Datenschutz & Sicherheit
Daten beim Hotel-Check-in: Wer hat in meinem Bettchen gelegen?
Einer der mutmaßlichen North-Stream-Saboteure flog auf, weil er sich in einem italienischen Hotel anmeldete und seine Daten bei der Polizei landeten. Wie sind die Ermittler:innen an die Informationen gelangt und wie ist die Situation für Reisende bei Übernachtungen in Deutschland?

In Italien griff die Polizei vergangene Woche einen Ukrainer auf. Er soll mutmaßlich an der Sabotage der North-Stream-Gaspipelines vor drei Jahren beteiligt gewesen sein, gegen ihn gibt es einen europäischen Haftbefehl. Wie der Verdächtige letztlich aufgeflogen ist: Beim Familienurlaub gab er zur Anmeldung seine Daten an, die wurden an die Polizei übermittelt, es gab einen Treffer. Festnahme.
Es klingt fast zu einfach und für einen vielgesuchten Mann zu leichtsinnig, um wahr zu sein. Begründet ist der Ermittlungserfolg im italienischen Meldewesen für Unterkünfte. Die Betreiber von Hotels und anderen Übernachtungsbetrieben müssen die Daten ihrer Gäste erfassen, persönlich kontrollieren und spätestens innerhalb von 24 Stunden über ein einheitliches Online-Portal an die örtliche Polizeibehörde übermitteln.
Das ist in Europa ungewöhnlich, in den meisten Staaten werden die Daten der Reisenden nicht automatisch an Behörden weitergeleitet. Ähnliche Übermittlungsvorschriften gibt es jedoch etwa in Spanien, wo es seit Dezember 2024 ein neues Register für Übernachtungen, Mietwagen-Buchungen und andere touristische Angebote gibt.
Ausweis, bitte!
Doch auch wenn Reisendendaten in Deutschland nicht gleich bei der Polizei landen: Die Bitte um das Vorzeigen eines Ausweises kennen viele auch aus deutschen Hotels. Hierzulande ist eine besondere Meldepflicht jedoch zum 1. Januar 2025 für inländische Gäste weggefallen. Die frühere Ampelregierung hatte sie in einem Bürokratieentlastungsgesetz gestrichen.
Aktuell ist die Situation also: Wer als Deutsche:r in einem deutschen Hotel übernachtet, muss seine Meldedaten nicht mehr per Unterschrift quittieren und durch das Zeigen des Ausweises belegen. Für Nicht-Deutsche gelten die alten Regeln nach Bundesmeldegesetz jedoch weiter. Die Unterkünfte müssen die ausgefüllten Meldezettel 12 Monate aufbewahren. Fragen Polizei, Gerichte, Staatsanwaltschaften oder andere berechtigte Ermittler:innen sie an, müssen sie diese herausgeben.
Das, so Markus Luthe vom Hotelverband Deutschland, sei aber in der Vergangenheit kaum passiert. „Ab und an melden sich Ermittler im Rahmen einer Fahndung bei Hotels und lassen sich die Meldescheine zur Einsicht vorlegen.“ Dass sie „das große Besteck“ herausholen und die Meldescheine auf Schriftprobe, Fingerabdrücke oder DNA-Anhaftungen untersuchen, sei extrem selten.
Dass die Meldescheine für inländische Gäste weggefallen sind, begrüßt der Geschäftsführer des Branchenverbandes. Das erspare den Häusern einiges an Verwaltungsaufwand. Eine Ungleichbehandlung zwischen Deutschen und Ausländern hingegen widerspreche der „DNA der Hoteliers“. Diese Ungleichbehandlung liegt jedoch nicht in den Händen der deutschen Gesetzgeber:innen, die Meldepflicht ist im Schengener Durchführungsübereinkommen festgelegt und somit völkerrechtlich verbindlich.
Mehr Daten, mehr Risiko
Dennoch verlangen Hotels weiterhin Daten von ihren Gästen, auch die Frage nach dem Ausweis hören Übernachtende noch regelmäßig. Die möglichen Gründe dafür sind vielfältig. „Die Unterkünfte brauchen weiterhin Daten, um Rechnungen zu stellen“, sagt Luthe. Die müssen sie entsprechend steuerrechtlicher Vorgaben zehn Jahre aufheben. Vorschriften zur Erhebung und Weitergabe gibt es auch an Orten, wo eine Kur- oder Tourismusabgabe anfällt. Dort müssen Unterkunftsbetreiber in der Regel die Daten ihrer Gäste erheben und an kommunale Stellen übermitteln.
