Die Hotelbranche gerät mehr und mehr ins Visier von – meist professionellen – Hackern. Die Hotelkette Hyatt wurde kürzlich bereits zum zweiten Mal Opfer eines Cyberangriffs, durch den sich Hacker Zugriff auf Kreditkartendaten von Kunden von 41 Hotels verschafften. Ein weiterer Angriff größeren Ausmaßes richtete sich gegen die Systeme des US-Unternehmens Sabre, dem Anbieter eines der meist genutzten elektronischen Buchungssysteme in der Hotelwirtschaft. Doch nicht nur die großen Player, sondern auch Einzelhotels sind gefährdet: Bei Angriffen auf ein bekanntes österreichisches Luxus-Hotel gelang es Hackern Anfang des Jahres das Schlüsselkartensystem des Hotels unter Kontrolle zu bringen – erst nach Zahlung eines Lösegeldes gaben die Hacker die Daten wieder frei. Diese Beispiele zeigen, dass alle am Betrieb eines Hotels Beteiligten (Eigentümer, Betreiber, Manager, Franchisegeber und deren Dienstleister) betroffen sein können.

Wie reagiert man nun, wenn der eigene Hotelbetrieb angegriffen wurde? Dieser Beitrag soll Ihnen einen Leitfaden geben, was aus rechtlicher Sicht beachtet werden sollte – insbesondere auch um weitere Schäden zu vermeiden.

Mögliche Schäden

Will man Schäden vermeiden gilt es zunächst, die Schadensquellen zu identifizieren. Bei einem Hackerangriff auf die Infrastruktur eines Hotelbetriebes sind diese Schadensquellen mannigfaltig:

  • Kunden können Rechnungen mindern oder ganz ausbleiben (z.B., wenn sie keinen Zugang zum Hotelzimmer bekommen). Sie können aber auch Schadensersatzansprüche geltend machen, wenn sie z.B. eine neue Kreditkarte beantragen oder bei Verlust ihrer Kontodaten das Konto von einem Finanzdienstleister auf auffällige Kontenbewegungen überwachen lassen müssen. Auch wenn diese Ansprüche jeweils für sich genommen klein erscheinen mögen, führt die ggf. große Anzahl dazu, dass erhebliche Schäden entstehen können.
  • Veranstalter von beeinträchtigten Konferenzen und sonstigen Veranstaltungen können Ausfallentschädigungen geltend machen. Diese können schnell ein großes Ausmaß annehmen, da dem Veranstalter sowohl Eintrittsgelder als auch Werbeeinnahmen entgehen und die Kosten meist kurzfristig nicht mehr eingedämmt werden können.
  • Besonders schwer wiegen aber auch (schwer bezifferbare) Reputationsschäden. Wenn z.B. in Pressemeldungen mangelnde Datensicherheit eines Unternehmens angeprangert wird, ist der damit einhergehende Vertrauensverlust nicht zu unterschätzen, umso mehr, wenn Stammkunden wichtig sind. Auch Schäden an der Hotelimmobilie und der Einrichtung können entstehen, wenn z.B. die vernetzte Sprinkleranlage oder das elektrische Netz Ziel eines Hackerangriffs werden.
  • Die Datenschutzbehörden und andere Behörden können mit Auflagen und (zukünftig) empfindlichen Bußgeldern auf die verantwortlichen Unternehmen und Personen zukommen. Dies kommt insbesondere bei Verstößen gegen die unten diskutierten Benachrichtigungspflichten im Falle eines Cyberangriffs in Betracht.

Datenschutzrecht im Fokus

Im Fokus stehen dabei das Datenschutzrecht sowie die daran anknüpfenden zivilrechtlichen Haftungsfragen. Die von Cyberangriffen betroffenen Daten sind in den allermeisten Fällen personenbezogene Daten, für die bei Nutzung im Zusammenhang mit dem Betrieb eines Hotels grundsätzlich der Betreiber des Hotels verantwortlich ist. Insbesondere sieht das Datenschutzrecht Benachrichtigungspflichten gegenüber der zuständigen Datenschutzbehörde und betroffenen Individuen vor, die greifen können, wenn der Schutz personenbezogener Daten verletzt wird – bei Cyberangriffen auf Hotels ein nicht seltener Fall.

