Wird Hack von Radisson Hotel zum DSGVO-Präzendenzfall?

Bei der Radisson Hotel Group kam es zu einem erfolgreichen Hack des Treue- und Belohnungssystems des Unternehmens. Dies wäre nicht extrem aussergewöhnlich.
 
Abgesaugt wurden von "einer kleinen Anzahl Mitglieder" die Namen, physische Adressen, E-Mail-Adressen und einige Firmennamen, Telefonnummern, Vielfliegernummern und Mitgliedsnummern beim Treueprogramm. Die Hotelkette sagt, dass keine finanziellen Daten oder Passwörter involviert waren. Auch dies wäre nicht wirklich berichtenswert für unser Publikum.
 
Interessant hingegen ist der zeitliche Ablauf des Geschehens. Offenbar erfolgte der Hack am 11. September 2018. Am ersten Oktober dann bemerkten die Radisson-Verantwortlichen das Eindringen. Am 30. Und 31. Oktober informierten sie die Opfer per E-Mail. Also rund einen Monat später.
 
Das ist sehr spät. Noch interessanter ist, ob und wann die Radisson-Gruppe mit Hauptsitz in Brüssel die Behörden informierte. Denn unter den Opfern dürften EU-Bürger sein, womit die DSGVO zum Tragen kommt.
 
Und laut DSGVO müsste ein Datenleck innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Wer dies nicht schafft, muss eine Begründung dafür haben. Dies hat unter anderem 'The Register' bemerkt und den Radisson-Verantwortlichen die Frage gestellt. Die Antwort ist vielsagend nichtssagend: "Der Vorfall betraf weniger als zehn Prozent der Mitgliederkonten von Radisson Rewards", sagte ein Sprecher.
 
Bereits spekulieren Medien wie 'Computer Weekly', dass dies der Präzendenzfall sein könnte, wie strikt gegen DSGVO-Verletzungen vorgegangen wird. Je nachdem dürfte es für Radisson teuer oder sehr teuer werden.
 
Als möglicher Präzendenzfall wird auch der Hack bei British Airways gehandelt. Aus der Schweizer ICT-Branche hört man immer wieder, dass man sich bei der EU eher ein Schweizer Unternehmen vorknöpfen werde, gerade weil es keine Firma in einem EU-Land sei. Das zeigt die grosse Verunsicherung, die überall herrscht. (mag)