{"id":2557,"date":"2020-11-20T14:29:26","date_gmt":"2020-11-20T13:29:26","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=2557"},"modified":"2024-09-04T08:49:45","modified_gmt":"2024-09-04T06:49:45","slug":"fehlende-sicherheit-von-kundendaten-hohes-bussgeld-fuer-hotelkette-marriott-in-grossbritannien-verhaengt","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/fehlende-sicherheit-von-kundendaten-hohes-bussgeld-fuer-hotelkette-marriott-in-grossbritannien-verhaengt\/","title":{"rendered":"Fehlende Sicherheit von Kundendaten \u2013 hohes Bu\u00dfgeld f\u00fcr Hotelkette Marriott in Gro\u00dfbritannien verh\u00e4ngt"},"content":{"rendered":"

Gro\u00dfbritanniens Datenschutzbeh\u00f6rde (ICO) hat am 30.10.2020 gegen die US-Hotelkette Marriott ein Bu\u00dfgeld von 18,4 Mio. Pfund verh\u00e4ngt. Der Grund hierf\u00fcr war ein massives Datenleck. Das Unternehmen hatte es vers\u00e4umt, die pers\u00f6nlichen Daten von mehreren hundert Millionen Kundensicher aufzubewahren.<\/p>\n

Interessant ist die Entscheidung nicht nur aus datenschutzrechtlicher Sicht. Vielmehr zeigt der zeitliche Ablauf mehr als deutlich, dass datenschutzrechtlichen Aspekten im Zuge von Unternehmenstransaktionen zwingend eine besondere Bedeutung zuzumessen ist:<\/p>\n

Bereits im Jahre 2014 kam es zu einem Cyber-Angriff auf die Reservierungsdatenbank der Starwood-Hotel-Gruppe. Dieser er\u00f6ffnete unbekannten T\u00e4tern die M\u00f6glichkeit des Zugriffs auf 339 Millionen G\u00e4stedaten. Unberechtigte konnten neben Namen, Adressen und Telefonnummern, auch auf sensitive Daten wie Pass- und Kreditkartennummern zugreifen. Die T\u00e4ter hatten einen als „Web-Shell“ bekannten Code auf einem Ger\u00e4t im Starwood-Netzwerk installiert, der es ihnen erm\u00f6glichte, aus der Ferne darauf zuzugreifen. Unter Ausnutzung dieses Zugangs installierten die unbekannten Angreifer Malware (Remote Access Trojaner) und verschafften sich so weitrechende Zugriffsm\u00f6glichkeiten auf das gesamte Netzwerk und insbesondere die Reservierungsdatenbank.<\/p>\n

2016, also zwei Jahre sp\u00e4ter, \u00fcbernahm Marriott die Starwood-Hotels. Die Sicherheitsl\u00fccke blieb bis zum September 2018 \u2013 und damit auch nach In-Kraft-Treten der DSGVO \u2013 unentdeckt.<\/p>\n

Bei der im Zuge der \u00dcbernahme der Starwood-Gruppe durchgef\u00fchrten Risikobewertung (Due Diligence) wurde durch Marriott zwar die Art der zu erwerbenden Personendaten, jedoch nicht die Angemessenheit der Sicherheitsma\u00dfnahmen \u00fcberpr\u00fcft. Das Starwood-Reservierungssystem wurde nach \u00dcbernahme weitergef\u00fchrt. Obwohl das Datenleck im Zeitpunkt der \u00dcbernahme bereits zwei Jahre existierte, wurde es nicht erkannt und so in die IT-Systeme von Marriott integriert.<\/p>\n

Die Untersuchung der ICO ergab vor allem Vers\u00e4umnisse durch Marriott, , die darin bestanden, angemessene technische und organisatorische Ma\u00dfnahmen zum Schutz der in den Systemen verarbeiteten personenbezogenen Daten der Kunden zu ergreifen, wie dies von der DSGVOvorgeschrieben wird. Die ICO definiert definierte u.a. vier wesentliche Vers\u00e4umnisse<\/strong>, die dasBu\u00dfgeld begr\u00fcnden:<\/p>\n

    \n
  1. ungen\u00fcgende \u00dcberwachung von Administratoren-Accounts,<\/li>\n
  2. ungen\u00fcgende \u00dcberwachung der Datenbanken, insbesondere das Fehlen eines risikobasierten Schutzkonzeptes, fehlende Sicherheitswarnungen und unzureichende Protokollierung und Protokollauswertungen,<\/li>\n
  3. fehlende Kontrolle kritischer Systeme, vor allem fehlendes Whitelistening sowie<\/li>\n
  4. fehlende Verschl\u00fcsselung sensitiver personenbezogener Daten.<\/li>\n<\/ol>\n

    Dabei betont die ICO in ihrer Entscheidung, dass vor allem das fehlende Monitoring der Systeme den Datenschutzversto\u00df begr\u00fcnden und unterstrich die Bedeutung, die eine korrekte Konfiguration, regelm\u00e4\u00dfige \u00dcberwachung und Kontrolle der IT-Systeme hat. Das Bu\u00dfgeld fiel unter anderem wegen der Ber\u00fccksichtigung der Covid-19-Belastungen geringer als urspr\u00fcnglich angek\u00fcndigt aus.<\/p>\n

    F\u00fcr den Berater in Unternehmenstransaktionen bedeutet dies:<\/p>\n