Ein halbes Jahr nachdem Flurina Keller bei Hotels.com eine Übernachtung gebucht hatte, landete plötzlich eine dringend wirkende Whatsapp-Nachricht bei ihr im Postfach. Der Absender nannte sich Visionapartments – wie der Anbieter der Mietwohnung. «Ihre Buchung muss verifiziert werden, damit sie nicht verfällt. Wenn Sie nicht innert 12 Stunden reagieren, verfällt die Buchung ohne Anspruch auf Rückerstattung.»

Partnerinhalte
 
 
 
 

Die Nachricht kam authentisch daher, weil sämtliche Buchungsdetails korrekt waren, erzählt Keller dem Beobachter. Sie heisst in Wirklichkeit anders. Ausserdem wurde sie mit einem akademischen Titel angeschrieben, den sie nur in ihrer Hotels.com-App benutzt. Trotzdem wurde sie stutzig, denn die Nachricht war mit auffälliger Dringlichkeit formuliert. Keller wandte sich mit ihrem Misstrauen an Visionapartments: «Ich glaube, ich werde unter Ihrem Namen betrogen, aber befürchte, meine Reservierung zu verlieren. Ist da etwas dran?»

Beratung mit Chatbot

Kurz darauf erreichte Keller ein zweiter Phishingversuch, der wieder täuschend echt auf ihrer Buchung basierte. Bei Visionapartments heisst es auf Anfrage des Beobachters, dass eine Sicherheitslücke bei SiteMinder der Grund für den Datenverlust war. Dabei handle es sich um ein «branchenweit eingesetztes Vertriebssystem in der Hospitality-Industrie».

Allerdings seien «nur» Informationen im Zusammenhang mit Buchungen abhandengekommen. Kreditkartendaten oder persönliche Dokumente seien nicht betroffen.

Betrügerische Whatsapp-Nachricht, die im Namen von Visionapartments verschickt wurde: Kundin machte kürzlich eine Buchung bei Visionapartments, über Hotels.com. Kurz danach erhielt sie eine Whatsapp Nachricht, die eindeutig und beweisbar auf ihren…

Screenshot der betrügerischen Whatsapp-Nachricht, die unter dem falschen Namen von Visionapartments verschickt wurde.

Quelle: Privat, Freepik - Montage: Beobachter

Von SiteMinder hat Flurina Keller allerdings nie eine Warnung oder Notiz wegen des Datenverlusts erhalten. Darum wandte sie sich an den eidgenössischen Datenschutzbeauftragten (Edöb). Muss eine Plattform ihre Kunden nicht besser informieren, wenn Daten geklaut werden?

Bei Onlinebuchung droht Datenklau

Doch, sagt Edöb-Sprecherin Silvia Böhlen. Diese Meldepflicht gibt es. Und zwar insbesondere dann, wenn Daten – wie in diesem Fall die Handynummer von Keller – für Betrugsmaschen genutzt werden könnten. Der Edöb habe darum bereits im Dezember 2025 die Verantwortlichen kontaktiert. Ausserdem wurde der Branchenverband Hotellerie Suisse vom Edöb auf das Problem aufmerksam gemacht und auf die technischen Massnahmen zur Gewährleistung der Datensicherheit hingewiesen.

Betrugsverdacht? Das können Sie tun

Wie mehrere Meldungen beim Databreach-Meldeportal des Edöb zeigen, landen immer wieder Daten von Kundinnen, die im Internet eine Übernachtung buchen, in den Händen von Kriminellen. Wie bereits erwähnt, sollten die Betroffenen informiert werden – damit sie sich des Risikos bewusst sind und gegebenenfalls geeignete Massnahmen zu ihrem Schutz treffen können.

Eine persönliche Meldepflicht besteht laut Datenschutzgesetz nur dann nicht, wenn ein Unternehmen öffentlich über das Datenleck informiert. Dass SiteMinder das nicht getan hat, stört Keller. «Ich hoffe, die Leute werden durch meinen Fall sensibilisiert.» Fragen des Beobachters liess SiteMinder unbeantwortet.

Ein Sprecher von Visionapartments bedauert gegenüber dem Beobachter die Panne. «Uns ist bekannt, dass eine kleine Anzahl von Gästen dadurch doppelte Zahlungen geleistet oder Personaldaten herausgegeben hat.» Die Plattform habe die Betroffenen kontaktiert und «direkt und vollständig» entschädigt. «Den entstandenen finanziellen Schaden machten wir gegenüber SiteMinder geltend.»

Quellen