Bei Nicht-Beachtung dieser Pflichten drohen Bußgelder, die ab Mai 2018 unter Geltung der kommenden Datenschutz-Grundverordnung (DSGVO) 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes erreichen können (je nachdem, welcher Betrag höher ist).

Benachrichtigungspflicht beim Data Breach

Im Wesentlichen sind es zwei Voraussetzungen, die darüber entscheiden, ob im Falle eines Cyberangriffs der Betreiber des Hotels die Datenschutzbehörde und ggf. auch die betroffenen Individuen über den Angriff benachrichtigen muss: Erste Voraussetzung ist die Verletzung des Schutzes personenbezogener Daten (Data Breach). Darunter versteht man die Verletzung der

  • Vertraulichkeit (z.B. Hacker ziehen Kundenkreditkarteninformationen aus einer Hoteldatenbank ab),
  • Verfügbarkeit (z.B. Hacker verschlüsseln in einer Hoteldatenbank gespeicherte Datensätze und das Hotel verfügt über kein Back-up der betroffenen Daten), oder
  • Integrität (z.B. Hacker verändern Überweisungsbeträge im Rahmen von Online-Bankgeschäften).

Zweite Voraussetzung für die Benachrichtigungspflicht ist, dass der Data Breach zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Dann muss der Hotelbetreiber die zuständige Datenschutzbehörde beachrichtigen. Hat die Verletzung darüber hinaus ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss grundsätzlich sogar jede betroffene Person von der Verletzung informiert werden.

Die Einschätzung des Risikos hängt dabei von einer Vielzahl von Faktoren ab, wie z.B. die Sensitivität der Daten, Geeignetheit zum Identitätsmissbrauch, Dauer der fehlenden Verfügbarkeit und Umfang der unbefugten Offenlegung. Hotelbetreiber sollten sich daher im Vorfeld einen Überblick über die wesentlichen Faktoren verschaffen, um für den Fall der Fälle einschätzen zu können, ob bei einem Data Breach ein datenschutzrechtlich relevantes Risiko eingetreten ist.

Inhalt und Zeitpunkt der Benachrichtigung

Kommt es zu einem meldepflichtigen Data Breach, ist darauf zu achten, dass der zuständigen Datenschutzbehörde und ggf. den betroffenen Personen alle vorgeschriebenen Informationen über den Data Breach zur Verfügung gestellt werden. Diese gehen weit über die bloße Meldung hinaus, dass ein Data Breach eingetreten ist. Vielmehr muss in der Meldung insbesondere bereites die Art des Breaches genannt werden, soweit möglich unter Angabe der Kategorien der betroffenen Personen (z.B. Kunden, Angestellte oder Werbeempfänger) und Datensätze (z.B. Account-Passwörter, Kreditkarteninformationen, Log-Dateien). Zudem müssen die wahrscheinlichen Folgen, die gewählten Maßnahmen zur Behebung und ggf. Abmilderungen der Folgen des Data Breaches beschrieben werden. Auch hier zeigt sich: Der Hotelbetreiber sollte vorbereitet sein, damit ein schnelles Zusammentragen der erforderlichen Informationen gelingt, denn: Für die Meldung gegenüber der Datenschutzbehörde gilt grundsätzlich eine Frist von 72 Stunden ab Bekanntwerden des Data Breach. Müssen darüber hinaus auch die betroffenen Personen informiert werden, weil der Data Breach ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründet, muss die Benachrichtigung unverzüglich, d.h. ohne schuldhaftes Zögern, erfolgen.

