FTC geht gegen Marriott und Starwood vor

| Hotellerie Hotellerie

Die Federal Trade Commission (FTC) geht gegen Marriott International und deren Tochtergesellschaft Starwood Hotels & Resorts vor. Wie die Kommission mitteilte, wird sie von den Unternehmen die Implementierung eines robusten Programms zur Informationssicherheit verlangen. Dies soll die Vorwürfe beilegen, dass die Unternehmen es versäumt hätten, angemessene Sicherheitsmaßnahmen zu ergreifen. Dies habe zu drei großen Datenschutzverletzungen geführt, die mehr als 344 Millionen Kunden weltweit betrafen (Tageskarte berichtete).

In einem von der FTC angekündigten Vergleich haben Marriott und Starwood zugestimmt, allen US-Kunden eine Möglichkeit zu bieten, die Löschung persönlicher Daten zu beantragen. Darüber hinaus verpflichtet der vorgeschlagene Vergleich Marriott, auf Anfrage von Kunden Loyalitätskonten zu überprüfen und gestohlene Bonuspunkte wiederherzustellen.

In einer separaten Vereinbarung, die ebenfalls heute bekannt gegeben wurde, erklärte sich Marriott bereit, eine Strafe von 52 Millionen US-Dollar an 49 Bundesstaaten und den District of Columbia zu zahlen, um ähnliche Vorwürfe im Zusammenhang mit der Datensicherheit beizulegen. Die FTC und die Staaten arbeiteten bei der Untersuchung parallel zusammen. Die FTC hat in diesem Fall keine rechtliche Befugnis, zivilrechtliche Strafen zu verhängen.

„Die mangelhaften Sicherheitspraktiken von Marriott führten zu mehreren Datenschutzverletzungen, die Hunderte von Millionen Kunden betrafen“, sagte Samuel Levine, Direktor des FTC-Büros für Verbraucherschutz. „Die heutige Maßnahme der FTC in Zusammenarbeit mit unseren staatlichen Partnern wird sicherstellen, dass Marriott seine Datensicherheitspraktiken in Hotels weltweit verbessert.“

Sicherheitsfehler von Marriott und Starwood

Marriott verwaltet und lizenziert mehr als 7.000 Hotels in den USA und in mehr als 130 weiteren Ländern. Nach der Übernahme von Starwood im Jahr 2016 war Marriott für die Datensicherheitspraktiken beider Marken verantwortlich.

In einer Beschwerde erklärt die FTC, dass Marriott und Starwood Verbraucher getäuscht hätten, indem sie behaupteten, über angemessene Datensicherheitsmaßnahmen zu verfügen. Trotz dieser Behauptungen hätten die Unternehmen es unterlassen, angemessene Sicherheitsmaßnahmen zu ergreifen, um persönliche Informationen zu schützen. Die Beschwerde wirft den Unternehmen vor, keine geeigneten Passwort-, Zugriffs-, Firewall-Kontrollen oder Netzwerksegmentierungen zu implementieren, veraltete Software und Systeme nicht zu aktualisieren, Netzwerke nicht ausreichend zu protokollieren und zu überwachen sowie keine ausreichende Mehrfaktorauthentifizierung eingesetzt zu haben.

Die FTC behauptet, dass die Sicherheitsfehler von Marriott und Starwood zu mindestens drei separaten Datenschutzverletzungen führten, bei denen böswillige Akteure Passdaten, Zahlungskartennummern, Loyalitätsnummern, Geburtsdaten, E-Mail-Adressen und/oder persönliche Informationen von Hunderten von Millionen Verbrauchern erlangten.

Die erste Verletzung begann im Juni 2014 und betraf die Zahlungskarteninformationen von mehr als 40.000 Starwood-Kunden. Der Vorfall blieb 14 Monate unbemerkt, bis Starwood die Kunden im November 2015 benachrichtigte – nur vier Tage nach der Bekanntgabe der Übernahme durch Marriott.

Die zweite Verletzung begann im Juli 2014 und blieb bis September 2018 unbemerkt. In diesem Zeitraum erlangten böswillige Akteure Zugriff auf 339 Millionen Starwood-Gästekonten weltweit, darunter 5,25 Millionen unverschlüsselte Passnummern.

Die dritte Verletzung blieb von September 2018 bis Februar 2020 unentdeckt und betraf das Netzwerk von Marriott selbst. Hacker griffen auf 5,2 Millionen Gästekonten weltweit zu, darunter Daten von 1,8 Millionen Amerikanern. Die kompromittierten Datensätze enthielten eine erhebliche Menge persönlicher Informationen, darunter Namen, Postadressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Loyalitätskontoinformationen.

