Vorsicht Booking.com-Datenleck: Erste Betrugsversuche mit echten Buchungsdaten bekannt

Das Buchungsportal Booking.com hat nach übereinstimmenden Medienberichten im April 2026 Kunden über „verdächtige Aktivitäten“ informiert. Nach Angaben des Unternehmens könnten dabei Informationen im Zusammenhang mit konkreten Reservierungen in fremde Hände gelangt sein. Dazu zählen nach den vorliegenden Berichten Namen, E-Mail-Adressen, Telefonnummern und Buchungsdetails.

Besonders heikel ist der Fall, weil die Daten nicht abstrakt oder veraltet sein sollen. Es geht offenbar um konkrete Reise- und Buchungsinformationen. Genau solche Daten können Betrüger nutzen, um Verbraucher gezielt und glaubwürdig anzusprechen.

Nach den bisherigen Berichten sind insbesondere folgende Daten betroffen oder möglicherweise betroffen:

• Namen von Booking.com-Kunden
• E-Mail-Adressen
• Telefonnummern
• Buchungsnummern und Reservierungsdaten
• Namen der Unterkunft
• Reisezeitraum und Buchungsdetails
• weitere Angaben, die im Zusammenhang mit der Unterkunft geteilt wurden

Booking.com betont nach den Medienberichten, dass Passwörter, Zahlungsdaten und Finanzinformationen nicht betroffen seien. Die Zahl der betroffenen Kunden ist bislang nicht bekannt. Gerade diese Unklarheit macht den Fall aus Sicht von Dr. Stoll & Sauer problematisch. Verbraucher müssen nachvollziehen können, welche Daten betroffen sind, wie es zu dem Zugriff kommen konnte und welche Risiken daraus entstehen.

Nach einem weiteren SRF-Bericht vom 8. Juni 2026 gibt es inzwischen erste Betrugsversuche mit den erbeuteten Daten. In einem Fall erhielt ein Betroffener nach einem Hotelaufenthalt eine WhatsApp-Nachricht. Darin behaupteten die Täter, es habe bei Booking.com einen technischen Fehler gegeben. Der Kunde solle für eine angebliche Rückerstattung ein Formular über einen Link ausfüllen.

Die Masche ist besonders gefährlich, weil die Täter offenbar echte Buchungsdaten kennen. Nach SRF-Angaben stimmten in den bekannt gewordenen Fällen unter anderem Hotelname, Buchungsnummer, Telefonnummer und teilweise auch Buchungsdatum. Dadurch wirken die Nachrichten auf den ersten Blick seriös.

Typisch für solche Betrugsversuche sind folgende Muster:

• Kunden werden per WhatsApp, SMS, E-Mail oder über andere Kanäle kontaktiert.
• Die Nachricht wirkt so, als stamme sie von Booking.com oder direkt von der Unterkunft.
• Es wird ein angebliches Problem mit der Zahlung, der Buchung oder einer Rückerstattung behauptet.
• Betroffene sollen über einen Link Daten eingeben.
• Ziel ist häufig die Erlangung von Kreditkarten- oder Zahlungsdaten.

Booking.com weist nach den Berichten darauf hin, dass Kunden nicht per WhatsApp, SMS, E-Mail oder Telefon zur Herausgabe von Kreditkartendaten aufgefordert werden. Verbraucher sollten daher keine Links in solchen Nachrichten anklicken und keine Zahlungsdaten außerhalb der offiziellen Booking.com-Plattform eingeben.

Dr. Stoll & Sauer: Datenleck ist mehr als nur ein Ärgernis

Aus Sicht der Verbraucherkanzlei Dr. Stoll & Sauer zeigt der Fall, wie gefährlich der Verlust von Buchungsdaten sein kann. Wer Name, Telefonnummer, Hotel, Reisezeitraum und Buchungsnummer kennt, kann Verbraucher mit hoher Glaubwürdigkeit täuschen. Das Risiko liegt nicht nur im Datenabfluss selbst, sondern auch in den möglichen Folgen: Phishing, Identitätsmissbrauch, finanzielle Schäden und ein dauerhafter Kontrollverlust über persönliche Daten.

„Das Booking.com-Datenleck zeigt erneut, dass personenbezogene Daten für Kriminelle bares Geld wert sind. Besonders gefährlich wird es, wenn echte Buchungsdaten für gezielte Betrugsversuche genutzt werden. Verbraucher sollten solche Fälle nicht als bloße Unannehmlichkeit abtun, sondern ihre Rechte prüfen lassen“, so die Kanzlei Dr. Stoll & Sauer.

