde. Eine Vielzahl von personenbezogenen Daten, die in rund 339 Millionen Gästeprofilen weltweit enthalten sind, wurden durch den Vorfall preisgegeben, davon rund 30 Millionen mit Wohnsitz in 31 Ländern des Europäischen Wirtschaftsraums (EWR). Sieben Millionen Euro entfielen auf Einwohner des Vereinigten Königreichs.

Es wird angenommen, dass die Schwachstelle begann, als die Systeme der Starwood-Hotelgruppe 2014 kompromittiert wurden. Marriott erwarb Starwood im Jahr 2016, aber die Offenlegung von Kundeninformationen wurde erst 2018 entdeckt. Die Untersuchung des ICO ergab, dass Marriott beim Kauf von Starwood keine ausreichende Sorgfaltspflicht übernommen hat und auch mehr hätte tun sollen, um seine Systeme zu sichern.

Die Leiterin der Datenschutzbehörde Elizabeth Denham sagte: „Die GDPR macht deutlich, dass Unternehmen für die von ihnen gespeicherten personenbezogenen Daten verantwortlich sind. Dies kann die Durchführung einer ordnungsgemäßen umfassenden Überprüfung (Due Diligence) bei einem Unternehmenskauf und die Einführung geeigneter Rechenschaftsmaßnahmen umfassen, um nicht nur zu beurteilen, welche personenbezogenen Daten erfasst wurden, sondern auch, wie sie geschützt sind. Personenbezogene Daten haben einen realen Wert, sodass Unternehmen eine rechtliche Verpflichtung haben, ihre Sicherheit zu gewährleisten, so wie sie es mit jedem anderen Vermögen tun würden. Sollte dies nicht geschehen, werden wir nicht zögern, bei Bedarf energische Maßnahmen zum Schutz der Rechte der Öffentlichkeit zu ergreifen.“

Marriott hat an der ICO-Untersuchung mitgewirkt und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert. Das Unternehmen wird nun Gelegenheit haben, gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen. Das ICO hat diesen Fall als leitende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedstaaten untersucht. Sie hat auch mit anderen Regulierungsbehörden zusammengearbeitet. Im Rahmen der GDPR-Bestimmungen haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, zu den Ergebnissen der ICO Stellung zu nehmen. Das ICO wird eigenen Angaben zufolge die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor es seine endgültige Entscheidung trifft.

Diese Woche hatte die ICO bereits über eine geplante Strafzahlung gegen British Airways informiert. Wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) will die Behörde die Fluglinie mit einer Rekordbuße in Höhe von 183 Millionen Pfund (204 Millionen Euro) belegen. Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der dem ICO von British Airways im September 2018 gemeldet wurde. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden. Betroffen waren Kunden der Fluggesellschaft, die auf ihrer Website BA.com oder über ihre Mobil-App zwischen dem 21. August und dem 5. September eine Buchung vornahmen.

Bislang haben die Behörden wenige Strafen wegen Verletzung der Datenschutz-Grundverordnung, die seit Mai 2018 in Kraft getreten ist, ausgesprochen. In der Regel sind diese auch recht gering ausgefallen. Die bisherige Höchststrafe sprach die französischen Datenschutzbehörde CNIL gegenüber Google aus. Die CNIL fordert 50 Millionen Euro von Google. Sie stellte bei ihrer Untersuchung fest, dass das Unternehmen Nutzer, die auf Android-Geräten neue Google-Konten anlegen, nicht ausreichend über die „Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung von Anzeigen verwendet werden“, informiert. Google soll diese Informationen unerlaubt auf mehrere Dokumente verteilen, die erst nach mehreren Klicks auf Links erreichbar sind.