Anforderungen des Vergleichs

Gemäß dem vorgeschlagenen Vergleich wird Marriott und Starwood untersagt, falsche Angaben dazu zu machen, wie sie persönliche Daten von Verbrauchern erfassen, verwalten, nutzen, löschen oder offenlegen. Weitere Bestimmungen des Vergleichs umfassen:

Datenminimierung: Die Unternehmen müssen eine Richtlinie implementieren, die sicherstellt, dass persönliche Daten nur so lange gespeichert werden, wie dies für den ursprünglichen Zweck erforderlich ist. Zudem müssen die Unternehmen den Grund für die Erfassung und die Notwendigkeit der Speicherung mitteilen.

Umfassendes Informationssicherheitsprogramm: Marriott und Starwood sind verpflichtet, ein umfassendes Informationssicherheitsprogramm zu etablieren, zu implementieren und dieses der FTC 20 Jahre lang jährlich zu bestätigen. Das Programm muss strenge Sicherheitsvorkehrungen beinhalten und alle zwei Jahre einer unabhängigen Überprüfung durch Dritte unterzogen werden.

Überprüfung des Loyalitätsprogramms: Die Unternehmen müssen eine Methode anbieten, mit der Verbraucher eine Überprüfung auf unbefugte Aktivitäten in ihren Marriott-Bonvoy-Loyalitätskonten anfordern können, und Marriott muss gestohlene Bonuspunkte wiederherstellen.

Datenlöschung: Die Unternehmen müssen einen Link zur Verfügung stellen, über den Kunden die Löschung persönlicher Daten beantragen können, die mit einer E-Mail-Adresse und/oder einer Loyalitätskontonummer verknüpft sind.

 

Zurück

Vielleicht auch interessant

Mandarin Oriental hat ihr erstes Haus in Österreich eröffnet und setzt auf die Verbindung von historischer Architektur, zeitgenössischem Design und einem breit gefächerten Kulinarik-Konzept.

Weiterlesen

Die Eröffnung des neuen Motel One Standorts in Wien-Donau City verbindet urbanes Design mit einem spezifisch für das Haus konzipierten Kunstwerk des in Wien lebenden Künstlers Paul Riedmüller. Das Hotel mit 198 Zimmern und Dachterrassen-Bar setzt auf die Nähe zu Donau und Stadtzentrum.

Weiterlesen

Das Radisson RED Vienna hat in Kooperation mit dem Unternehmen Where to know ein System zur Künstlichen Intelligenz (KI) implementiert, das die Analyse von Gästefeedback in Echtzeit ermöglicht. Ziel der Anwendung ist die Verbesserung des Gästeerlebnisses und die Steigerung der betrieblichen Effizienz im Hotelmanagement.

Weiterlesen

Die offizielle Baugenehmigung für die Hauptgebäude markiert den Beginn der Umsetzung des Veritas Parks in Wittenberge, einem 16 Hektar großen Zukunftsquartier auf dem ehemaligen Singer-Gelände, das auf CO₂-Neutralität und die Verbindung von Industriehistorie mit moderner Nutzung setzt. Im Zentrum der ersten Phase steht unter anderem das künftige Singer-Hotel.

Weiterlesen

Die Althoff Collection hat mit The Florentin ein neues Luxushotel in Frankfurt eröffnet. Das Haus, das aus der ehemaligen Villa Kennedy und ergänzenden Gebäudeflügeln entwickelt wurde, positioniert sich als "Urban Retreat" im gehobenen Frankfurter Hotelsegment.

Weiterlesen

Die Tui Group setzt auf starkes Wachstum in Asien. Der Touristikkonzern unterzeichnet neue Projekte für die Marken Robinson und Tui Blue und plant den Markteintritt in Japan und Vietnam.

Weiterlesen

Leonardo Hotels Central Europe erweitert sein Portfolio mit der Übernahme von vier IntercityHotels an den Standorten Nürnberg, Freiburg, Magdeburg und Erfurt. Die Häuser werden zunächst als White Label Hotels betrieben und modernisiert.

Weiterlesen

Die Ensana Hotels dehnen ihre Präsenz auf Georgien aus. Das Unternehmen übernimmt im kommenden Jahr den Betrieb der Sairme Resortanlage im Kaukasusgebirge. Sie zählt zu den etablierten Spa- und Wellnessangeboten der Region.

Weiterlesen

Das Aethos Monterosa im Val d’Ayas hat nach einer umfassenden Neugestaltung zur Wintersaison seine Pforten geöffnet. Die Renovierungsarbeiten der vergangenen Monate dienten der weiteren Stärkung der Markenidentität.

Weiterlesen

Das 25hours Hotel The Trip in Frankfurt hat weite Teile seiner öffentlichen Bereiche erneuert. Im Fokus der Umgestaltung standen die Lobby, die Rezeption mit angeschlossenem Shop, die neu eingerichtete Nomad Day Bar sowie der Innenhof.

Weiterlesen