HAMMER-Rechtsanwalt

Menü
Menü
Wasserglas mit kleinem Sprung wo Wasser austritt

BOOKING.COM DATENLECK – Schadenersatz

April 2026

Das aktuelle Datenleck bei Booking.com reiht sich ein in eine Serie von Vorfällen. Doch Sie haben Rechte!

Wenn Sie von Booking.com über einen Sicherheitsvorfall informiert wurden, können Sie hier Ihre Unterlagen sicher übermitteln. Wir prüfen, ob eine Beteiligung an der Sammelaktion und die Geltendmachung von Ansprüchen in Betracht kommt.

Bitte übermitteln Sie uns:

  • Das Schreiben von Booking.com als Screenshot oder Email-Anhang
  • Vor- und Nachname
  • Ihre Telefonnummer 

  • Ob eine Rechtsschutzversicherung besteht. Wenn ja ⇒ Polizzennummer & Name des Versicherungsunternehmen

Anspruch Prüfen

Wir prüfen kostenlos Ihren Anspruch

Was ist passiert?

ÜBERSICHT

Der Vorfall

Booking.com bestätigt einen unbefugten Zugriff auf Kundendaten.

Derzeit unklar:

  •  Zeitpunkt der Entdeckung.
  • Umfang des Datenabflusses.
  • Welche Daten konkret betroffen sind.
  • An welche Empfänger Daten weitergegeben wurden.

Typische Risiken:

  • Phishing-Mails
  • Identitätsmissbrauch
  • Dauerhafte Unsicherheit über die Datennutzung

Kein Einzelfall

Medienberichte zeigen wiederholte Sicherheitsvorfälle im Zusammenhang mit großen Plattformen.

 

Schadenersatz bei Datenleck

Art 82 DSGVO + EuGH-Judikatur Leitentscheidungen:

C-300/21→ Kein Mindestschaden erforderlich

C-154/21→ Anspruch auf konkrete Empfänger

C-340/21→ Angst vor Missbrauch ist ersatzfähig

Typische Schäden:

  •  Kontrollverlust über persönliche Daten
  • Risiko von Betrug oder Identitätsdiebstahl
  • dauerhafte Unsicherheit

Orientierung bei der Anspruchshöhe

Vergleichbare Fälle bewegten sich teilweise im Bereich von ca. EUR 1.350 pro betroffener Person

Ihre Rechte nach DSGVO

Nach der Datenschutz-Grundverordnung stehen Ihnen zu:

Auskunftsrecht (Art 15 DSGVO)

→ Welche Daten? Woher? An wen weitergegeben?

Informationspflicht (Art 34 DSGVO)

Unverzügliche und transparente Benachrichtigung

Recht auf Datensicherheit (Art 32 DSGVO)

Pflicht zu angemessenen Schutzmaßnahmen

Beschwerderecht (Art 77 DSGVO) bei der Datenschutzbehörde

Was können Sie tun?

Beschwerde bei der Datenschutzbehörde 

→ Feststellung der Rechtsverletzung

Auskunftsbegehren (Art 15 DSGVO) 

→ vollständige Aufklärung erzwingen

Schadenersatzforderung (Art 82 DSGVO)

→ standardisierte Geltendmachung

BOOKING.COM DATENLECK – Was ist passiert?

Im April 2026 bestätigte die Booking.com, dass es zu einem unbefugten Zugriff auf personenbezogene Daten von Nutzern gekommen ist. Die Informationen des Unternehmens lassen wesentliche Fragen offen.

