Hotels verarbeiten täglich sensible personenbezogene Daten: Namen, Aufenthaltszeiträume, Kontaktdaten, teils Zahlungsdaten, Reiseanlässe und Sonderwünsche. Genau diese Mischung macht die Branche attraktiv für Angreifer – vor allem über Phishing, kompromittierte Booking Extranet-Zugänge (z. B. bei Buchungsplattformen) und nachgelagerte Data Leaks (Datenpannen).

In diesem Beitrag zeige ich anhand eines realitätsnahen Falls, wie solche Angriffe ablaufen, welche datenschutzrechtlichen Pflichten ausgelöst werden – und wie Hotels jetzt strukturiert und rechtssicher reagieren.

Typische Angriffsmuster: Phishing, Extranet-Kompromittierung, Datenabfluss in Hotels oder bei Dienstleistern

1) Phishing bei Gäste (E-Mail-Spoofing / Fake-Mailserver / Nachrichten über Booking.com Chat)

Angreifer versenden täuschend echte Nachrichten an Hotelgäste – oft mit PDF-Anhang, Zahlungsaufforderung oder „Buchungsbestätigung“. Ziel: Klicks, Zugangsdaten oder Kreditkarteninformationen.

2) Missbrauch von Portal-Zugängen (z. B. Booking-Extranet)

Wird ein Admin-Account kompromittiert (z. B. durch Passwort-Reuse, fehlende MFA, Phishing), können Angreifer plattforminterne Nachrichten an Gäste verschicken – mit besonders hoher Glaubwürdigkeit.

3) Data Leak / Folgevorfälle

Ist ein Zugang kompromittiert, bleibt es selten bei einem einzelnen Versand: Häufig kommt es zu weiteren Kampagnen, Abgriffen oder zur Ausweitung auf Hotel-Webmail, PMS/Channel-Manager oder CRM.

Fallbeispiel aus der Hotelpraxis (Sachverhalt)

Ein Hotel stellte mehrere verdächtige Versandwellen fest:

• Freitag, 23:45 Uhr: Mitarbeitende bemerken E-Mails an Gäste, die über Booking.com gebucht hatten.
  Die E-Mails liefen nicht über den Mailserver des Hotels, enthielten nur eine passwortgeschützte PDF, ohne Passwort. Der Vorfall wurde zunächst als Sicherheitsverletzung mit keinem/geringem Risiko bewertet.
• Samstag, 21:40 Uhr: Über das Booking.com-Extranet wurden plattforminterne Nachrichten an Gäste verschickt – erneut mit PDF-Datei, diesmal inkl. Passwort.
• Montag, ca. 10:20 Uhr: Gäste, die über die Hotel-Website gebucht hatten, erhalten eine Buchungsbestätigung und zusätzlich eine zweite Mail mit Link zur „Bestätigung“, über den Kreditkartendaten abgefragt werden. Der Absender/Begriff „Glacier Getaways“ ist dem Hotel unbekannt.

Dieses Muster ist typisch: erst externe Fake-Mails, dann Missbrauch des Portals, dann Ausweitung auf Direktbuchungen.

Datenpanne im Hotel: Wichtige erste Schritte

1) Liegt eine „Verletzung des Schutzes personenbezogener Daten“ vor?

Nach Art. 4 Nr. 12 DSGVO ist eine Datenschutzverletzung jede Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.

Wichtig: Auch wenn „nur“ Nachrichten versendet wurden, kann bereits ein kompromittierter Zugang (z. B. Booking-Extranet) ein unbefugter Zugang sein – damit grundsätzlich ein meldepflichtiger Datenschutzvorfall möglich.
Bewertung der drei Ereignisse:

30.01. (Fake-Mail nicht über Hotelserver):
Das kann „nur“ Spoofing sein – oder ein Hinweis auf kompromittierte Gästedaten/Kommunikationswege. Datenschutzrechtlich ist entscheidend, ob personenbezogene Daten aus dem Einflussbereich des Hotels/Systems betroffen waren (z. B. Abgriff von Gastlisten, E-Mail-Adressen, Buchungsdaten).

01.02. (Nachrichten über Booking-Extranet):
Sehr starkes Indiz für Account-Kompromittierung. Hier besteht ein erhebliches Risiko, dass personenbezogene Daten (mindestens Kontakt-/Buchungsdaten) zugänglich waren.

02.02. (Direktbucher + Kreditkartenlink):
Das spricht für eine Phishing-Kampagne auf Basis von Daten aus Direktbuchungen (oder kompromittierter Mailversand/Website-Formular/CRM). Spätestens hier ist eine saubere forensische Klärung erforderlich.

2) Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO)

Eine Meldung ist erforderlich, wenn die Verletzung voraussichtlich ein Risiko für Rechte und Freiheiten natürlicher Personen darstellt. Frist: unverzüglich, möglichst binnen 72 Stunden ab Kenntnis.

Praktisch gilt:
Wenn es Hinweise auf kompromittierte Zugänge, Abgriff von Gästedaten oder gezielte Phishing-Nachrichten an konkrete Buchungen gibt, ist das Risiko oft nicht „gering“.

