Der Fall Marriott: Was können Unternehmen daraus lernen?

Dem Hotelkonzern Marriott International droht in Großbritannien wegen Verstößen gegen die Datenschutzverordnung (DSGVO) eine Geldstrafe in Höhe von über 99 Millionen Pfund (110 Millionen Euro)[1].

Was ist geschehen? Hacker haben sich über Monate hinweg Zugang zu personenbezogene Daten aus rund 339 Millionen Gästeprofilen verschafft, davon knapp ein Dittel mit Wohnsitz in der EU. Das berichtet die britische Datenschutzbehörde ICO. Demnach hat Marriott den Vorfall bereits im November 2018 gemeldet. Doch wie kann so etwas überhaupt passieren?

Systeme nicht ausreichend gesichert

Marriott hatte im Jahr 2016 die Starwood-Hotelgruppe übernommen. Bereits zwei Jahre zuvor wurden die Systeme der Starwood-Gruppe von Hackern kompromittiert. Spätestens im Rahmen der Übernahme hätte die Schwachstelle auffallen müssen. Tat sie aber nicht – weil Marriott seine Sorgfaltspflicht nicht wahrgenommen und seine IT-Systeme nicht ausreichend abgesichert hat, so das ICO.

Für den Umgang mit personenbezogenen Daten formuliert die DSGVO klare Regeln: So haben die Verantwortlichen und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen“ zu treffen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten[2]. Verstöße gegen diese Auflagen können Unternehmen teuer zu stehen kommen: Je nach Fall können die Behörden Bußgelder von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes verhängen.

Durch Technologie Strafen vermeiden

Hätte Marriott diese hohe Geldstrafe vermeiden können? Zweifellos – und zwar sowohl durch eine gründliche Überprüfung von Starwood schon bei der Übernahme als auch durch eine angemessene Absicherung seiner IT-Systeme nach dem Stand der Technik. In beiden Fällen können betreibersichere bzw. versiegelte Infrastrukturen für die Unversehrtheit und Integrität sensibler Daten und Informationen sorgen.

Die virtuellen iDGARD-Datenräume sorgen bei M&A-Transaktionen für die gebotene Sicherheit und unterstützen alle Beteiligten dabei in allen Phasen. Dieselbe Sealed-Cloud-Technologie sichert auch Server-Netzwerke im eigenen oder fremden Rechenzentrum zuverlässig gegen unbefugte Zugriffe – und zwar nicht nur durch externe, sondern auch durch interne Angreifer. Dafür sorgt die einzigartige Architektur der Sealed Cloud: Daten und Verbindungsinformation sind in allen Phasen der Übertragung, Speicherung und Verarbeitung durch einen Satz rein technischer Maßnahmen geschützt.

Der Fall Marriott ist nicht das erste Mal, dass europäische Datenschutzbehörden Geldstrafen gegen Unternehmen verhängen. Allerdings waren die ersten Strafen noch recht vereinzelt und verhältnismäßig niedrig. Die nun gegen Marriott und British Airways angesetzten Bußgelder haben es dagegen ganz schön in sich – das ist schmerzhaft. Die Warnwirkung für andere Unternehmen ist damit vermutlich umso größer. Zur Erinnerung: Wenn Unternehmen gegen ihre Datenschutzauflagen verstoßen, können bis zu vier Prozent des weltweit erwirtschafteten Jahresumsatzes fällig werden. Datenschutz lohnt sich also – auch finanziell!

[1] https://techcrunch.com/2019/07/09/marriott-data-breach-uk-fine

[2] https://dsgvo-gesetz.de/art-32-dsgvo/

 

RegTech SaaS

Sie möchten hohe Strafen vermeiden und Ihre IT-Systeme wirkungsvoll gegen interne und externe Angriffe absichern? Nehmen Sie jetzt Kontakt mit unseren Experten auf und vereinbaren Sie einen unverbindlichen Test!