easyGDPR

We make implementing General Data Protection Regulation Easy

by

Strafe gegen Marriott Hotelkette

Die britische Datenschutzbehörde (Information Commissioner’s Office, kurz ICO) hat bekanntgegeben, dass eine Geldstrafe in Höhe von 99,2 Millionen britischer Pfund gegen die internationale Hotelkette Marriott verhängt wird. Dieser Betrag entspricht ca. 110 Millionen Euro.

Vorgeschichte

Im Jahr 2016 kaufte die Marriott das Unternehmen Starwood Hotels & Resports Worldwide für kolportierte 12 Milliarden US-Dollar. Das Unternehmen wurde in die Kette eingegliedert.

Im November 2018 wurde bekannt, dass Cyberkriminelle Kundendaten von ca. 339 Millionen Kunden erbeutet haben. Die Daten wurden aus einer Datenbank der Starwood Hotels gestohlen. Etwa 30 Millionen Datensätze von EU-Bürgern waren betroffen. Wären keine Daten von EU-Bürgen gestohlen worden, wäre die Datenschutz-Grundverordnung nicht zur Anwendung gekommen, da sich das Unternehmen in den USA befindet.

Neben Daten zur Nächtigung wurden auch Kreditkartendaten gestohlen.

Ermittlung der Behörde

Die Mitarbeiter der Datenschutzbehörde ICO sagen, dass die Marriott Hotelkette im Zuge der Übernahme die Sicherheitssysteme nicht ausreichend geprüft haben. Daher hat sich das Unternehmen schuldhaft gemacht, die Daten Ihrer Kunden nicht ausreichend geschützt zu haben.

Gleichzeitig wurde betont, dass das Unternehmen mit dem Behörden kooperiert hat und diverse Maßnahmen gesetzt hat um einen solchen Diebstahl in Zukunft zu verhindern.

Trotzdem kündigte ICO an, eine Geldstrafe von 99 Millionen britischer Pfund zu verhängen. Die Marriott Hotelkette hat noch die Möglichkeit eine Stellungnahme zu verfassen, bevor der Bescheid rechtsgültig wird.

Da die Hotelbranche stark von den Covid-19 Auswirkungen betroffen ist, wurde das Strafausmaß von 110 Mio. Euro auf 20,4 Mio Euro gesenkt.

Entscheidungsdatum:
30.10.2020

Land:
Großbritannien

Art des Verstoßes:
Datendiebstahl

Betroffene Datensätze:
20347230

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 20,347,230,-

Verstoß gegen DSGVO Paragraph:

32. Sicherheit der Verarbeitung

Quelle:
Mitteilung der britischen Datenschutzbehörde ICO (englisch)

Category iconAllgemein