Jedes Unternehmen ist verpflichtet, die persönlichen Daten ausreichend zu schützen

Hotelkette Marriott: Bußgeld über 200 Millionen Euro

Jüngst wurde bekannt, dass die Datenschutzbehörde des Vereinigten Königreiches gegen die Hotelkette Marriott ein Bußgeld in Höhe von etwas über 200 Millionen Euro verhängt hat.

Das Unternehmen hatte nicht etwa Daten an Dritte verkauft oder persönliche Informationen seiner Kunden heimlich ausgewertet oder weitergegeben. Vielmehr ging es darum, dass die Daten der Kunden nicht ausreichend geschützt waren und so in die Hände von Hackern gelangen konnten.

Es geht in diesem Fall nicht um ein paar hundert oder tausend Betroffene sondern um 383 Millionen Gäste, wovon allein rund sieben Millionen Briten. Es wird geschätzt, dass insgesamt rund 30 Millionen EU-Bürger betroffen sind, so dass die britische Datenschutzbehörde federführend gegen das in den USA ansässige Unternehmen agieren kann.

Dieser Fall scheint sehr umfangreich und weit von der Realität unserer kleinen mittelständischen Unternehmen entfernt zu sein. Dennoch sollten die Verpflichtungen aus der Datenschutzgrundverordnung (DSGVO) nicht einfach übergangen werden.

Jedes Unternehmen, das personenbezogenen Daten verarbeitet, ist dazu verpflichtet, die Sicherheit dieser Daten zu garantieren. Ansonsten drohen Bußgelder!

Unter „personenbezogene Daten“ versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, auch „betroffene Person“ genannt, beziehen. Darunter fallen z.B. der Name, die Adresse, Telefonnummer und E-Mail. Aber auch die Kontonummer, Ausweisnummer, die IP-Adresse, Zeugnisse etc. gehören zu den personenbezogenen Informationen.

Im Falle der Hotelkette fielen Millionen von Ausweisdaten und Bankverbindungen den Cyberkriminellen in die Hände. Mit diesen Daten hätten weitere Straftaten begangen werden können. Den Betroffenen ist oder hätte erheblicher Schaden entstehen können.

Es ist aber unerheblich, ob tatsächlich Schaden entstanden ist. Die alleinige Tatsache, dass mit den Daten fahrlässig umgegangen wurde, kann ein Bußgeld in empfindlicher Höhe verursachen. Die Strafen sind betraglich begrenzt. Diese Begrenzung ist aber eher theoretisch, da sie bei 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes liegt.

Abgesehen vom Bußgeld in Sachen Datenschutz kann auf das betroffene Unternehmen auch noch die Schadensersatzforderung von jedem einzelnen geschädigten Kunden hinzukommen.

Falls selbst ein kleines Unternehmen seine Daten nicht nach den aktuellen Standards gesichert hat, kann es einer Untersuchung durch die Aufsichtsbehörde unterzogen werden und es können Bußgelder erhoben werden.

Bei einer solchen Analyse wird das Unternehmen als erstes gefragt, das Verzeichnis der Verarbeitungstätigkeiten, die Auflistung der technischen und organisatorischen Maßnahmen sowie die Verträge mit Auftragsverarbeitern oder die Datenschutzerklärung vorzulegen. Wer diese Informationen nicht hat, setzt sich bereits einem erheblichen Bußgeld aus.

Es ist nicht bekannt, wie die Hacker in das Computersystem eingedrungen sind. Es ist auch nicht sicher, ob es das IT-System der Hotelkette selbst oder eines Auftragsverarbeiters war. Es scheint aber sicher zu sein, dass keine Verträge im Sinne der DSGVO mit diesem Dienstleister abgeschlossen wurden, oder dass die eigene IT-Sicherheit nicht den Gegebenheiten angepasst war.

Wer hat sich schon intensiv mit diesem Thema beschäftigt?

Es ist Zeit über den Datenschutz nachzudenken. Nicht im nur Interesse der betroffenen Personen, sondern vor allen Dingen im Sinne des Schutzes der Daten des Unternehmens.

Autor: Rainer PALM, Rechtsanwalt, rainer.palm@zians-haas.be