Im Fallbeispiel ist besonders relevant:
Extranet-Nachrichten mit Passwort (hohe Glaubwürdigkeit, hohe Erfolgsquote bei Gästen)
Kreditkartenabfrage-Link (direkter finanzieller Schaden möglich)
→ Das spricht typischerweise für ein mindestens mittleres Risiko, häufig meldepflichtig nach Art. 33 DSGVO.

3) Benachrichtigung der betroffenen Gäste (Art. 34 DSGVO)

Gäste müssen informiert werden, wenn voraussichtlich ein hohes Risiko besteht – insbesondere bei Betrugs-/Finanzrisiken (z. B. Kreditkartenphishing), Identitätsmissbrauch oder sehr überzeugender Kommunikation im Namen des Hotels/Portals.
Bei Kreditkartenphishing ist die Schwelle zum „hohen Risiko“ oft erreicht, weil:
Gäste unmittelbar zu Zahlungen/Dateneingaben verleitet werden,
realer finanzieller Schaden droht,
die Glaubwürdigkeit durch echte Buchungsdaten extrem steigt.

4) Dokumentationspflicht (Art. 33 Abs. 5 DSGVO) – immer!

Unabhängig von der Meldepflicht muss der Verantwortliche den Vorfall intern dokumentieren: Was ist passiert, welche Daten könnten betroffen sein, welche Maßnahmen wurden ergriffen, wie wurde das Risiko bewertet.

Was Hotels jetzt sofort tun sollten (Sofortmaßnahmen-Checkliste)

Technik & Zugriff
Zugangsdaten sofort zurücksetzen (Portal-Accounts, E-Mail, PMS/Channel-Manager).

MFA/2FA überall aktivieren (Booking-Extranet, Admin-Konten, Mail, CMS).
Berechtigungen prüfen: „least privilege“, Admin-Zugänge minimieren.
Logfiles sichern, Beweise erhalten (Zeitpunkte, IPs, Nachrichteninhalte, Header).

Kommunikation & Schadenbegrenzung
Gäste gezielt warnen (keine Links anklicken, keine Kreditkartendaten eingeben).
Hinweistext bereitstellen: Welche echten Domains/Mails nutzt das Hotel, wie erkennt man Fakes?
Interne Vorgaben: niemals Passwörter separat per unsicherem Kanal, keine Zahlungslinks ohne definierte Prozesse.

DSGVO-Compliance
Risikobewertung strukturiert durchführen (Art der Daten, Umfang, Betroffene, Missbrauchsrisiko).
Entscheidung Art. 33/34 dokumentieren.
Falls erforderlich: Meldung an die Aufsichtsbehörde, Benachrichtigung Betroffener.

Prävention: So senken Hotels das Datenschutz-Risiko dauerhaft

Security Awareness für Rezeption/Reservierung (Phishing-Erkennung, „Stop & Check“-Prozesse).
Standardprozess für Zahlungslinks: klare Regeln, Textbausteine, Authentizitätsmerkmale.
DMARC/SPF/DKIM zur Reduktion von Spoofing (sofern technisch/organisatorisch im Rahmen).
Incident-Response-Plan: Wer macht was in den ersten 2 Stunden?
Dienstleisterkette prüfen (PMS, Channel-Manager, Buchungsengine, Newsletter-Tools) inkl. AV-Verträge und Rollenklärung.

Häufige Fragen (FAQ)

Ist Phishing immer ein DSGVO-Vorfall?

Nicht automatisch. Entscheidend ist, ob personenbezogene Daten betroffen sind (Zugriff/Offenlegung/Abgriff). Aber: Phishing ist oft ein Symptom einer größeren Kompromittierung – deshalb muss sauber geprüft und dokumentiert werden.
Wenn der Hotelserver nicht genutzt wurde – muss ich trotzdem melden?

Möglicherweise ja, wenn z. B. Daten aus Hotel- oder Portalsystemen abgeflossen sind oder ein Portalzugang kompromittiert wurde. „Nicht unser Server“ ist kein Freifahrtschein, sondern ein Prüfauftrag.

Wann müssen Gäste informiert werden?
Bei hohem Risiko – insbesondere, wenn Betrug/finanzieller Schaden droht (z. B. Kreditkartenabfrage), oder wenn die Kommunikation so echt wirkt, dass viele Gäste darauf hereinfallen könnten.

Datenschutzvorfälle in Hotels sind selten nur ein IT-Thema – sie sind Haftungs-, Reputations- und DSGVO-Risiko zugleich. Entscheidend ist, in den ersten Stunden strukturiert zu handeln: Risiko bewerten, Fristen einhalten, Beweise sichern, Gäste richtig informieren.

Wenn Sie betroffen sind oder Ihren Notfallplan prüfen möchten:

Nehmen Sie Kontakt zu Dr. Marc Maisch auf – für eine schnelle datenschutzrechtliche Bewertung, Unterstützung bei Meldungen nach Art. 33/34 DSGVO und eine praxisnahe Incident-Response-Strategie für Hotels.