Diese Arbeit beschäftigt sich mit der Compliance im Zeitalter der Digitalisierung anhand verschiedenster Unternehmen.
Die Hotelkonzern Starwood, die eine Tochter der US-Hotelkette Marriott ist, wurde über mehrere Jahre von Hackern ausgespäht. Nach Angaben des Handelsblattes weisen Spuren des Angriffs nach China. Die FAZ erklärt, dass bei dem Angriff im Jahr 2018 Daten aus bis zu 383 Millionen Gasteinträgen erbeutet wurden, wobei darunter auch mehr als fünf Millionen unverschlüsselte Passnummern waren.
Nach Angaben der ZEIT erlangten die Angreifer bereits 2014 das erste Mal Zugang zur Starwood-Datenbank. Somit habe Marriott die Sicherheitslücke bei der Übernahme der Starwood-Häuser gleich mitgekauft. Marriott selbst bestätigt in einem online erschienen Artikel 2018, dass das Datenleck bereits seit 2014 existiert und auf die Starwood-Datenbank zur Gästereservierung zurückgeht.
Nach eigenen Angaben sind etwa 500 Millionen Gäste betroffen. Von etwa 327 Millionen dieser Gäste wurden Daten wie Name, Mail-Adresse, Telefonnummer, Pass-Nummer und weiteres abgegriffen. Marriott eröffnet in ihrem Bericht die Möglichkeit, dass alle (betroffenen) Gäste über eine spezielle Website und ein Call-Center Antworten zu Fragen bezüglich betroffener Daten erhalten können.
Mit Erstellung dieser Hausarbeit war die eingerichtete Seite nicht mehr erreichbar. Es erfolgte lediglich eine Weiterleitung auf die Marriott- Startseite. Im Bericht erklärt Marriott, dass sie ihren Gästen für ein Jahr kostenlos das Programm „WebWatcher“ anbietet, welches eine verbesserte (verschlüsselte) Übermittlung von (Online-)Daten ermöglicht.
Der hier zitierte Eintrag ist die einzige offizielle Information, die im Web und auch im Marriott News Center zum Vorfall gefunden werden kann. Eine wirkliche Unterstützung der betroffenen Gäste scheint vordergründig kommuniziert worden zu sein; ob die Vorgehensweise ausreichend war, lässt sich kaum beurteilten. Das Unternehmen selbst nimmt keine Schadensbemessung vor. Laut Pentest7 verurteilte die britische Datenschutzbehörde die Marriott-Gruppe zu einer Geldstrafe von 18,4 Millionen Pfund.
Inhaltsverzeichnis
1 HOTELKONZERN STARWOOD WIRD OPFER EINES DATENDIEBSTAHLS
2 DATENSCHUTZ-GRUNDVERORDNUNG FÜR EUROPA?
2.1 EINWÄNDE GEGEN DIE DATENSCHUTZGRUNDVERORDNUNG
2.2 EINSATZ EINES DATENSCHUTZBEAUFTRAGTEN
2.3 VORTEILE UND BESSERUNGEN FÜR BETROFFENE PERSONEN
2.4 ZUSTÄNDIGE AUFSICHTSBEHÖRDE
3 STELLENAUSSCHREIBUNG CCO
Zielsetzung & Themen
Diese Arbeit setzt sich kritisch mit den Herausforderungen und regulatorischen Rahmenbedingungen des Datenschutzes auseinander, wobei der Fall des Starwood-Datendiebstahls als Grundlage dient, um die Notwendigkeit und Problematik der Datenschutz-Grundverordnung sowie die Aufgaben eines Chief Compliance Officers zu beleuchten.
- Analyse des Starwood-Datendiebstahls und seiner Folgen
- Kritische Betrachtung der Datenschutz-Grundverordnung (DS-GVO)
- Rolle und Aufgaben des Datenschutzbeauftragten
- Stärkung der Rechte für betroffene Personen
- Anforderungsprofil für einen Chief Compliance Officer (CCO)
Auszug aus dem Buch
2.2 Einsatz eines Datenschutzbeauftragten
In den bisherigen Datenschutzrichtlinien (DSRL) war die Einführung eines Datenschutzbeauftragten fakultativ, also dem Ermessen der Organisationen überlassen und somit freiwillig. Die DS-GVO-E führt den Datenschutzbeauftragten nun verpflichtend ein, jedoch nur bei Verarbeitung einer öffentlichen Stelle und bei Unternehmen deren Mitarbeiterzahl 250 erreicht (diese Größe entspricht der EU-Definition von kleinen und mittleren Unternehmen - KMUs) oder deren Kerntätigkeit im Bereich des „Verarbeitungsgeschäfts“ liegt.
Die Grenze von 250 Mitarbeitern scheint an dieser Stelle jedoch willkürlich gewählt und es stellt sich die Frage, ob durch die Definition der Kerntätigkeit auf das „Verarbeitungsgeschäft“ hin, alle „Datenkraken“ erfasst, kontrolliert und bei Missachtung strafrechtlich effizient und für das Unternehmen geschäftlich relevant verfolgt werden kann (Bußgelder möglich oder nicht).
