Nachdem wir erst vom Urteil aufgrund eines riesigen Datenlecks bei British Airways berichteten, wurde nun auch das Strafmass für den schweren Hackerangriff letzten Jahres auf sensible Kundendaten bei Marriott bekannt.
Damals wurde eine Reservierungsdatenbank von Marriott Ziel eines Cyberangriffs, wodurch gut 500 Millionen Kundendaten betroffen waren. Die Hotelkette soll ähnlich wie British Airways nun auch eine erhebliche Geldstrafe zahlen.
Hohe Geldstrafe für Marriott in Europa
Nachdem British Airways für ein schweres Datenleck zu über 200 Millionen Euro Strafe aufgrund der neuen DSGVO (Datenschutz-Grundverordnung) verurteilt wurde, ist nun auch das Strafmass für die Hotelkette Marriott auf Grundlage des noch jungen europäischen Gesetzes bekannt gegeben wurden. Von dem Angriff waren damals auch gut sieben Millionen britische Bürger betroffen. Zu über 99 Millionen Pfund – also etwa über 120 Millionen Franken – wurde der amerikanische Hotelriese von der britischen Datenschutzbehörde ICO aufgrund des schweren Datenlecks verurteilt.
Die ICO begründet ihr Urteil folgendermassen: “Personenbezogene Daten haben einen echten Wert, daher sind Unternehmen gesetzlich verpflichtet, ihre Sicherheit zu gewährleisten, genau wie bei jedem anderen Vermögenswert. Wenn dies nicht der Fall ist, werden wir jederzeit entschlossen handeln, um die Rechte der Öffentlichkeit zu schützen.” Marriott hat nun die Möglichkeit gegen das Urteil Berufung einzulegen und scheinbar zieht der Hotelriese dies nun in Betracht. Ähnlich wie auch British Airways zuvor, zeigte sich Marriott “enttäuscht” von dem Urteil und meint, genug zum Schutze der Kundendaten getan zu haben. Ausserdem habe man damals eng mit der ICO zusammengearbeitet. Jedenfalls nehme die Hotelkette den Vorfall nicht auf die leichte Schulter und bedaure diesen sehr.
Persönliche Gästeinformationen gestohlen
Betroffen waren im November letzten Jahres Informationen über Buchungen in der Reservierungsdatenbank die vor dem 10. September 2018 getätigt wurden. Bei den gestohlenen Informationen, die von rund einer halbe Milliarde Kunden geklaut wurden, handelte es sich laut Marriott um persönliche Daten wie “Namen, Postanschriften, Telefonnummern, E-Mail-Adressen, Passnummern, ‘Starwood Preferred Guest’-Kontoinformationen, Geburtsdaten, Geschlechter, Ankunfts- und Abfahrtsdaten, Reservierungsdaten und Kommunikationspräferenzen”, jedoch variierten die jeweils geklauten Daten von Person zu Person und vereinzelt kamen die unbekannten Hacker auch an die Zahlungsinformationen von Kunden.
Allerdings waren von dem Angriff “nur” Reservierungen betroffen, die in bestimmten Hotels der Kette getätigt wurden, darunter Le Méridien, Sheraton Hotels & Resorts und Westin Hotels & Resorts. Da Marriott selbst eine separate Datenbank benutze, war das Mutterunternehmen nicht von dem Angriff betroffen. Als Marriott den Vorfall auf der eigenen Webseite selbst öffentlich machte, kam durch einen Frage-Antwort-Katalog ausserdem heraus, dass es einen ähnlichen Angriffs bereits 2014 gegeben hatte. Damals verschafften sich Unbekannte Zugang zum Netzwerk von Starwood.
Fazit zur Marriott-Strafe
Auf der einen Seite ist es eine gute Sache, dass bei Sicherheitsverstössen und -vernachlässigungen solch hohe Geldbussen anfallen, die den betroffenen Unternehmen mit Strafen von bis zu vier Prozent des Jahresumsatzes auch wirklich wehtun können, schliesslich handelte es sich in beiden Fällen um sensible und persönliche Daten etlicher Kunden. Anderseits wirken die Strafen vielleicht auch ein wenig zu extrem, denn letztendlich landet das Geld aus den Strafen ja nicht bei den betroffenen Personen.
Jedenfalls dürften wir mit den Verurteilungen von Marriott und British Airways wohl erst den Anfang des harten Vorgehens bei solchen und ähnlichen Vorfällen gesehen haben, der sicher noch einige Unternehmen treffen dürfte.
