Datenleck bei Gastronovi: Millionen Gästedaten "nicht ausreichend geschützt"

| Technologie Technologie

Sicherheitslücken bei Gastronovi haben dazu geführt, dass Millionen persönliche Daten nicht ausreichend geschützt im Internet standen. Darunter waren auch Zehntausende digitale Corona-Kontaktverfolgungs-Formulare. Die sensiblen Daten lassen teilweise Einblicke in Bewegungs- und Aufenthaltsprofile der betroffenen Gäste zu. Entdeckt hat die Lücken der Chaos Computer Club (CCC). Reporterinnen und Reporter von NDR und BR konnten laut NDR-Pressemitteilung die Erkenntnisse des CCC durch Stichproben verifizieren.

Die Firma Gastronovi mit Sitz in Bremen bietet Restaurants, Bars und Hotels unter anderem Web-Lösungen für Tisch-Reservierungen, Bestellungen und auch die Kontakt-Verfolgung im Zuge der Corona-Vorkehrungen an. Nach eigenen Angaben wickelt die Software der Firma jeden Monat 600.000 Reservierungen ab und verarbeitet 96 Millionen Euro Restaurant-Umsätze.

Vier Millionen Adress- und Reservierungseinträge

Der CCC fand insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter waren nach Angaben des CCC mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen: Restaurants hatten die Daten mithilfe von sogenannten QR-Codes erhoben, die Gäste beim Besuch mit dem Smartphone scannen und dann ihre Kontaktdaten eintragen.

Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen seien. Es habe sich um “Sicherheitsschwachstellen” gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass “kein unautorisierter Zugriff” auf die Daten stattgefunden habe.

In einem 14-seitigen Bericht, der NDR und BR vorliegt, hat der CCC seine Erkenntnisse zusammengefasst. Demnach sei es mit einfachen Mitteln möglich gewesen, „administrativen Vollzugriff“ zu erhalten - also Zugriff auf alle Daten und zudem die Möglichkeit, Nutzerkonten und deren Berechtigungen zu verändern. “Kritikalität: sehr hoch”, wie es in dem Papier heißt.

"Hätte jeder Nutzer herausfinden können”

“Ein Teil der Lücken waren so eklatant, dass jeder Nutzer das hätte herausfinden können”, sagte Sophie Bertsch vom CCC. Sie hat gemeinsam mit anderen IT-Experten die Systeme von Gastronovi überprüft. Gerade die digitale Corona-Kontaktverfolgung hält sie für problematisch. “Nachdem die Gastronomie wieder geöffnet wurde, wurden hier schnell gestrickte Lösungen eingeführt, die nicht dem Stand der Technik entsprechen”, so Bertsch. Sie rät zu Stift und Papier und dazu, die Unterlagen nach Ablauf der Fristen zu schreddern.

In dem Datensatz tauchen auch die Namen zahlreicher Politikerinnen und Politiker auf. So lässt sich zum Beispiel nachvollziehen, dass sich ein SPD-Abgeordneter der Hamburgische Bürgerschaft am 15. Juli um 12.33 Uhr mit einer Parteigenossin in einem Café traf, seine Wohnanschrift und E-Mailadresse sind ebenfalls zu finden. Auch Reservierungen von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil tauchen in den Daten auf. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Gastronovi betonte, die “Datenhoheit” liege “ausschließlich bei unseren Kunden”. Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als “Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile”, teilte ein Sprecher der Firma mit.

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. “Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen”, so Kelber. In der Corona-Verordnung sei das klar geregelt. “Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen”, sagte Kelber. Er spricht von einem “großen Datenschutzproblem” und hofft auf die Signalwirkung von hohen Bußgeldern: “Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch, was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?”


 

Zurück

Vielleicht auch interessant

Anzeige

PMS, Restaurantkasse, Revenue, Housekeeping, Events: In vielen Hotels läuft alles nebeneinander statt zusammen. Das bremst Entscheidungen, erschwert den Einsatz von KI und kostet jeden Tag Geld. Vernetzte Hospitality-Plattformen sind daher das Zukunftsmodell. Dieser Beitrag zeigt warum, und mit welchen Quick Wins Häuser jetzt aus der Insel-Logik aussteigen.

Eine Untersuchung der Organisation Which? zeigt, dass KI-Zusammenfassungen auf Tripadvisor negative Gästerückmeldungen verharmlosen oder sicherheitsrelevante Warnungen ausblenden. Verbraucherschützer raten zur Vorsicht.

Der Hotelsoftware-Anbieter Mews trennt sich von Mitarbeitern und richtet seine Organisation stärker auf künstliche Intelligenz aus. Richard Valtr und Matthijs Welle betonen zugleich die starke Geschäftslage des Unternehmens.

KI-Bilder, Chatbots oder automatisch erstellte Texte: Ab dem 2. August 2026 gelten neue Transparenzpflichten des EU AI Act. Wann Hotels und Restaurants Inhalte kennzeichnen müssen – und wann nicht.

Warum sind manche Google-Apps auf Android-Handys Standard? Der Tech-Gigant muss eine milliardenschwere Wettbewerbsstrafe der EU-Kommission akzeptieren.

Anzeige

Fragmentierte IT-Systeme kosten Hotels in der DACH-Region jährlich bis zu 51 Arbeitstage pro Mitarbeiter:in und bis zu 21 Prozent ihrer Betriebskosten. Der Prozess dorthin ist unbewusst und schleichend. Es gibt jedoch sechs Warnsignale, die zeigen, ob ein Haus an veralteten Lösungen festhält und: Quick Wins für einen schlanken Veränderungsprozess.

Das Berliner Hoteltechnologie-Unternehmen Smart Host erhält eine Wachstumsfinanzierung von Riverside Acceleration Capital. Die Mittel sollen in den Ausbau der Plattform, die DACH-Region und die Expansion in weitere europäische Märkte fließen.

Microsoft beobachtet seit April 2026 eine gezielte Cyberangriffskampagne gegen Hotels in Europa und Asien. Die Angreifer nutzen täuschend echte Phishing-Mails und installieren nach dem Öffnen vermeintlicher Bilddateien eine dauerhaft aktive Schadsoftware.

Ab August 2026 gelten neue Transparenzpflichten des AI Act. Was bedeutet das für Hotels, Restaurants und touristische Unternehmen? Ein Praxis-Check zeigt, welche KI-Inhalte gekennzeichnet werden müssen – und welche nicht.

Eine aktuelle Studie des TÜV-Verbands zeigt, dass über die Hälfte der deutschen Unternehmen einen hohen Weiterbildungsbedarf bei digitalen Kompetenzen sieht. Insbesondere größere Betriebe und der Handel haben eine hohe Nachfrage.