+++ Kurzmitteilung +++
Am 09.07.2019 hatte Marriott International einen Bußgeldbescheid von der ICO empfangen. Die Mitteilung beinhaltete eine Strafe von rund 110.390.200 Euro. Der bußgeldbewerte Vorfall war das Abgreifen der Daten von mehr als 300 Millionen Kunden durch ein Eindringen von Unbefugten in die IT-Systeme (Cyberangriff).
Die Schwachstellen im System bestehen bei Marriott vermutlich bereits seit der Übernahme der Starwood-Hotelgruppe (und deren Systeme) im Jahr 2014. Aufgrund der unzureichenden Sicherungsmaßnahmen und der mangelden Sorgfaltspflicht liegt hier ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) vor. Das Schadensausmaß ist aufgrund der Unternehmensgröße von immensem Umfang.
Am 30. Oktober 2020 wurde das Bußgeld auf eine Summe von 20,4 Mio. Euro herabgesetzt. Als Begründungen hierfür galten die uneingeschränkte Kooperation durch Marriott und die Tatsache, dass es keine vorherigen Verstöße des Unternehmens gab. Darüber hinaus wurden auch die Rechtsprechungen in anderen Datenschutzvorfällen (z.B. die Milderung der British Airways Strafe im Oktober 2020) berücksichtigt, wodurch eine Angleichung der Geldbuße erfolgte.
Quelle: „Penalty Notice“ der ICO zum Fall Marriott: (case ref: COMo804337), abgerufen am 19.11.2020 unter https://ico.org.uk/media/action-weve-taken/mpns/2618524/marriott-international-inc-mpn-20201030.pdf