Eine Gruppe von Unternehmen hat dabei die Möglichkeit einen gemeinsamen Datenschutzbeauftragten zu benennen, wobei dieser beim Unternehmen selbst beschäftigt oder extern beauftragt sein kann.
Zusammenfassung der Kapitel
1 HOTELKONZERN STARWOOD WIRD OPFER EINES DATENDIEBSTAHLS: Dieses Kapitel analysiert den massiven Datenabfluss bei der Hotelkette Marriott/Starwood und beleuchtet die Defizite in der Krisenkommunikation und Schadensprävention.
2 DATENSCHUTZ-GRUNDVERORDNUNG FÜR EUROPA?: Hier werden die kontroversen Aspekte und regulatorischen Herausforderungen der neuen Datenschutz-Grundverordnung diskutiert.
2.1 EINWÄNDE GEGEN DIE DATENSCHUTZGRUNDVERORDNUNG: Dieser Abschnitt thematisiert kritische Einwände von Wirtschaftsakteuren sowie verfassungsrechtliche Bedenken bezüglich der Reichweite und neuer Kontrollmechanismen.
2.2 EINSATZ EINES DATENSCHUTZBEAUFTRAGTEN: Untersucht wird die verpflichtende Einführung von Datenschutzbeauftragten und die Problematik bei der Definition von Unternehmensgrößen und Kerntätigkeiten.
2.3 VORTEILE UND BESSERUNGEN FÜR BETROFFENE PERSONEN: Es wird dargelegt, wie die DS-GVO die Auskunfts-, Lösch- und Informationsrechte von Bürgern stärkt und technische Grundsätze wie den Datenschutz durch Technik etabliert.
2.4 ZUSTÄNDIGE AUFSICHTSBEHÖRDE: Dieser Teil erörtert die Widersprüche im Gesetzesentwurf hinsichtlich der Zuständigkeiten von nationalen und europäischen Aufsichtsbehörden.
3 STELLENAUSSCHREIBUNG CCO: Ein praxisnaher Entwurf für ein Stellenprofil, der die Anforderungen an einen Chief Compliance Officer in einem expandierenden Unternehmen definiert.
Schlüsselwörter
Compliance, Datenschutz, DS-GVO, Starwood, Datendiebstahl, Datenschutzbeauftragter, Chief Compliance Officer, CCO, Informationsrechte, Datenschutz durch Technik, Aufsichtsbehörde, Internes Kontrollsystem, Datenverarbeitung, Persönlichkeitsrechte, Unternehmensgovernance
Häufig gestellte Fragen
Worum geht es in dieser Hausarbeit grundsätzlich?
Die Arbeit befasst sich mit dem Themenkomplex Compliance und Governance mit Fokus auf den europäischen Datenschutz sowie der praktischen Umsetzung im Unternehmensumfeld.
Was sind die zentralen Themenfelder der Publikation?
Zentrale Themen sind der Umgang mit massiven Datenpannen in Großkonzernen, die regulatorische Ausgestaltung der DS-GVO und die Rolle der Compliance-Funktion.
Welches primäre Ziel verfolgt die Arbeit?
Das Ziel ist es, die theoretischen Anforderungen der Datenschutz-Grundverordnung einer praxisnahen Anwendung gegenüberzustellen und aufzuzeigen, welche Pflichten Unternehmen in puncto Governance haben.
Welche methodische Vorgehensweise wurde gewählt?
Die Arbeit nutzt einen analytischen Ansatz, der aktuelle Fallbeispiele (Starwood) mit rechtstheoretischen Betrachtungen (DS-GVO) verknüpft.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden rechtliche Einwände gegen die DS-GVO, die Rolle des Datenschutzbeauftragten, die Rechte Betroffener und die Zuständigkeiten der Aufsicht analysiert.
Welche Schlüsselwörter charakterisieren die Ausarbeitung?
Die Arbeit wird maßgeblich durch Begriffe wie Datenschutz, DS-GVO, Compliance-Governance und Datensicherheit definiert.
Welche Kritik äußert der Autor bezüglich des Datenschutzes bei 250 Mitarbeitern?
Der Autor bemängelt, dass die Grenze von 250 Mitarbeitern für die Pflichtbestellung eines Datenschutzbeauftragten willkürlich erscheint und große Datenverarbeiter gegebenenfalls unter dem Radar agieren könnten.
Wie bewertet der Text die Krisenbewältigung des Hotelkonzerns Starwood?
Der Text kritisiert, dass das Unternehmen nur unzureichend zur Unterstützung der betroffenen Gäste kommunizierte und eine offizielle Aufarbeitung des Vorfalls vermissen ließ.
- Citation du texte
- Josef Tischmacher (Auteur), 2022, Compliance in Zeiten der Digitalisierung, Munich, GRIN Verlag, https://www.grin.com/document/1266312
