Datenleck bei Hotelsoftware: 500.000 Gäste betroffen

In den letzten Tagen hat sich die Sache rund um die Hotelsoftware Like Magic weiterentwickelt: nachdem Sicherheitsforscher der Gruppe Zerforschung die Lücke entdeckten und der Chaos Computer Club Alarm schlug, hat der Anbieter reagiert und die Schwachstelle geschlossen. Trotzdem sind noch viele Fragen offen — ein Großteil der betroffenen Hotelketten ist zwar informiert worden, doch nicht alle Gäste erhielten bislang eine direkte Nachricht. Klar ist nur, dass es um etwa eine halbe Million Datensätze aus mehr als fünfzig Hotels in Deutschland, Österreich und der Schweiz geht; hochauflösende Scan-Kopien von Ausweisen und weitere Check-in-Informationen lagen zeitweise frei im Netz. Mir bleibt dabei ein ungutes Gefühl: ein schnelles Patchen ist das eine, die lückenlose Aufklärung und transparente Kommunikation das andere.

Was jetzt juristisch und behördlich passiert, ist ziemlich spannend und wichtig. Die Berliner Datenschutzbehörde wurde vom CCC eingeschaltet, Ermittlungen laufen und die DSGVO-Sicht ist glasklar: unangemessene technische und organisatorische Maßnahmen können teuer werden. Erste Forderungen nach forensischen Untersuchungen, externen Sicherheits-Audits und längeren Prüfungen der gesamten Infrastruktur der Hotels tauchen auf. Manche Experten sprechen bereits von möglichen Bußgeldern und Schadenersatzforderungen — Anwälte werben verstärkt mit kostenlosen Erstgesprächen für Betroffene, und interne Revisionsteams in Hotelgruppen haben offenbar Überstunden. Für Hotels heißt das handfeste Arbeit: nachvollziehbare Protokolle, Beweise, die zeigen, wer wann Zugriff hatte, und eine klare Melde- und Informationsstrategie gegenüber Gästen und Behörden.

Du fragst dich sicher: Was kannst du als Gast jetzt konkret tun? Zuerst einmal: Ruhe bewahren, aber handeln. Fordere von dem Hotel oder dem Buchungsportal Auskunft nach Art. 15 DSGVO — also welche Daten sie von dir gespeichert haben und wer Zugriff hatte. Prüfe Kontoauszüge und Kreditkartenabrechnungen auf unbekannte Buchungen, aktiviere Betrugswarnungen bei deiner Bank und erwäge das Einfrieren von Konten, wenn du Anzeichen von Missbrauch siehst. Sollte ein Ausweis-Scan betroffen sein, melde den Vorfall bei der Polizei und überlege, deinen Pass oder Personalausweis neu ausstellen zu lassen, falls Unregelmäßigkeiten auftauchen. Wer mag, richtet noch eine Benachrichtigung bei Verbraucherschützern oder der zuständigen Datenschutzbehörde ein — die DPA nimmt Beschwerden entgegen und kann bei der Durchsetzung helfen.

Langfristig sollte die Branche aus diesem Vorfall lernen: Nicht jede Lösung ist fit fürs Gäste-Handling, und viele Hotels müssen ihre digitale Hausaufgaben nachholen. Für dich als Reisender heißt das künftig: vor der Buchung einen kurzen Blick auf die Datenschutzinfo werfen, bei Unsicherheiten nachfragen und sensiblen Dokumenten nur das Nötigste senden. Ich werde das Ganze weiter verfolgen und dir Updates schicken, sobald neue Untersuchungsergebnisse, Bußgeldentscheidungen oder Musterbriefe für Betroffene auftauchen — weil so ein Fall zeigt, wie schnell aus einer Buchung ein richtiger Albtraum werden kann, wenn Technik und Sorgfalt nicht zusammenpassen.