Die FTC und 49 Staaten führten parallele Untersuchungen zu drei Datenschutzverstößen durch, die zwischen 2014 und 2020 stattfanden.
Marriott International hat sich bereit erklärt, 52 Millionen US-Dollar zu zahlen und Änderungen vorzunehmen, um seine Datensicherheit zu verbessern und staatliche und bundesstaatliche Ansprüche im Zusammenhang mit schwerwiegenden Datenschutzverletzungen zu lösen, von denen mehr als 300 Millionen seiner Kunden weltweit betroffen waren.
Die Federal Trade Commission und eine Gruppe von Generalstaatsanwälten aus 49 Bundesstaaten und dem District of Columbia gaben am Mittwoch die Bedingungen separater Vergleiche mit Marriott bekannt. Die FTC und die Bundesstaaten führten parallele Untersuchungen zu drei Datenschutzverstößen durch, die zwischen 2014 und 2020 stattfanden.
Als Folge der Datenschutzverletzungen erlangten „böswillige Akteure“ Passinformationen, Zahlungskartennummern, Treuenummern, Geburtsdaten, E-Mail-Adressen und/oder persönliche Informationen von Hunderten Millionen Verbrauchern, heißt es in der von der FTC vorgeschlagenen Beschwerde.
Die FTC behauptete, dass schlechte Datensicherheitspraktiken von Marriott und der Tochtergesellschaft Starwood Hotels & Resorts Worldwide zu den Verstößen geführt hätten.
Insbesondere behauptete die Agentur, dass der Hotelbetreiber es versäumt habe, sein Computersystem durch geeignete Passwortkontrollen, Netzwerküberwachung oder andere Praktiken zum Schutz der Daten zu sichern.
Im Rahmen der vorgeschlagenen Einigung mit der FTC stimmte Marriott zu, „ein robustes Informationssicherheitsprogramm zu implementieren“ und allen US-Kunden die Möglichkeit zu geben, die Löschung aller persönlichen Daten im Zusammenhang mit ihrer E-Mail-Adresse oder Treueprämienkontonummer zu beantragen.
Marriott hat auch ähnliche Ansprüche der Gruppe der Generalstaatsanwälte beigelegt. Der Hotelbetreiber erklärt sich nicht nur damit einverstanden, seine Datensicherheitspraktiken zu stärken, sondern zahlt auch eine Strafe in Höhe von 52 Millionen US-Dollar, die von den Bundesstaaten aufgeteilt wird.
In einer Erklärung auf seiner Website am Mittwoch stellte das in Bethesda, Maryland, ansässige Unternehmen Marriott fest, dass es im Rahmen seiner Vereinbarungen mit der FTC und den Bundesstaaten kein Haftungseingeständnis abgegeben habe. Außerdem hieß es, man habe bereits Verbesserungen beim Datenschutz und der Informationssicherheit vorgenommen.
Anfang 2020 stellte Marriott fest, dass mit den Anmeldedaten zweier Mitarbeiter eines Franchise-Hotels auf eine unerwartete Menge an Gästeinformationen zugegriffen wurde. Damals schätzte das Unternehmen, dass die personenbezogenen Daten etwa 5,2 % betragen. Millionen Gäste weltweit könnten davon betroffen sein.
Im November 2018 kündigte Marriott einen massiven Datenverstoß an, bei dem Hacker auf Informationen von bis zu 383 Millionen Gästen zugegriffen hatten. In diesem Fall wurde laut Marriott auf unverschlüsselte Passnummern von mindestens 5,25 Millionen Gästen sowie auf Kreditkarteninformationen von 8,6 Millionen Gästen zugegriffen. Die betroffenen Hotelmarken wurden von Starwood betrieben, bevor das Unternehmen 2016 von Marriott übernommen wurde.
Das FBI leitete die Untersuchung dieses Datendiebstahls und die Ermittler vermuteten, dass die Hacker im Auftrag des chinesischen Ministeriums für Staatssicherheit arbeiteten, das in etwa der CIA entspricht.