Was Luthe sich für die Zukunft wünscht, ist eine digitale Möglichkeit, die notwendigen Daten der Gäste schnell und sicher zu ermitteln. Dafür hatte es bereits ein Pilotprojekt gegeben, das jedoch seit dem Scheitern der deutschen ID Wallet und dem Rückzug der Ausweis-App aus den App-Stores im Jahr 2021 nicht weitergeführt wurde. Explizit als Anwendungsfall genannt sind Hotel-Check-ins nun bei der EU-weiten digitalen Brieftasche. Bis Anfang 2027 sollen alle EU-Mitgliedstaaten ihren Bürger:innen für die sogenannte EUDI-Wallet eine Lösung anbieten.
Was Übernachtungssuchende vermeiden sollten: Den Hotels und anderen ihren Ausweis zur vollständigen Kopie überlassen. Das ist zwar mit Zustimmung der Ausweisinhaber:innen prinzipiell erlaubt, nicht benötigte Angaben sollten aber in jedem Fall unkenntlich gemacht werden. Das ist besonders angesichts möglicher späterer Datenlecks relevant. So wurde im August bekannt, dass eine Hacking-Gruppe sich Zugang zu den Buchungssystemen italienischer Hotels verschaffte und danach unter anderem Scans von Ausweisdokumenten auf Plattformen zum Kauf anboten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Datenschutz & Sicherheit
BigBlueButton: Update fürs Webkonferenz-System fixt Denial-of-Service-Lücken
Die Entwickler des quelloffenen Webkonferenz-Systems BigBlueButton (BBB) für Windows- und Linux-Server haben mit einem Update auf Version 3.0.13 mehrere Angriffsmöglichkeiten beseitigt.
Authentifizierte Angreifer hätten aus der Ferne unter bestimmten Voraussetzungen drei Schwachstellen mit hohem Schweregrad („High“) missbrauchen können, um bei Videokonferenzen die Chatfunktionen sämtlicher Nutzer zu sabotieren oder per Cross-Site-Scripting (XSS) schädliche Skripte auszuführen. Darüber hinaus war es auch möglich, das aktuelle Meeting oder schlimmstenfalls alle derzeit auf dem betreffenden Server stattfindenden Online-Konferenzen zum Absturz zu bringen (Denial-of-Service).
Über Exploits beziehungsweise Angriffsversuche in freier Wildbahn ist bislang nichts bekannt. Dennoch empfiehlt sich ein zeitnahes Update.
Meeting-Teilnehmer als Angreifer
BBB ist für den Einsatz in Bildungseinrichtungen konzipiert und wird auch hierzulande etwa in Schulen und Universitäten verwendet. Es lässt sich in gängige Lern- und Inhaltsverwaltungssysteme wie IServ, Moodle oder ILIAS einbinden und bringt unter anderem Features für Online-Präsentationen, gemeinsame Notizen (shared notes) und Abstimmungen mit.
Auf einige dieser Features fußen die aktuellen Sicherheitslücken CVE-2025-55200 (XSS, CVSS-v3-Score 7.1), CVE-2025-61601 (DoS, 7.5) und CVE-2025-61602 (DoS, 7.5). So kann ein als Meeting-Teilnehmer angemeldeter Nutzer mit speziell präpariertem Nicknamen die XSS-Lücke durch bestimmte Shared-Notes-Eingaben triggern. Das „Crashen“ eines Meetings basiert auf schädlichen Eingaben in die Abstimmungsfunktion. Und der Chat stürzt ab, wenn ein unzureichend validierter Emoji-Parameter manipuliert wird. Letzteres lässt sich recht einfach über die Entwicklertools des Browsers bewerkstelligen.
Nähere technische Details zu den Sicherheitslücken kann man bei GitHub nachlesen:
Update auf 3.0.13 empfohlen
Ein Update auf Version 3.0.13 schließt die Sicherheitslücken. Die Entwickler raten betroffenen Bildungseinrichtungen, die BBB auf eigenen Servern hosten, zum Aktualisieren der Software; Workarounds gibt es nicht.
Angesichts der detaillierten Angriffsbeschreibungen bei GitHub ist zeitnahes Handeln ratsam.
(ovw)
Datenschutz & Sicherheit
So soll Missbrauch von Palantir-Software verhindert werden
Nach der Einführung der umstrittenen Palantir-Software VeRA bei der bayerischen Polizei haben die Beamten einen großen Teil der Nutzungen auf möglichen Missbrauch überprüft. 107 Mal sei das Analyse-Programm – mit vollem Namen „Verfahrensübergreifende Recherche- und Analyseplattform“ – bis Anfang Oktober genutzt worden, teilte das bayerische Landeskriminalamt (LKA) auf Anfrage mit. Die Zahl der Stichproben zur Prüfung in diesem Zeitraum liege „in einem hohen zweistelligen Bereich“. Auffälligkeiten habe es dabei nicht gegeben.
