Datenleck und DSGVO: 99 Millionen Pfund Bussgeld für Hotelkette Marriott?


Die britische Datenschutzbehörde (ICO) beabsichtigt, der Hotelkette Marriott für Verstösse gegen die EU-Datenschutzgrundverordnung (DSGVO) in Zusammenhang mit einem Datenleck
eine Busse in Höhe von rund 99 Mio. Pfund (ca. 121 Mio. CHF) aufzuerlegen. Es geht dabei um von Hackern erbeutete Personendaten von 339 Millionen Kunden einer Tochtergesellschaft von Marriott, der Starwood Hotelgruppe. Marriott übernahm Starwood 2016. Die Systeme von Starwood wurden zwar bereits 2014 kompromittiert, das Datenleck aber erst 2018 bemerkt. Das ICO wirft Marriott deshalb vor, im Rahmen der Übernahme von Starwood im Jahre 2016 in der Due Diligence im Bereich des Datenschutzes keine genügende Sorgfalt geübt und danach zu wenig unternommen haben, um Personendaten zu schützen. Bevor das ICO die Busse definitiv aussprechen kann, hat Marriott die Möglichkeit, Stellung zu nehmen. Marriott beabsichtigt, die Busse nicht zu akzeptieren.


Datenleck bei Marriott Tochter Starwood

Marriott International, Inc. ist die grösste Hotelkette der Welt und Muttergesellschaft der Starwood Hotels & Resorts Worldwide, Inc.. Zu Letzterer gehören insbesondere Hotelketten der Luxusklasse, wie etwa Sheraton oder St. Regis. Marriott übernahm Starwood 2016.

Bereits zwei Jahre vor der Übernahme drangen Hacker in die Reservierungsdatenbank von Starwood ein und kompromittierten diese. Das so entstandene Datenleck wurde im Zuge der Due Diligence bei der Übernahme von Starwood durch Marriott nicht entdeckt und in IT-Systeme von Marriott integriert. Bis zur Entdeckung im September 2018 konnten Unberechtigte so auf teilweise unverschlüsselte Personendaten aus der Reservierungsdatenbank zugreifen, unter anderem auch auf sensitive Daten wie Pass- und Kreditkartennummern.

Insgesamt sind 339 Millionen Datensätze von Gästen betroffen, davon 7 Millionen aus Grossbritannien und weitere 23 Millionen aus 30 anderen Ländern des EWR. Im November 2018 informierte Marriott die britische Datenschutzbehörde, das Information Commissioner’s Office (ICO), über das Datenleck.


Untersuchung und Ankündigung der Busse durch das ICO

Nach der Information durch Marriott leitete das ICO eine Untersuchung ein. Das ICO fungierte dabei als federführende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedsstaaten (sog. One-Stop-Shop-Prinzip). Gestützt auf die Ergebnisse der Untersuchung hält das ICO in der Pressemitteilung vom 9. Juli 2019 seine Absicht fest, Marriott für Verstösse gegen die DSGVO eine Busse in der Höhe von rund 99 Millionen Pfund (ca. 121 Mio. CHF) aufzuerlegen. Bevor das ICO die Busse allerdings definitiv aussprechen kann, hat Marriott die Möglichkeit, zu den Ergebnissen der Untersuchung und der Höhe der Busse Stellung zu nehmen.


Begründung des ICO

Die Leiterin des ICO, Elizabeth Denham, bekräftigte in der Medienmitteilung, aus der DSGVO gehe klar hervor, dass Unternehmen für die von ihnen gehaltenen Personendaten verantwortlich seien (vgl. nur Art. 5 Abs. 2 DSGVO). Darunter falle auch die Durchführung einer angemessenen Due Diligence bezüglich Personendaten bei einer M&A Transaktion. Es müsse nicht nur untersucht werden, welche Personendaten erworben werden, sondern auch wie diese geschützt sind. Personendaten hätten einen realen Wert, sodass Gesellschaften deren Sicherheit genauso gewährleisten müssten, wie sie es mit allen anderen Vermögenswerten tun würden.

Im vorliegenden Fall kommt das ICO zum Schluss, dass Marriott im Rahmen der Übernahme mit Blick auf Personendaten bei der Due Diligence keine genügende Sorgfalt geübt habe. Obwohl das Datenleck im Zeitpunkt der Übernahme bereits zwei Jahre existierte, sei es nicht erkannt und in die Systeme der Marriott integriert worden. Weiter hält das ICO fest, dass Marriott seine Datenverarbeitungssysteme nach der Integration besser hätte schützen müssen. Es sei deshalb gegen verschiedene Normen der DSGVO verstossen worden.


Verstoss gegen den Grundsatz der Integrität und Vertraulichkeit

Obwohl das ICO in seiner Absichtserklärung nicht explizit erwähnt, gegen welche Normen der DSGVO verstossen wurde, dürfte namentlich der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) betroffen sein. Danach muss bei der Verarbeitung von personenbezogenen Daten eine angemessene Sicherheit gewährleistet werden, was insbesondere auch den Schutz vor unbefugter oder unrechtmässiger Verarbeitung beinhaltet.