Steigendes Risiko durch Ansprüche Dritter

Mit dem Voranschreiten der Digitalisierung steigt das Datenvolumen und damit die Angriffsfläche für Cyberattacken. Durch einen Data Breach geschädigte Kunden und Vertragspartner werden versuchen, ihre Schäden bei dem verantwortlichen Hotelbetreiber geltend zu machen. Dabei hilft ihnen die ab Mai 2018 geltende DSGVO, denn die Anforderungen an den Nachweis einer Verletzung von Datenschutzrecht werden damit sehr niedrig. Zudem sehen sowohl die DSGVO als auch der Entwurf eines Gesetztes zu einer so genannten „Musterfeststellungsklage“ Verfahrensarten vor, in welchen viele kleine Ansprüche einzelner Anspruchsteller zu einem großen Anspruch gebündelt werden können. So werden aus vielen kleinen Ansprüchen, deren Verfolgung sich wirtschaftlich meist nicht lohnt, wenige sehr große und ggf. medienwirksame Ansprüche – insbesondere wenn diese Ansprüche über Internetplattformen in Kürze eingesammelt werden können und über soziale Medien schnell viele Betroffene erreicht werden können.

Um solche Ansprüche im Ernstfall abzuwehren, ist eine vollständige Dokumentation der Datenschutz-Compliance ein wichtiger Bestandteil einer jeden Verteidigungsstrategie.

Regressmöglichkeiten und Versicherungsschutz oft noch ungenutzt

Von Data Breaches betroffene Unternehmen vermeiden es bisher noch häufig, die Verantwortlichen des Breaches in Anspruch zu nehmen. Hier kommen nicht nur der – häufig kaum aufzufindende – Hacker, sondern auch IT-Service Provider, Lieferanten von Soft- und Hardware, Verantwortliche im Unternehmen sowie mögliche Versicherer in Betracht.

Dabei sind zum einen die Verantwortlichen (insbesondere z.B. IT-Dienstleister, die keine ausreichenden Sicherheitsstandards gewährleistet haben) häufig selbst versichert. Daneben existieren zwischenzeitlich mannigfaltige Versicherungspolicen, die gerade die Risiken eines Data Breaches infolge eines Cyberangriffs abdecken sollen.

Data Breach Response Plan – Die Vorbereitung auf den Ernstfall

Kommt es zu einem Cyberangriff, müssen Hotelbetreiber in der Lage sein, schnell die richtigen Entscheidungen zu treffen, um die Einhaltung datenschutzrechtlicher Benachrichtigungspflichten zu gewährleisten, bereits entstandene Schäden einzudämmen, zusätzliche Schäden zu verhindern, Ansprüche Dritter abzuwehren sowie eigene Regressansprüche nicht zu vereiteln.

Best Practice hierfür ist der „Data Breach Response Plan” – auch “Incident Response Plan” oder “Business Continuity Plan” genannt. Dieser legt im Vorfeld sowohl aus technischer als auch aus rechtlicher Sicht die wesentlichen Prozesse für den Umgang mit dem Ernstfall fest, insbesondere:

  • Verantwortliche Personen (und Stellvertreter) im Falle eines Data Breaches
  • Relevante Kontaktpersonen bei Partnerunternehmen (Franchisegeber, IT-Service-Provider etc.)
  • Prüfung des Vorliegens eines datenschutzrechtlich relevanten Data Breaches
  • Ermittlung und Dokumentation der Art und des Umfangs des Datenlecks
  • Einleitung computerforensischer Analysen
  • Einschätzung der Risiken für Rechte und Freiheiten betroffener Personen
  • Kommunikationswege und Verantwortlichkeiten im Unternehmen
  • Bestimmung und Kontakt mit der zuständigen Datenschutz-und Strafverfolgungsbehörde
  • Bestimmung und Kontakt mit (börsenrechtlichen oder fachlichen) Aufsichtsorganen
  • Wahl geeigneter Mittel für Benachrichtigung von betroffenen Personen
  • Sachverhaltssicherung (ohne Kompromittierung z.B. durch die Verletzung von Beteiligtenrechten) als Grundlage für Regressansprüche

Ein solche Response Plan sollte regelmäßig eingeübt und aktualisiert werden, denn die Erfahrung und die Auswertung von betroffenen Unternehmen zeigen, dass den Beteiligten erst beim praktischen „Durchspielen“ der Abläufe klar wird, wo es im Ernstfall „hakt“. So verhindert man, dass in der ohnehin knappen Zeit nach einem Zwischenfall wertvolle Minuten (oder gar Stunden) verloren gehen.