Zugriff auf zig Millionen Datensätze – nicht nur von Verdächtigen
Mit dem Programm lassen sich die verschiedenen Datentöpfe mit zig Millionen Informationen, die der bayerischen Polizei zur Verfügung stehen, in Sekundenschnelle durchsuchen. Dazu gehören nicht nur Angaben zu Verdächtigen, sondern auch zu Zeugen.
Lesen Sie auch
Um die Daten auszuwerten, übersetzt die Software unterschiedliche Dateiformate in ein gemeinsames Format. So können Ermittler Verbindungen erkennen und Informationen zur selben Person aus den verschiedenen Quellen zusammenführen. Angezeigt werden die Daten wahlweise in Netzwerken, auf Karten, in zeitlicher Abfolge oder als reine Texttabellen. Aus den Informationen lassen sich dann neue Dossiers erstellen.
Datenschützer kritisieren diesen umfangreichen Zugriff und die mögliche Verknüpfung von Daten, die zu völlig unterschiedlichen Zwecken gesammelt wurden. Analysten können dort je nach Fall Verbindungen zwischen Zeugen eines Unfalls und nachrichtendienstlichen Erkenntnissen zu Terrorverdächtigen feststellen und festhalten.
Privatdaten statt Verbrecher suchen? Wie das verhindert werden soll
Allerdings müssen die Analysten der Polizei, die die Software benutzen dürfen, bei jeder Suchanfrage zunächst angeben, zu welchem Zweck sie das Palantir-Programm nutzen. Bei weniger schwerwiegenden Gefahren können sie nicht auf besonders sensible Daten wie Erkenntnisse aus Abhöraktionen zugreifen, in dringenderen Fällen wie Terrorgefahr dagegen schon.
Um sicherzugehen, dass keiner der Beamtinnen und Beamten das Programm unberechtigterweise nutzt – zum Beispiel um den Wohnort von Prominenten oder Menschen aus dem privaten Umfeld zu suchen – werden die Suchanfragen stichprobenartig überprüft, teilt das LKA mit. Die Prüfer können dabei einsehen, wer wann welche Daten zu welchem angegebenen Zweck abgefragt hat.
Zuständig dafür sei die Projektleitung zur Software im LKA in Absprache mit dem Polizeipräsidium, aus dem die Suchanfrage kam. Eine genaue Zahl der Stichproben wollte das LKA auf Nachfrage nicht nennen.
Bei unberechtigten Abfragen werde zunächst geprüft, ob ein Verstoß gegen die Regeln zum Datenschutz vorliege, teilte das LKA mit. Betroffenen Beamten könne dann zum Beispiel der Zugriff auf die Software entzogen werden. In schwereren Fällen, etwa wenn sensible Daten weitergegeben werden, könne es auch strafrechtliche Ermittlungen geben.
Einsatz der Software sorgt in der Politik für Streit
Der Einsatz der Software von Palantir bei deutschen Polizeien ist politisch umstritten. Kritiker stoßen sich an den politischen Präferenzen von Mitgründer und Verwaltungsratschef Peter Thiel: Der US-Milliardär hatte in der Vergangenheit US-Präsident Donald Trump im Wahlkampf unterstützt. Nach Angaben des Unternehmens ist Thiel aber nicht in das operative Tagesgeschäft involviert.
Datenschützer äußerten auch die Befürchtung, dass US-Geheimdienste über Palantir Zugriff auf deutsche Polizeidaten bekommen könnten – ein Vorwurf, den die Firma zuletzt vehement zurückwies. Ein solcher Datenabfluss sei „technisch ausgeschlossen“, weil das Programm „ausschließlich“ auf Servern der Polizei betrieben werde – ohne Anschluss ans Internet oder externe Server.
Neben der bayerischen Polizei nutzen auch Beamten in Nordrhein-Westfalen und Hessen die Software, in Baden-Württemberg soll sie nach dem Willen der Landesregierung bald eingesetzt werden. Einen Einsatz bei Bundesbehörden wollte Bundesinnenminister Alexander Dobrindt (CSU) zuletzt prüfen.
(afl)
Datenschutz & Sicherheit
Qantas-Kundendaten tauchen nach Cyberangriff im Netz auf
Nach einem Cyberangriff bei der australischen Airline Qantas im Juli sind jetzt Kundendaten im Netz aufgetaucht. Gemeinsam mit den Ermittlungsbehörden versucht das Unternehmen aktuell noch zu ermitteln, um welche Daten genau es sich handelt. Experten ordnen die Ereignisse bei Qantas dem Cybercrime-Kollektiv Scattered Lapsu$ Hunters zu, das zuletzt eine Reihe von Großunternehmen heimsuchte.
