Datenschutzverstoß Hotelkette Marriott drohen mehr als 100 Millionen Euro Bußgeld

Ein Datenleck von Marriott betraf 383 Millionen Hotelgäste. Der Vorfall ist nicht nur für Kunden ärgerlich, sondern auch ein Verstoß gegen die Datenschutz-Grundverordnung, sagen britische Datenschützer.
Marriott-Hotels werden von Kunden aus aller Welt besucht

Marriott-Hotels werden von Kunden aus aller Welt besucht

Foto: Danny Johnston/ AP

Erst zwei Tage ist es her, dass Großbritanniens Datenschutzbehörde ein Rekordbußgeld in Höhe von umgerechnet 205 Millionen Euro verhängt hat. Zahlen soll den Betrag die Fluggesellschaft British Airways, die zuvor eine Datenpanne bei Onlinebuchungen von Flugtickets hatte einräumen müssen.

Wie nun bekannt geworden ist, könnte das Information Commissioner's Office (ICO) in absehbarer Zeit ein weiteres dreistelliges Millionen-Bußgeld aussprechen. Umgerechnet 110 Millionen Euro Bußgeld stehen nämlich im Fall der US-Hotelkette Marriott im Raum, das geht aus einer Absichtserklärung des ICO hervor . Darin heißt es unter anderem, Marriott habe zu wenig dafür getan, um seine Computersysteme zu sichern.

Das Unternehmen aus Bethesda im US-Bundesstaat Maryland hatte im November 2018 ein massives Datenleck eingestanden. Hacker waren demnach an Informationen zu 383 Millionen Gästen gelangt. Zu den erbeuteten Daten zählten der Kette zufolge 5,25 Millionen unverschlüsselte Ausweisnummern und 385.000 auch tatsächlich noch gültige Zahlungskartennummern.

Sieben Millionen betroffene Briten

Die Untersuchung des Falls durch das ICO hat nun ergeben, dass das Datenleck wohl sieben Millionen Briten betraf. Aus dem Europäischen Wirtschaftsraum, zu dem auch Deutschland gehört, sollen insgesamt schätzungsweise 30 Millionen Menschen betroffen gewesen sein.

Das ICO habe den Fall Marriott als leitende Aufsichtsbehörde im Auftrag der Datenschutzbehörden auch anderer EU-Mitgliedstaaten untersucht, betont die britische Behörde. Sie habe dabei auch mit anderen Regulierungsbehörden zusammengearbeitet.

Endgültig ist die Entscheidung noch nicht. Marriott hat noch die Möglichkeit, zur ICO-Position Stellung zu nehmen. Marriott-Chef Arne Sorenson sagte in einem Statement, man werde die Absichtserklärung anfechten. Sein Unternehmen habe während der Untersuchung mit dem ICO kooperiert.

Ziel der Hackerattacke, die schon 2014 begonnen haben soll, war eine Reservierungsdatenbank des Tochterunternehmens Starwood gewesen. In der Datenbank, die mittlerweile nicht mehr genutzt wird, waren Gästeinformationen gespeichert, die zu Marken wie Le Méridien, Sheraton Hotels & Resorts und Westin Hotels & Resorts gehören. Marriott hatte Starwood 2016 übernommen. Insgesamt gehören weltweit mehr als 7000 Immobilien zu Marriott.

Hintergrund der Bußgeldverfahren von Behörden wie dem ICO ist die EU-Datenschutz-Grundverordnung (DSGVO). Durch sie können - je nach Schwere eines Datenschutzverstoßes - bis zu 20 Millionen Euro Bußgeld fällig werden. Bei großen Konzernen kann das Bußgeld aber auch bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen. So sind theoretisch auch Milliardenstrafen denkbar.

mbö
Die Wiedergabe wurde unterbrochen.