Hotellerie
Die britische Datenschutzbehörde ICO will gegen Marriott und British Airways Rekordstrafen wegen Verstoßes gegen den Datenschutz verhängen. Die Hotelkette Marriott soll 110 Millionen und die Fluggesellschaft über 200 Millionen Euro berappen. Marriott kündigte an, gegen die Strafe vorgehen zu wollen.
Von größtem Hackerangriff in der Hotelgeschichte (Tageskarte berichtete) waren rund 383 Millionen Gästedatensätze betroffen. Ferner wurden dem Hotelkonzern rund 5,25 Millionen unverschlüsselte Passnummern entwendet. Darüber hinaus schnappten sich die Angreifer rund 20,3 Millionen verschlüsselte Passnummern, wie Marriott mitteilte.
Für dieses Datenleck soll Marriott jetzt bezahlen. Die Prüfung der britischen Datenschützer habe ergeben, dass die Marriott-Kette keine ausreichenden Prüfungen bei der Übernahme durchgeführt und auch danach nicht ausreichend für die Sicherheit der Systeme gesorgt hätten. Die Pflicht zum Schutz der Daten, die die DSGVO Unternehmen auferlege, umfasse aber auch solche Fälle von Übernahmen, erklärte Englands Chef-Datenschützerin Elizabeth Denham. Die Strafe ist noch nicht vollstreckt. Zunächst handelt es sich um eine Absichtserklärung, die den Unternehmen raum zur Erklärung bietet.
Das nutzte Marriott dann auch gleich für einen Pressetext in dem Arne Sorenson, Präsident und CEO von der Gruppe, sagte: „Wir sind enttäuscht über diese Absichtserklärung des ICO, die wir anfechten werden. Marriott hat während der gesamten Untersuchung des Vorfalls, bei dem es sich um einen kriminellen Angriff auf die Starwood-Gastbuchungsdatenbank handelte, mit dem ICO zusammengearbeitet. Wir bedauern zutiefst, dass dieser Vorfall stattgefunden hat. Wir nehmen den Datenschutz und die Sicherheit von Gästeinformationen sehr ernst und arbeiten weiterhin hart daran, den Qualitätsstandard zu erreichen, den unsere Gäste von Marriott erwarten.“ Laut Marriott wir die angegriffene Starwood-Datenbank nicht mehr für den Geschäftsbetrieb verwendet.
Auch gegen die Fluggesellschaft British Airways will die ICO vorgehen. 2018 wurde bekannt, dass nach einem Hackerangriff auf die Fluggesellschaft British Airways die persönlichen Daten und Bankverbindungen von mehr als 500.000 Kunden aus Online-Buchungen gestohlen worden waren. Damit verstieß die Airline gegen die europäischen Datenschutzbestimmungen und muss nun eine hohe Strafe zahlen.
Die Datenschutzbehörde ICO dotierte die Höhe des Strafgeldes Medienberichten zufolge auf umgerechnet 204 Millionen Euro. In der Begründung teilte die Datenschutzbeauftragte Elizabeth Denham mit, dass die British Airways zu fahrlässig im Umgang mit den persönlichen Daten ihrer Kunden gewesen sei. "Wenn Sie mit persönlichen Daten betraut werden, müssen Sie darauf aufpassen", so Denham.
Enttäuschung bei der British Airways über das Strafmaß
Der Chef der British Airways Alex Cruz zeigte sich in Bezug auf die Höhe der Strafe, die 1,5% des Umsatzes der Airline aus dem Jahr 2017 entspricht, überrascht. Nachdem der Hackerangriff aufgedeckt worden war, habe er sofort reagiert und „keine Hinweise auf betrügerische Aktivitäten“ gefunden. Laut ICO seien aber 500.000 Kunden, die in der Zeit zwischen dem 21. August und 5. September 2018 ihre Flüge online gebucht und mit der Kreditkarte bezahlt hatten, von dem Datendiebstahl betroffen gewesen. Ihre Namen, Anschriften, Mail-Adressen und Bankdaten seien in die Hände der Cyber-Kriminellen geraten. Reise- und Passdaten sollen aber nicht von dem Datendiebstahl betroffen gewesen sein.
Die Fluggesellschaft hatte sich in ganzseitigen Anzeigen in der Zeitung bei den betroffenen Kunden entschuldigt und Entschädigungszahlungen angekündigt. Gegen die Millionenstrafe will der Mutterkonzern IAG nun eventuell Einspruch erheben.