5,7 Millionen Kundendaten waren bei Qantas Anfang Juli gestohlen worden. Größtenteils handelt es sich dabei um Namen, E-Mail-Adressen und Vielfliegerdaten. Ein kleinerer Teil der betroffenen Kundendaten umfasst aber auch Geschäfts- oder Privatadressen sowie Geburtsdaten, Telefonnummern, Geschlecht und Essenspräferenzen, teilte Qantas am Samstag mit. Kreditkartendaten oder Passwörter seien aber nicht betroffen. Vielflieger müssten sich keine Sorgen um ihre Bonuspunkte machen, versichert das Unternehmen in einer Kundeninformation.
Am New South Wales Supreme Court, einem der obersten australischen Gerichtshöfe, hat die Airline nun eine einstweilige Verfügung erwirkt, welche den Zugriff auf und die Veröffentlichung der geleakten Daten untersagt. Was die mutmaßlichen Akteure hinter dem Angriff aber kaum abhalten dürfte: Es gibt Hinweise, dass es sich hierbei um Scattered Lapsu$ Hunters handelt. Ein Konglomerat von Cybercrime Gangs, das aktuell 39 namhafte Unternehmen auf einer Leaksite im Darknet erpresst. Sie fordern unter anderem Google Adsense, Salesforce, Adidas auf, ein Lösegeld zu verhandeln. Ansonsten wollen die Täter zuvor erbeutete Daten veröffentlichen.
Qantas Leak: Auch Troy Hunt gepwnd
Der australische IT-Sicherheitsexperte Troy Hunt ist der Schöpfer von haveibeenpwnd.com. Mit der Seite lässt sich einfach herausfinden, ob die eigene Mailadresse schon einmal Teil eines Datenlecks bei einer Website war und dortige Login-Daten in die Hände von Cyberkriminellen gefallen sein könnten. Jetzt erwischte es Hunt selbst, wie er dem australischen Fernsehsender ABC News bestätigte: Die Mailadresse, die er in einem Qantas-Kundenaccount hinterlegt hat, sei auch Teil der kursierenden Kundendaten.
Allerdings dürfte der Schaden sich in Grenzen halten: Hunt nutzte die betroffene Adresse demnach ausschließlich für Qantas. Eine gängige Praxis unter IT-Sicherheitsexperten: Eine Mailadresse anlegen, die ausschließlich für den Account auf einer bestimmten Webseite dient – wenn hier zum Beispiel plötzlich fremde Mails eintreffen oder die Adresse in völlig anderen Leaks auftaucht, kann das Hinweise auf Kompromittierungen beziehungsweise die Zusammensetzung fremder Datenleaks liefern.
Auf einer Website, wo die Qantas-Daten zunächst zum Download bereitstanden, sind sie Hunt zufolge entfernt worden. Möglicherweise auf Verfügung des Gerichts. „Aber sie sind bereits in Tausenden von Händen und werden wahrscheinlich einfach auf einen neuen Dienst hochgeladen“, sagte er. Der sprichwörtliche Geist sei aus der Flasche. Er rät betroffenen Qantas-Kunden, noch wachsamer gegenüber möglichen Phishing-Versuchen zu sein – je mehr ein Bedrohungsakteur über sein Opfer weiß, desto besser könne er seine Phishing-Angriffe zuschneiden.
(nen)
-
UX/UI & Webdesignvor 2 Monaten
Der ultimative Guide für eine unvergessliche Customer Experience
-
UX/UI & Webdesignvor 1 Monat
Adobe Firefly Boards › PAGE online
-
Social Mediavor 2 Monaten
Relatable, relevant, viral? Wer heute auf Social Media zum Vorbild wird – und warum das für Marken (k)eine gute Nachricht ist
-
Entwicklung & Codevor 2 Monaten
Posit stellt Positron vor: Neue IDE für Data Science mit Python und R
-
Entwicklung & Codevor 1 Monat
EventSourcingDB 1.1 bietet flexiblere Konsistenzsteuerung und signierte Events
-
UX/UI & Webdesignvor 4 Wochen
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
-
Apps & Mobile Entwicklungvor 3 Monaten
Firefox-Update 141.0: KI-gestützte Tab‑Gruppen und Einheitenumrechner kommen
-
Online Marketing & SEOvor 3 Monaten
So baut Googles NotebookLM aus deinen Notizen KI‑Diashows