Art. 32 DSGVO konkretisiert diesen Grundsatz, indem er geeignete technische und organisatorische Massnahmen verlangt, um ein angemessenes Schutzniveau für Daten gewährleisten zu können. Dazu gehören unter anderem die Verschlüsselung von Daten und die dauerhafte Sicherstellung der Vertraulichkeit der Systeme und zur Datenverarbeitung (vgl. Art. 32 Abs. 1 lit. a und b DSGVO).

Durch das nicht entdeckte Datenleck bei Starwood dürfte Marriott somit nach Auffassung des ICO gegen diese beiden Vorschriften der DSGVO verstossen haben.


Zusammenarbeit mit der Aufsichtsbehörde und Höhe der Busse

Die DSGVO sieht bei einem Verstoss gegen den Grundsatz von Integrität und Vertraulichkeit Geldbussen von bis zu 20 Mio. Euro oder 4% des weltweiten Umsatzes des vergangenen Geschäftsjahrs vor, je nachdem, welcher Betrag höher ist. Bei der Festlegung der konkreten Höhe der Geldbusse können verschiedene Gründe berücksichtigt werden. Dazu gehört insbesondere auch die Zusammenarbeit mit der Behörde, die zu einer weniger hohen Busse führen kann.

Im vorliegenden Fall kooperierte Marriott während der gesamten Untersuchung mit dem ICO. Die Busse in Aussicht gestellte Busse entspricht mit rund 99 Millionen Pfund ca. 3% des weltweiten Umsatzes von Marriott 2018 – ist also vor dem Hintergrund der maximal zulässigen 4% relativ hoch. Dass das ICO trotz Zusammenarbeit eine solch hohe Busse auszusprechen beabsichtigt, stösst bei Marriott auf wenig Verständnis. CEO Arne Sorenson betonte, dass man während der gesamten Untersuchung aktiv mit dem ICO zusammengearbeitet habe und das Datenleck durch kriminelle Aktivität entstanden sei. Marriott werde sich deshalb gegen die Busse zur Wehr setzen.


Ausblick und Anmerkungen

Die Absichtserklärung des ICO gibt, wie erwähnt, keinen Aufschluss darüber, gestützt auf welche Verstösse gegen die DSGVO und mit welchem Grad an Verschulden die Höhe der Busse festgesetzt wurde. Es bleibt somit abzuwarten,ob das ICO die Höhe der Busse letztlich noch herabsetzen bzw. mit welcher Begründung es die Höhe der Busse rechtfertigen wird.

Dass das ICO das Strafmass im Falle Marriott derart hoch ansetzt, bestärkt jedenfalls die Vermutungen, wonach die Aufsichtsbehörden bei Verstössen gegen die DSGVO eine härtere Gangart einlegen werden (siehe hierzu MLL-News vom 25. Februar 2019). So gab das ICO nur einen Tag vor der Mitteilung im Fall Marriott auch seine Absicht bekannt, die Fluggesellschaft British Airways für Verstösse gegen die DSGVO mit 183 Mio. Pfund (rund 222 Mio. CHF) zu büssen (Absichtserklärung ICO British Airways). In diesem Sinne betonte Information Comissioner Denham, das ICO werde künftig nicht vor strengen Massnahmen zurückschrecken.


Bedeutung für Schweizer Hotels und andere Unternehmen

Die vermehrte und rtere Durchsetzung der DSGVO ist auch für Schweizer Hotels und andere Unternehmen relevant. Denn bekanntlich können auch Anbieter aus Drittstaaten vom Anwendungsbereich der DSGVO erfasst sein, selbst wenn sie über keine Niederlassung in der EU bzw. im EWR verfügen. So gelangt die DSGVO bereits dann zur Anwendung, wenn Personen in der EU Waren oder Dienstleistungen angeboten werden (sog. Targeting-Kriterium). Gerade bei Tourismus-Angeboten, die inhärent internationaler Natur sind, wird der räumliche Anwendungsbereich regelmässig eröffnet sein und die DSGVO extraterritoriale Wirkung entfalten, folglich auch auf Schweizer Unternehmen anwendbar sein (vgl. dazu MLL-News vom 10. Dezember 2018). Da Schweizer Hotels meist eine Webseite haben, mittels welcher sie ihr Angebot (auch) an Personen in der EU richten, dürfte die DSGVO zumeist Anwendung finden (vgl. zu den Kriterien auch MLL-News vom 15. Dezember 2010). Im Falle eines Verstosses gegen die DSGVO bestünde somit auch für Schweizer Hotels – oder ganz allgemein für alle Schweizer Unternehmen im Anwendungsbereich der DSGVO – das Risiko einer einschneidenden Busse.

 

Weitere Informationen