Zwischen 2014 und 2018 waren unbekannte Hacker in Systeme der Hotelkette Starwood eingedrungen und hatten persönliche Informationen von Gästen kopiert, darunter Pass- und Kreditkartennummern. Betroffen seien weltweit rund 339 Millionen Gäste gewesen. Starwood wurde 2016 von US-Konzern Marriott übernommen.

Der Angriff war im November 2018 bekannt geworden. Die britische Datenschutzbehörde ICO kündigte daraufhin an, Marriott auf der Basis der Datenschutzgrundverordnung der EU eine Busse von 99 Millionen Pfund aufzuerlegen.

In ihrem endgültigen Entscheid hat die ICO die Busse nun aber deutlich reduziert: Marriott wurde zu einer Geldstrafe von 18,4 Millionen Pfund (21,9 Millionen Franken) verurteilt. Die ICO führte die Untersuchung durch und verhängte die Sanktion im Namen der EU, da sich der europäische Hauptsitz von Marriott im Vereinigten Königreich befindet.

Die ICO stellte fest, dass Marriott seinen Pflichten nicht nachgekommen war, indem das Unternehmen nicht die erforderlichen Massnahmen zum Schutz der in seinen Computersystemen gespeicherten persönlichen Daten ergriffen hatte.

Trotz der Busse räumte die ICO ein, dass Marriott schnell gehandelt habe, sobald die Lücke entdeckt worden war. Ausserdem seien die Systeme seitdem verbessert worden.

In einer Mitteilung gab Marriott bekannt, man werde den Entscheid der ICO nicht anfechten. "Marriott bleibt dem Schutz der Privatsphäre und der Sicherheit der Informationen seiner Gäste verpflichtet und tätigt weiterhin erhebliche Investitionen in Sicherheitsmassnahmen für seine Systeme", schliesst das Unternehmen. Im April 2020 war jedoch ein erneutes Datenleck bei Marriott publik geworden.