Strafe gegen Marriott Hotelkette
Die britische Datenschutzbehörde (Information Commissioner’s Office, kurz ICO) hat bekanntgegeben, dass eine Geldstrafe in Höhe von 99,2 Millionen britischer Pfund gegen die internationale Hotelkette Marriott verhängt wird. Dieser Betrag entspricht ca. 110 Millionen Euro.
Vorgeschichte
Im Jahr 2016 kaufte die Marriott das Unternehmen Starwood Hotels & Resports Worldwide für kolportierte 12 Milliarden US-Dollar. Das Unternehmen wurde in die Kette eingegliedert.
Im November 2018 wurde bekannt, dass Cyberkriminelle Kundendaten von ca. 339 Millionen Kunden erbeutet haben. Die Daten wurden aus einer Datenbank der Starwood Hotels gestohlen. Etwa 30 Millionen Datensätze von EU-Bürgern waren betroffen. Wären keine Daten von EU-Bürgen gestohlen worden, wäre die Datenschutz-Grundverordnung nicht zur Anwendung gekommen, da sich das Unternehmen in den USA befindet.
Neben Daten zur Nächtigung wurden auch Kreditkartendaten gestohlen.
Ermittlung der Behörde
Die Mitarbeiter der Datenschutzbehörde ICO sagen, dass die Marriott Hotelkette im Zuge der Übernahme die Sicherheitssysteme nicht ausreichend geprüft haben. Daher hat sich das Unternehmen schuldhaft gemacht, die Daten Ihrer Kunden nicht ausreichend geschützt zu haben.
Gleichzeitig wurde betont, dass das Unternehmen mit dem Behörden kooperiert hat und diverse Maßnahmen gesetzt hat um einen solchen Diebstahl in Zukunft zu verhindern.
Trotzdem kündigte ICO an, eine Geldstrafe von 99 Millionen britischer Pfund zu verhängen. Die Marriott Hotelkette hat noch die Möglichkeit eine Stellungnahme zu verfassen, bevor der Bescheid rechtsgültig wird.
Da die Hotelbranche stark von den Covid-19 Auswirkungen betroffen ist, wurde das Strafausmaß von 110 Mio. Euro auf 20,4 Mio Euro gesenkt.
Entscheidungsdatum:
30.10.2020
Land:
Großbritannien
Art des Verstoßes:
Datendiebstahl
Betroffene Datensätze:
20347230
Waren sensible Daten betroffen?:
Nein
verhängte Geldstrafe:
€ 20,347,230,-
Verstoß gegen DSGVO Paragraph:
32. Sicherheit der Verarbeitung
Quelle:
Mitteilung der britischen Datenschutzbehörde ICO (englisch)