Darum gehts
- Flurina Keller erhielt betrügerische Nachrichten nach Buchungsdaten-Leck
- Sicherheitslücke betraf nur Buchungsdaten, keine Kreditkarteninformationen betroffen
- Edöb meldete Vorfall im Dezember 2025, betroffene Gäste wurden entschädigt
Ein halbes Jahr nachdem Flurina Keller bei Hotels.com eine Übernachtung gebucht hatte, landete plötzlich eine dringend wirkende Whatsapp-Nachricht bei ihr im Postfach. Der Absender nannte sich Visionapartments – wie der Anbieter der Mietwohnung. «Ihre Buchung muss verifiziert werden, damit sie nicht verfällt. Wenn Sie nicht innert 12 Stunden reagieren, verfällt die Buchung ohne Anspruch auf Rückerstattung.»
Die Nachricht kam authentisch daher, weil sämtliche Buchungsdetails korrekt waren, erzählt Keller dem Beobachter. Sie heisst in Wirklichkeit anders. Ausserdem wurde sie mit einem akademischen Titel angeschrieben, den sie nur in ihrer Hotels.com-App benutzt. Trotzdem wurde sie stutzig, denn die Nachricht war mit auffälliger Dringlichkeit formuliert. Keller wandte sich mit ihrem Misstrauen an Visionapartments: «Ich glaube, ich werde unter Ihrem Namen betrogen, aber befürchte, meine Reservierung zu verlieren. Ist da etwas dran?»
Kurz darauf erreichte Keller ein zweiter Phishingversuch, der wieder täuschend echt auf ihrer Buchung basierte. Bei Visionapartments heisst es auf Anfrage des Beobachters, dass eine Sicherheitslücke bei SiteMinder der Grund für den Datenverlust war. Dabei handle es sich um ein «branchenweit eingesetztes Vertriebssystem in der Hospitality-Industrie». Allerdings seien «nur» Informationen im Zusammenhang mit Buchungen abhandengekommen. Kreditkartendaten oder persönliche Dokumente seien nicht betroffen.
Von SiteMinder hat Flurina Keller allerdings nie eine Warnung oder Notiz wegen des Datenverlusts erhalten. Darum wandte sie sich an den eidgenössischen Datenschutzbeauftragten (Edöb). Muss eine Plattform ihre Kunden nicht besser informieren, wenn Daten geklaut werden?
Bei Onlinebuchung droht Datenklau
Doch, sagt Edöb-Sprecherin Silvia Böhlen. Diese Meldepflicht gibt es. Und zwar insbesondere dann, wenn Daten – wie in diesem Fall die Handynummer von Keller – für Betrugsmaschen genutzt werden könnten. Der Edöb habe darum bereits im Dezember 2025 die Verantwortlichen kontaktiert. Ausserdem wurde der Branchenverband Hotellerie Suisse vom Edöb auf das Problem aufmerksam gemacht und auf die technischen Massnahmen zur Gewährleistung der Datensicherheit hingewiesen.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Wie mehrere Meldungen beim Databreach-Meldeportal des Edöb zeigen, landen immer wieder Daten von Kundinnen, die im Internet eine Übernachtung buchen, in den Händen von Kriminellen. Wie bereits erwähnt, sollten die Betroffenen informiert werden – damit sie sich des Risikos bewusst sind und gegebenenfalls geeignete Massnahmen zu ihrem Schutz treffen können.
Eine persönliche Meldepflicht besteht laut Datenschutzgesetz nur dann nicht, wenn ein Unternehmen öffentlich über das Datenleck informiert. Dass SiteMinder das nicht getan hat, stört Keller. «Ich hoffe, die Leute werden durch meinen Fall sensibilisiert.» Fragen des Beobachters liess SiteMinder unbeantwortet.
Ein Sprecher von Visionapartments bedauert gegenüber dem Beobachter die Panne. «Uns ist bekannt, dass eine kleine Anzahl von Gästen dadurch doppelte Zahlungen geleistet oder Personaldaten herausgegeben hat.» Die Plattform habe die Betroffenen kontaktiert und «direkt und vollständig» entschädigt. «Den entstandenen finanziellen Schaden machten wir gegenüber SiteMinder geltend.»
