Die Datenschutzgrundverordnung sollte es für Bürger einfacher machen, die richtigen Ansprechpartner für Beschwerden und Fragen zu finden. Der Fall Marriott zeigt allerdings, dass das gar nicht so einfach ist. Wir haben für unsere Kunden nachgefragt.
In der vergangenen Woche ist bekannt geworden, dass bei der Marriott-Tochtergesellschaft Starwood rund 500 Millionen Nutzerdaten durch einen Angriff kompromittiert wurden. Nach Angaben der Hotelgesellschaft werden betroffene Nutzer derzeit Schubweise über den Vorfall informiert. Doch wer ist eigentlich nach den Regeln der EU-DSGVO zuständig, wenn es um die Datenschutzaufsicht geht? Das haben wir versucht herauszufinden – es ist gar nicht so einfach.
Denn Marriott ist ein globaler Hotelkonzern mit vielen Marken und Tochtergesellschaften. Einige der Firmennamen lauten Galaxy Hotel Systems LLC, Marriott International Administrative Services Inc, Marriott Worldwide Reservation Systems, LLC und natürlich die Starwood Reservations, LLC – wobei letztere für die aktuellen Vorgänge von besonderer Bedeutung ist. Marriott selbst hat zu dem Vorfall eine Informationsseite eingerichtet.
Der Bundesbeauftragte für den Datenschutz ist nicht zuständig
Erste Anlaufstelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Schon vor dem Anruf war klar, dass die Behörde nur für Bundesbehörden und für die Einhaltung des Telekommunikationsgesetzes zuständig ist. Aber bei so einem großen Vorfall könnte es ja sein, dass die Behörde Informationen hat oder uns auf den richtigen Ansprechpartner verweisen kann.
Der freundliche Pressesprecher leitete uns dann auch weiter – an den Europäischen Datenschutzausschuss. In der Nachfolgeorganisation der Artikel-29-Gruppe der Europäischen Datenschutzbehörden ist aber nach Auskunft einer Sprecherin noch keine Prüfanfrage zu dem Marriott-Vorfall eingetroffen. Also heißt es weitersuchen.
Welche Landesbehörde ist in Deutschland zuständig?
Um herauszufinden, welche Landesbehörde für den Datenschutz für Marriott zuständig ist, müssen zunächst Informationen über den Sitz des Unternehmens her. Denn zuständig ist immer das Bundesland mit dem Hauptsitz des Unternehmens – bei Google und Facebook ist das zum Beispiel Hamburg.
Auf der Webseite von Marriott ist im Impressum eine Adresse in der Stadt Bethesda im US-Bundesstaat Maryland angegeben– unweit von Washington DC. Auf einer Unterseite finden sich dann aber mehr Informationen. Für Deutschland ist die Marriott International, Inc zuständig , die auch für Österreich und die Schweiz verantwortlich ist. Die Webseite www.bundesanzeiger.de verrät außerdem, dass es in Eschborn bei Frankfurt die Marriott Hotel Holding GmbH gibt, die auch die betroffenen Hotelketten der Starwood-Kette vertritt.
Der nächste Anruf erfolgt also bei den Datenschützern in Hessen. Dort wird allerdings zurzeit noch geprüft, ob die Behörde zuständig ist. Klar ist das also derzeit noch nicht. Denn es könnte auch sein, dass Marriotts Europageschäft von einer anderen Firma vertreten wird und damit die Datenschützer eines anderen EU-Landes federführend sind.
Marriott bietet auf der eigenen Webseite eine eigene umfangreiche Datenschutzsektion an. Darin ist zu erfahren, dass das Unternehmen nach dem EU-US Privacy Shield zertifiziert ist. Das Privacy Shield dürfte allerdings für deutsche Nutzer nur zum Tragen kommen, wenn Buchungen direkt bei den US-Tochterfirmen erfolgen. Im Zweifel müssen aber auch diese Unternehmen die EU-Datenschutz-Grundverordnung einhalten, wenn sie erkennbar Daten europäischer Bürgerinnen und Bürger verarbeiten.
Trotz umfangreicher Recherche lässt sich also derzeit nicht herausfinden, wer für Marriott zuständig ist, und an wen sich Bürgerinnen und Bürger mit ihren Fragen wenden sollten.
Was können Kunden tun?
Kunden, die zwischen dem Zeitraum 2014 und September 2018 in einem Hotel der Starwood-Gruppe – zu denen unter anderem die Westin Hotels gehören – übernachtet haben, sollten zunächst ihre Kreditkarten-Konten auf verdächtige Zahlungen überprüfen. Darüber hinaus können Sie die Hotelgruppe direkt anfragen, ob Ihr Datensatz von dem Problem betroffen ist. Unklar ist derzeit, warum Marriott bestimmte Maßnahmen wie den WebWatcher-Service derzeit offiziell nur in den USA, Kanada und dem Vereinigten Königreich anbietet. Bislang ist auch nicht bekannt, wie viele Europäer von dem Datenleck betroffen sind. Wir haben eine entsprechende Anfrage an Marriott gerichtet.