Fehlende Sicherheit von Kundendaten – hohes Bußgeld für Hotelkette Marriott in Großbritannien verhängt
Großbritanniens Datenschutzbehörde (ICO) hat am 30.10.2020 gegen die US-Hotelkette Marriott ein Bußgeld von 18,4 Mio. Pfund verhängt. Der Grund hierfür war ein massives Datenleck. Das Unternehmen hatte es versäumt, die persönlichen Daten von mehreren hundert Millionen Kundensicher aufzubewahren.
Interessant ist die Entscheidung nicht nur aus datenschutzrechtlicher Sicht. Vielmehr zeigt der zeitliche Ablauf mehr als deutlich, dass datenschutzrechtlichen Aspekten im Zuge von Unternehmenstransaktionen zwingend eine besondere Bedeutung zuzumessen ist:
Bereits im Jahre 2014 kam es zu einem Cyber-Angriff auf die Reservierungsdatenbank der Starwood-Hotel-Gruppe. Dieser eröffnete unbekannten Tätern die Möglichkeit des Zugriffs auf 339 Millionen Gästedaten. Unberechtigte konnten neben Namen, Adressen und Telefonnummern, auch auf sensitive Daten wie Pass- und Kreditkartennummern zugreifen. Die Täter hatten einen als „Web-Shell“ bekannten Code auf einem Gerät im Starwood-Netzwerk installiert, der es ihnen ermöglichte, aus der Ferne darauf zuzugreifen. Unter Ausnutzung dieses Zugangs installierten die unbekannten Angreifer Malware (Remote Access Trojaner) und verschafften sich so weitrechende Zugriffsmöglichkeiten auf das gesamte Netzwerk und insbesondere die Reservierungsdatenbank.
2016, also zwei Jahre später, übernahm Marriott die Starwood-Hotels. Die Sicherheitslücke blieb bis zum September 2018 – und damit auch nach In-Kraft-Treten der DSGVO – unentdeckt.
Bei der im Zuge der Übernahme der Starwood-Gruppe durchgeführten Risikobewertung (Due Diligence) wurde durch Marriott zwar die Art der zu erwerbenden Personendaten, jedoch nicht die Angemessenheit der Sicherheitsmaßnahmen überprüft. Das Starwood-Reservierungssystem wurde nach Übernahme weitergeführt. Obwohl das Datenleck im Zeitpunkt der Übernahme bereits zwei Jahre existierte, wurde es nicht erkannt und so in die IT-Systeme von Marriott integriert.
Die Untersuchung der ICO ergab vor allem Versäumnisse durch Marriott, , die darin bestanden, angemessene technische und organisatorische Maßnahmen zum Schutz der in den Systemen verarbeiteten personenbezogenen Daten der Kunden zu ergreifen, wie dies von der DSGVOvorgeschrieben wird. Die ICO definiert definierte u.a. vier wesentliche Versäumnisse, die dasBußgeld begründen:
- ungenügende Überwachung von Administratoren-Accounts,
- ungenügende Überwachung der Datenbanken, insbesondere das Fehlen eines risikobasierten Schutzkonzeptes, fehlende Sicherheitswarnungen und unzureichende Protokollierung und Protokollauswertungen,
- fehlende Kontrolle kritischer Systeme, vor allem fehlendes Whitelistening sowie
- fehlende Verschlüsselung sensitiver personenbezogener Daten.
Dabei betont die ICO in ihrer Entscheidung, dass vor allem das fehlende Monitoring der Systeme den Datenschutzverstoß begründen und unterstrich die Bedeutung, die eine korrekte Konfiguration, regelmäßige Überwachung und Kontrolle der IT-Systeme hat. Das Bußgeld fiel unter anderem wegen der Berücksichtigung der Covid-19-Belastungen geringer als ursprünglich angekündigt aus.
Für den Berater in Unternehmenstransaktionen bedeutet dies:
- Die Durchführung von Due-Diligence-Prozessen ohne Prüfung der zur Erfüllung der Vorgaben der DSGVO erforderlichen Maßnahmen durch die Zielgesellschaft ist extrem riskant:
DD-Teams sollten daher – wenn nicht ohnehin bereits geschehen – um Experten auf dem Gebiet des Datenschutzes ergänzt werden. Inhaltlich sollte sich die Prüfung künftig nicht nur auf die klassischen Bereiche des Vertragsrechts, Gesellschaftsrechts, Arbeitsrechts und Steuern (und ggfls. weitere) erstrecken, sie muss vielmehr auch das Vorhandensein und die Ausgestaltung des Datenschutzmanagement-Systems der Zielgesellschaft umfassen.
Andernfalls drohen den Beratern der Käuferseite erhebliche Haftungsrisiken. - Aus dem eben Gesagten folgt, dass der übliche Katalog von Garantien in Unternehmenskaufverträgen unbedingt um angemessene Regelungen hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben durch die Zielgesellschaft ergänzt werden sollte.
Nach unserer Erfahrung sind solche Klauseln (derzeit noch) nur äußerst schwer verhandelbar, weil die Verkäuferseite selbst kaum jemals davon überzeugt ist, in diesem Bereich gut aufgestellt zu sein. - Unter Berücksichtigung dessen kann es in geeigneten Fällen sinnvoll sein, im Rahmen der Vorbereitung eines Verkaufsprozesses eine so genannte Verkäufer-Due-Diligence durchzuführen – ggfls. beschränkt auf den Datenschutz. Häufig ist in der Vorbereitungsphase noch genug Zeit, um eine ggfls. fehlende Dokumentation zu erstellen, Datenbanken zu bereinigen und ein wenigstens rudimentäres Datenschutzmanagementsystem aufzubauen. Diese Maßnahmen tragen erheblich zur Verkaufsfähigkeit des Unternehmens bei.
Einzelheiten des Cyber-Angriffs und eine detaillierte Bewertung der Aufsichtsbehörde finden sich auf 88 Seiten in der Marriott International Inc monetary penalty notice (dort unter 3. und ab 6.12 – nur in Englisch) hier: https://ico.org.uk/action-weve-taken/enforcement/marriott-international-inc/