Die Informationen des Unternehmens lassen wesentliche Fragen offen. Insbesondere ist bislang unklar, wann der Vorfall tatsächlich entdeckt wurde, in welchem Umfang Daten abgeflossen sind und an wen diese Daten möglicherweise weitergegeben wurden. Gleichzeitig wurde bereits kurz nach Bekanntwerden des Vorfalls von gezielten Phishing-Angriffen berichtet, bei denen echte Buchungsdaten verwendet wurden bzw. ist auch möglich, das Betroffene offizielle Informationen des Unternehmens mit Phishing verwechselten. Die wiederholten Vorfälle, gleichgelagerten Angriffsmuster und die durchgehend unzureichende Kommunikation deuten darauf hin, dass Booking.com seit Jahren strukturelle Defizite in der Datensicherheit nicht nachhaltig behebt.

Warum sind Datenlecks besonders gefährlich?

Datenlecks bringen für betroffene Personen ganz konkrete Risiken mit sich. Die Kombination aus Identitäts- und Kontaktdaten mit detaillierten Buchungsinformationen ermöglicht es Dritten, täuschend echte und hochgradig personalisierte Betrugsversuche durchzuführen. Dadurch steigt die Gefahr, dass Phishing-Nachrichten als legitim wahrgenommen werden und sensible Informationen preisgegeben werden. Zudem lassen sich aus Buchungsdaten Rückschlüsse auf Abwesenheitszeiten ziehen, was zusätzliche Risiken, etwa im Hinblick auf Einbruchsdiebstähle, begründen kann. Auch Identitätsmissbrauch wird erleichtert, da die kompromittierten Daten häufig ausreichen, um sich gegenüber Dritten glaubhaft auszugeben oder weitere Informationen zu erlangen. Diese Risikolage entspricht auch der Einschätzung der Europäischen Datenschutzausschuss (EDSA), wonach bereits die bloße Möglichkeit gezielter Betrugsversuche ein hohes Risiko für Betroffene darstellt.

Ihre Rechte

Betroffenenrechte

Nach der Datenschutz-Grundverordnung stehen betroffenen Personen umfassende Rechte zu, die unabhängig voneinander geltend gemacht werden können. Sie haben insbesondere das Recht, Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden, aus welchen Quellen diese stammen und an welche Empfänger sie weitergegeben wurden (Art 15 DSGVO). Darüber hinaus besteht eine Verpflichtung des Verantwortlichen, Sie im Falle eines Datenschutzvorfalls unverzüglich und in verständlicher Form zu informieren, sofern ein hohes Risiko für Ihre Rechte und Freiheiten besteht (Art 34 DSGVO).Weiters ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten zu ergreifen (Art 32 DSGVO). Werden diese Verpflichtungen verletzt und liegt ein Eingriff in Ihr Recht auf Geheimhaltung gemäß § 1 DSG vor, steht Ihnen das Recht zu, Beschwerde bei der Datenschutzbehörde zu erheben (Art 77 DSGV

Schadenersatz

Die DSGVO sieht ausdrücklich einen Anspruch auf Schadenersatz vor, der sowohl materielle als auch immaterielle Schäden umfasst (Art 82 DSGVO). Die Grundlage für Schadenersatzansprüche bildet Art 82 DSGVO, der durch die Rechtsprechung des Europäischen Gerichtshofs konkretisiert wurde. In der Entscheidung C-300/21 hat der Gerichtshof klargestellt, dass kein Mindestmaß an Schwere des Schadens erforderlich ist. Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen ersatzfähigen immateriellen Schaden darstellen. In der Entscheidung C-154/21 wurde zudem betont, dass betroffene Personen Anspruch auf konkrete Information über die Empfänger ihrer Daten haben. Schließlich hat der Gerichtshof in der Entscheidung C-340/21 bestätigt, dass bereits die begründete Sorge vor einem zukünftigen Missbrauch personenbezogener Daten einen ersatzfähigen Schaden darstellen kann. Vor diesem Hintergrund erscheint ein Schadenersatzbetrag in der Größenordnung von rund EUR 1.350 pro betroffener Person angemessen und entspricht auch der bisherigen Praxis in vergleichbaren Fällen.
zu den Berichten

Weitere aktuelle Entscheidungen &

unsere juristische Einordnung