Datenleck bei Basic-Fit und Booking.com: Millionen Nutzer betroffen

Die europäische Fitnesskette Basic-Fit gab am 13. April 2026 bekannt, dass bei einem Datendiebstahl am 8. April persönliche Informationen und Bankdaten von rund einer Million Mitgliedern in Europa entwendet wurden. Betroffen sind etwa 200.000 Mitglieder in den Niederlanden sowie zwischen 150.000 und 200.000 Mitglieder in Belgien. Zu den gestohlenen Daten zählen Namen, Privatanschriften, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Bankkontonummern sowie detaillierte Angaben zur Mitgliedschaft. Der Angriff wurde laut Unternehmen innerhalb weniger Minuten erkannt und blockiert, jedoch konnten die Täter bereits vor der Sperrung Daten herunterladen. Am selben Tag gab die Online-Reiseplattform Booking.com separat bekannt, dass unbefugte Dritte möglicherweise auf Buchungsdetails und Kontaktinformationen einiger Nutzer zugegriffen haben.

Bankverbindungen und Trainingsprotokolle unter den gestohlenen Daten Der Umfang der kompromittierten Mitgliedsdaten bei Basic-Fit geht über grundlegende Kontaktdaten hinaus. Nach Angaben des Unternehmens wurden auch die Art des Abonnements, der Zahlungssaldo, die Ausweisnummer, eine interne Kennung sowie Protokolle von Fitnessstudio-Besuchen der letzten Woche entwendet. Letztere enthalten Angaben zu den besuchten Clubs sowie die jeweiligen Uhrzeiten. Auch der Typ des Mobilgeräts, das zur Validierung der Besuche genutzt wurde – etwa die Marke des Mobiltelefons –, befand sich unter den entwendeten Informationen. Basic-Fit betonte, dass Passwörter und Ausweisdokumente nicht betroffen seien, da das Unternehmen keine Kopien von Identitätsnachweisen speichere. Bisher gebe es keine Anzeichen für missbräuchliche Verwendung oder eine öffentliche Verbreitung der Daten. Externe Spezialisten seien mit der kontinuierlichen Überwachung des Internets beauftragt worden.

Meldung an die niederländische Aufsichtsbehörde innerhalb der 72-Stunden-Frist Basic-Fit bestätigte, den Vorfall innerhalb der gesetzlich vorgeschriebenen 72-Stunden-Frist an die niederländische Datenschutzbehörde gemeldet zu haben. Von dem Vorfall sind Mitglieder in allen sechs Ländern betroffen, in denen Basic-Fit tätig ist: den Niederlanden, Belgien, Frankreich, Spanien, Luxemburg und Deutschland. Mit mehr als 2.150 Studios und rund fünf Millionen Mitgliedern in Europa ist damit etwa jeder fünfte Kunde betroffen. Das Unternehmen teilte den Betroffenen mit, dass derzeit kein unmittelbarer Handlungsbedarf bestehe, riet jedoch zu erhöhter Wachsamkeit bei verdächtigen Nachrichten. Die spanische Verbraucherschutzorganisation Consumur empfahl den Mitgliedern, ihre Bankkonten in den kommenden Tagen genau auf unbefugte Abbuchungen oder ungewöhnliche Transaktionen zu prüfen.

Booking.com warnt vor Phishing nach Sicherheitsvorfall Booking.com informierte Kunden per E-Mail darüber, dass unbefugte Dritte Zugriff auf Buchungsdetails und Kontaktinformationen wie Namen, E-Mail-Adressen, Anschriften und Telefonnummern erlangt haben könnten. In Einzelfällen seien auch persönliche Informationen einsehbar gewesen, die mit Unterkunftsanbietern geteilt wurden. Ein Sprecher von Booking.com bestätigte, dass Finanzdaten für die Hacker nicht sichtbar waren. Als Vorsichtsmaßnahme habe das Unternehmen die persönlichen Zugangscodes der betroffenen Kunden geändert; der Vorfall sei mittlerweile gelöst. Details zur Anzahl der betroffenen Kunden oder zum genauen Zeitraum des unbefugten Zugriffs nannte die Plattform nicht. Das Unternehmen warnte vor Betrugsversuchen durch Personen, die sich als Booking.com-Mitarbeiter oder Hotels ausgeben, und stellte klar, dass niemals Kreditkartendaten per E-Mail, Telefon, SMS oder WhatsApp angefordert würden. Die Datenschutzbehörden wurden über den Vorfall in Kenntnis gesetzt.

Die EU-DSGVO verpflichtet Unternehmen in der Europäischen Union, Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden zu melden. Phishing-Angriffe – bei denen Kriminelle die Identität vertrauenswürdiger Unternehmen annehmen, um Finanzinformationen oder Zugangsdaten zu erlangen – stellen ein häufiges Folgerisiko dar. Die Kombination aus gestohlenen Daten wie IBANs, Geburtsdaten und Aktivitätsprotokollen erhöht die Glaubwürdigkeit solcher Täuschungsversuche erheblich.

Beide Unternehmen mahnten zur Vorsicht bei unaufgeforderten Kontaktaufnahmen. Basic-Fit erinnerte daran, niemals Passwörter oder sensible Finanzdaten preiszugeben, da die gestohlenen Informationen gezielt für Phishing-Kampagnen genutzt werden könnten. Booking.com betonte, keine Banküberweisungen außerhalb der Standard-Zahlungsmethoden zu verlangen. Das spanische Institut für Cybersicherheit schaltete eine kostenlose Helpline für verunsicherte Bürger. Informationen zur Identität der Angreifer lagen bis zum 13. April 2026 nicht vor.