Datenschutz & Sicherheit
Daten beim Hotel-Check-in: Wer hat in meinem Bettchen gelegen?
Einer der mutmaßlichen North-Stream-Saboteure flog auf, weil er sich in einem italienischen Hotel anmeldete und seine Daten bei der Polizei landeten. Wie sind die Ermittler:innen an die Informationen gelangt und wie ist die Situation für Reisende bei Übernachtungen in Deutschland?
In Italien griff die Polizei vergangene Woche einen Ukrainer auf. Er soll mutmaßlich an der Sabotage der North-Stream-Gaspipelines vor drei Jahren beteiligt gewesen sein, gegen ihn gibt es einen europäischen Haftbefehl. Wie der Verdächtige letztlich aufgeflogen ist: Beim Familienurlaub gab er zur Anmeldung seine Daten an, die wurden an die Polizei übermittelt, es gab einen Treffer. Festnahme.
Es klingt fast zu einfach und für einen vielgesuchten Mann zu leichtsinnig, um wahr zu sein. Begründet ist der Ermittlungserfolg im italienischen Meldewesen für Unterkünfte. Die Betreiber von Hotels und anderen Übernachtungsbetrieben müssen die Daten ihrer Gäste erfassen, persönlich kontrollieren und spätestens innerhalb von 24 Stunden über ein einheitliches Online-Portal an die örtliche Polizeibehörde übermitteln.
Das ist in Europa ungewöhnlich, in den meisten Staaten werden die Daten der Reisenden nicht automatisch an Behörden weitergeleitet. Ähnliche Übermittlungsvorschriften gibt es jedoch etwa in Spanien, wo es seit Dezember 2024 ein neues Register für Übernachtungen, Mietwagen-Buchungen und andere touristische Angebote gibt.
Ausweis, bitte!
Doch auch wenn Reisendendaten in Deutschland nicht gleich bei der Polizei landen: Die Bitte um das Vorzeigen eines Ausweises kennen viele auch aus deutschen Hotels. Hierzulande ist eine besondere Meldepflicht jedoch zum 1. Januar 2025 für inländische Gäste weggefallen. Die frühere Ampelregierung hatte sie in einem Bürokratieentlastungsgesetz gestrichen.
Aktuell ist die Situation also: Wer als Deutsche:r in einem deutschen Hotel übernachtet, muss seine Meldedaten nicht mehr per Unterschrift quittieren und durch das Zeigen des Ausweises belegen. Für Nicht-Deutsche gelten die alten Regeln nach Bundesmeldegesetz jedoch weiter. Die Unterkünfte müssen die ausgefüllten Meldezettel 12 Monate aufbewahren. Fragen Polizei, Gerichte, Staatsanwaltschaften oder andere berechtigte Ermittler:innen sie an, müssen sie diese herausgeben.
Das, so Markus Luthe vom Hotelverband Deutschland, sei aber in der Vergangenheit kaum passiert. „Ab und an melden sich Ermittler im Rahmen einer Fahndung bei Hotels und lassen sich die Meldescheine zur Einsicht vorlegen.“ Dass sie „das große Besteck“ herausholen und die Meldescheine auf Schriftprobe, Fingerabdrücke oder DNA-Anhaftungen untersuchen, sei extrem selten.
Dass die Meldescheine für inländische Gäste weggefallen sind, begrüßt der Geschäftsführer des Branchenverbandes. Das erspare den Häusern einiges an Verwaltungsaufwand. Eine Ungleichbehandlung zwischen Deutschen und Ausländern hingegen widerspreche der „DNA der Hoteliers“. Diese Ungleichbehandlung liegt jedoch nicht in den Händen der deutschen Gesetzgeber:innen, die Meldepflicht ist im Schengener Durchführungsübereinkommen festgelegt und somit völkerrechtlich verbindlich.
Mehr Daten, mehr Risiko
Dennoch verlangen Hotels weiterhin Daten von ihren Gästen, auch die Frage nach dem Ausweis hören Übernachtende noch regelmäßig. Die möglichen Gründe dafür sind vielfältig. „Die Unterkünfte brauchen weiterhin Daten, um Rechnungen zu stellen“, sagt Luthe. Die müssen sie entsprechend steuerrechtlicher Vorgaben zehn Jahre aufheben. Vorschriften zur Erhebung und Weitergabe gibt es auch an Orten, wo eine Kur- oder Tourismusabgabe anfällt. Dort müssen Unterkunftsbetreiber in der Regel die Daten ihrer Gäste erheben und an kommunale Stellen übermitteln.
Was Luthe sich für die Zukunft wünscht, ist eine digitale Möglichkeit, die notwendigen Daten der Gäste schnell und sicher zu ermitteln. Dafür hatte es bereits ein Pilotprojekt gegeben, das jedoch seit dem Scheitern der deutschen ID Wallet und dem Rückzug der Ausweis-App aus den App-Stores im Jahr 2021 nicht weitergeführt wurde. Explizit als Anwendungsfall genannt sind Hotel-Check-ins nun bei der EU-weiten digitalen Brieftasche. Bis Anfang 2027 sollen alle EU-Mitgliedstaaten ihren Bürger:innen für die sogenannte EUDI-Wallet eine Lösung anbieten.
Was Übernachtungssuchende vermeiden sollten: Den Hotels und anderen ihren Ausweis zur vollständigen Kopie überlassen. Das ist zwar mit Zustimmung der Ausweisinhaber:innen prinzipiell erlaubt, nicht benötigte Angaben sollten aber in jedem Fall unkenntlich gemacht werden. Das ist besonders angesichts möglicher späterer Datenlecks relevant. So wurde im August bekannt, dass eine Hacking-Gruppe sich Zugang zu den Buchungssystemen italienischer Hotels verschaffte und danach unter anderem Scans von Ausweisdokumenten auf Plattformen zum Kauf anboten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.