Mangelnde Sorgfalt bei Due Diligence

110 Mio. € Bußgeldandrohung gegen Marriott International

Nach einer umfassenden Untersuchung hat die britische Aufsichtsbehörde ICO (Information Commissioner´s Office) am 9. Juli 2019 mitgeteilt, dass sie beabsichtigt, Marriott International wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) mit einer Geldbuße von 99.200.396 £ zu belegen.

Die vorgeschlagene Geldbuße bezieht sich auf einen Vorfall, der der ICO von Marriott im November 2018 gemeldet wurde. Eine Vielzahl von personenbezogenen Daten, die in rund 339 Millionen Gästeaufzeichnungen weltweit enthalten sind, wurden durch eine Datenleck preisgegeben, davon rund 30 Millionen mit Wohnsitz in 31 Ländern des Europäischen Wirtschaftsraums.

Es wird angenommen, dass das maßgebliche Datenleck seinen Ursprung bereits 2014 in der Kompromittierung der Systeme der Starwood-Hotelgruppe fand. Marriott erwarb Starwood im Jahr 2016, aber die Offenlegung von Kundeninformationen wurde erst 2018 entdeckt. Die Untersuchung der ICO ergab, dass Marriott beim Kauf von Starwood seine Sorgfaltspflichten nicht ausreichend beachtet hat und auch mehr hätte tun sollen, um seine Systeme zu sichern.

Nach Aussage der ICO macht die DSGVO deutlich, dass Unternehmen für die von ihnen gespeicherten personenbezogenen Daten verantwortlich sind. Dies kann die Durchführung einer ordnungsgemäßen Due Diligence bei einem Unternehmenskauf und die Einführung geeigneter Rechenschaftsmaßnahmen umfassen, um nicht nur zu beurteilen, welche personenbezogenen Daten verarbeitet werden, sondern auch, wie und ob sie den gesetzlichen Anforderungen der DSGVO entsprechend ausreichend geschützt sind.

Nach Ansicht der ICO hat Marriott bei dem Erwerb der Starwood-Kette keine ausreichende Sorgfalt bei der Due Diligence an den Tag gelegt, wodurch die Datenpanne überhaupt erst ermöglicht wurde. Demnach hätten die bereits beim Erwerb des Unternehmens bestehenden Sicherheitslücken bemerkt und in der Folge beseitigt werden müssen, um ein angemessenes Sicherheitsniveau garantieren zu können. Erwerbende Unternehmen müssen somit bereits im Vorfeld eines Unternehmenskaufs eine tiefgehende Prüfung der technischen Systeme im Hinblick auf die Verarbeitungssicherheit durchführen, um etwaige Schwachstellen präventiv erkennen zu können.

Marriott hat an der ICO-Untersuchung mitgewirkt und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert. Das Unternehmen wird nun Gelegenheit haben, gegenüber der ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen.

Die ICO hat diesen Fall als federführende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedstaaten untersucht. Sie hat auch mit anderen Regulierungsbehörden zusammengearbeitet.

Das angedrohte Bußgeld zeigt, dass der Datenschutz ein essenzieller Teil der Unternehmens-Compliance geworden ist, dessen nachlässige Handhabung sich in immensen wirtschaftlichen Sanktionen niederschlagen kann. Beachtlich an der Argumentation der ICO ist auch, dass diese Sichtweise augenscheinlich rückwirkend vertreten wird, da der hier beanstandete Unternehmenserwerb bereits im Jahr 2016, also zwei Jahre vor der Anwendbarkeit der DSGVO, vollzogen wurde.

[August 2019]