USA: Marriott zahlt Millionenstrafe wegen Datenlecks

Marriott-Schriftzug
Die FTC wirft Marriott vor, mangelnde Sicherheitsvorkehrungen hätten den Datendiebstahl erst ermöglicht. (Quelle: CC0 1.0 Universal)

Die Hotelkette Marriott International hat sich mit den Generalstaatsanwaltschaften von 50 US-Bundesstaaten auf die Zahlung einer Strafe in Höhe von 52 Millionen US-Dollar geeinigt. Die Generalstaatsanwaltschaften hatten mehrere Datenlecks bei Marriott und der Tochterfirma Starwood untersucht, bei denen die Daten von mehr als 344 Millionen Menschen gestohlen worden sein sollen. Außerdem hat sich das Unternehmen mit der US-Handelsaufsicht Federal Trade Comission (FTC) geeinigt, weitere Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen.

Sowohl die FTC als auch die Generalstaatsanwaltschaften hatten Ermittlungen zu Datenlecks bei der Hotelkette geführt: Zwischen den Jahren 2014 und 2020 soll es drei solcher Vorfälle gegeben haben, bei denen die Daten von Hunderten Millionen Gästen weltweit entwendet wurden, erklärte die FTC am Mittwoch. Zu Marriott International gehören demnach mehr als 7000 Hotels in den USA und mehr als 130 weiteren Ländern.

Systemeinbrüche nicht entdeckt

Der erste Vorfall ereignete sich bereits im Juni 2014. Damals wurden Zahlungsinformationen von mehr als 40.000 Starwood-Kunden entwendet. Der FTC zufolge wurde das Datenleck 14 Monate lang nicht entdeckt. Im November 2015 habe Starwood dann seine Kundinnen und Kunden informiert – vier Tage zuvor hatte Marriott die Übernahme des Unternehmens angekündigt, die im Jahr 2016 abgeschlossen wurde. Marriott sei seitdem für die Datensicherheit bei beiden Firmen verantwortlich, so die FTC.

Auch im Juli 2014 sollen Unbekannte in die Systeme von Starwood eingedrungen sein. Dieser Datendiebstahl blieb laut FTC bis zum September 2018 unentdeckt – also auch zu einer Zeit, als Marriott das Unternehmen bereits übernommen hatte. In diesem Zeitraum hätten Kriminelle Zugriff auf über 480 Computersysteme gehabt, die sich beispielsweise in Rechenzentren, aber auch in einzelnen Hotels befanden. Darauf sei unter anderem Schadsoftware installiert worden. Zu den abgegriffenen Daten zählten demnach auch 5,25 Millionen Passnummern im Klartext.

Auch weitere Gästedaten wie Namen, Geburtsdaten, Geschlecht, Adressen und E-Mail-Adressen, Telefonnummern sowie Zahlungsinformationen wurden damals gestohlen. Zudem wurden Informationen zu den Hotelaufenthalten der Gäste entwendet.

Ein dritter IT-Angriff auf die Systeme von Marriott blieb laut FTC zwischen September 2018 und Februar 2020 unentdeckt. Kriminelle hatten damals Zugriff auf die Daten von etwa 5,2 Millionen Gästen der Hotelkette. Dazu zählten Namen, Adressen und E-Mail-Adressen, Telefonnummern und Angaben zum Hotelaufenthalt.

Marriott hatte mitgeteilt, Zahlungsdaten oder Ausweisnummern seien nicht gestohlen worden.

Der Generalstaatsanwalt von Connecticut, William Tong, sagte: “Unternehmen sind verpflichtet, angemessene Maßnahmen zum Schutz von Verbraucherdaten zu ergreifen. Marriott hat das eindeutig versäumt, was zum Einbruch in das Starwood-Netzwerk und der Offenlegung von Millionen Gästedaten geführt hat.”

Marriott hat nun dem Vergleich mit den US-Bundesstaaten zugestimmt und zahlt in diesem Rahmen eine Strafe von 52 Millionen US-Dollar. Diese Summe wird unter den 50 beteiligten Bundesstaaten aufgeteilt. Die Generalstaatsanwaltschaften hatten der Hotelkette vorgeworfen, gegen Verbraucherschutz- und Datenschutzgesetze verstoßen zu haben.

Unternehmen muss Sicherheitsvorkehrungen verbessern

Gegenüber der FTC verpflichtet sich der Konzern zudem, ein “umfassendes Sicherheitsprogramm” einzuführen, um die Datensicherheit zu verbessern. Denn die FTC wirft Marriott und Starwood vor, sich nicht ausreichend um den Schutz der Kundendaten gekümmert zu haben. So seien die Systeme beispielsweise nicht angemessen mit Passwörtern und mehrstufigen Authentifizierungsverfahren gesichert gewesen. Auch sei veraltete Software nicht aktualisiert worden.

Samuel Levine, Chef der Verbraucherschutzabteilung der FTC, konstatierte: “Die mangelhaften Sicherheitspraktiken von Marriott haben zu mehreren Datenschutzverstößen geführt, von denen Hunderte Millionen von Kunden betroffen waren.”

Marriott muss in den nächsten 20 Jahren der FTC nun jährlich nachweisen, dass die neuen Sicherheitsbestimmungen eingehalten werden. Außerdem muss das Unternehmen sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie sie benötigt werden. Zudem soll Kundinnen und Kunden ein Link zur Verfügung gestellt werden, über den sie die Löschung aller mit ihrer E-Mail-Adresse oder ihrem Treueprogramm-Konto verbunden Daten beantragen können.

Aufgrund des im Jahr 2018 bekannt gewordenen Datendiebstahls war bereits die britische Datenschutzbehörde ICO aktiv geworden und hatte zunächst eine Strafe in Höhe von 99,2 Millionen Pfund verhängt. Dagegen hatte die Hotelkette jedoch Widerspruch eingelegt. Die Geldstrafe wurde im Jahr 2020 schließlich auf 18,4 Millionen Pfund reduziert. (js)