Rechtliche Einschätzung: Schadensersatz nach DSGVO möglich

Für betroffene Booking.com-Kunden kommt grundsätzlich ein Anspruch auf Schadensersatz nach Art. 82 Datenschutz-Grundverordnung in Betracht. Voraussetzung ist, dass ein Datenschutzverstoß vorliegt, ein materieller oder immaterieller Schaden entstanden ist und dieser Schaden auf den Verstoß zurückzuführen ist.

Der Europäische Gerichtshof hat in mehreren Entscheidungen die Rechte von Verbrauchern bei Datenschutzverstößen gestärkt. Nach der Rechtsprechung kann auch ein immaterieller Schaden ersatzfähig sein. Dazu kann der Verlust der Kontrolle über personenbezogene Daten gehören, aber auch die Sorge vor Missbrauch, wenn diese Sorge nachvollziehbar begründet ist.

Im Fall Booking.com können aus Sicht von Dr. Stoll & Sauer insbesondere folgende Fragen relevant werden:

• Wurden Kunden vollständig und rechtzeitig über den Vorfall informiert?
• Welche konkreten Daten sind betroffen?
• Wie konnten Dritte Zugriff auf Buchungsdaten erhalten?
• Wurden ausreichende technische und organisatorische Schutzmaßnahmen getroffen?
• Sind Betroffene bereits Opfer von Betrugsversuchen geworden?
• Ist ein finanzieller Schaden entstanden?
• Besteht ein nachvollziehbarer Kontrollverlust über persönliche Daten?

Besonders stark können Fälle sein, in denen Betroffene bereits konkrete Phishing-Nachrichten mit echten Buchungsdaten erhalten haben. Noch gravierender ist es, wenn Zahlungsdaten auf betrügerischen Webseiten eingegeben wurden oder bereits Abbuchungen erfolgt sind.

Was Betroffene jetzt tun sollten

Betroffene Booking.com-Kunden sollten den Vorfall ernst nehmen und verdächtige Nachrichten sorgfältig prüfen. Das gilt besonders dann, wenn kurz nach einer echten Buchung oder Reise Kontakt über WhatsApp, SMS oder E-Mail aufgenommen wird.

Dr. Stoll & Sauer empfiehlt:

• keine Links aus verdächtigen Nachrichten anklicken
• keine Kreditkarten- oder Zahlungsdaten über externe Formulare eingeben
• Buchungen nur direkt über die offizielle Booking.com-Webseite oder App prüfen
• bei Unsicherheit die Unterkunft über bekannte Kontaktdaten kontaktieren
• verdächtige Nachrichten sichern und nicht löschen
• Screenshots von WhatsApp-Nachrichten, E-Mails und Links erstellen
• Kreditkartenabrechnungen und Kontobewegungen kontrollieren
• bei finanziellen Schäden sofort Bank oder Kreditkartenanbieter informieren
• Auskunft nach Art. 15 DSGVO bei Booking.com verlangen
• mögliche Ansprüche auf Schadensersatz prüfen lassen

Dr. Stoll & Sauer prüft Fälle im DSGVO-Online-Check

Die Verbraucherkanzlei Dr. Stoll & Sauer bietet betroffenen Booking.com-Kunden eine kostenlose Ersteinschätzung im DSGVO-Online-Check an. Dort können Verbraucher prüfen lassen, ob ein Anspruch auf Schadensersatz nach der DSGVO in Betracht kommt.

Der Online-Check eignet sich insbesondere für Betroffene, die

• von Booking.com über verdächtige Aktivitäten informiert wurden,
• nach einer Booking.com-Buchung verdächtige Nachrichten erhalten haben,
• zur erneuten Eingabe von Zahlungsdaten aufgefordert wurden,
• bereits Opfer eines Betrugsversuchs geworden sind,
• einen finanziellen Schaden erlitten haben,
• wissen wollen, welche Rechte ihnen nach der DSGVO zustehen.

Dr. Stoll & Sauer: Erfahrung mit großen Datenschutzfällen

Die Kanzlei Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien in Deutschland. Sie vertritt Verbraucher bundesweit in komplexen Verfahren gegen Unternehmen, Konzerne und öffentliche Stellen. Ein Schwerpunkt liegt auf Datenschutz, Datenlecks, Cyberangriffen und Schadensersatz nach der DSGVO.

Die Kanzlei führt und prüft zahlreiche Verfahren im Zusammenhang mit Datenschutzverstößen, Tracking-Fällen und Cyberangriffen. Dr. Stoll & Sauer setzt dabei auf technische Analyse, rechtliche Einordnung und konsequente Durchsetzung von Verbraucherrechten. Das JUVE-Handbuch zählt Dr. Stoll & Sauer seit Jahren zu den bekannten Kanzleien im Verbraucherrecht. Für Betroffene von Datenlecks bietet die Kanzlei eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.