Question 1

Was ist passiert?

Accepted Answer

Im März 2026 kam es auf der Hotelbuchungs- und Mitgliederwebsite hrewards.com zu einem zeitlich begrenzten externen Datenschutzvorfall. Durch einen externen Zugriffsversuch waren kurzzeitig personenbezogene Daten einzelner Kund:innen und H Rewards Mitglieder zugänglich.

Question 2

Welche Daten waren zugänglich?

Accepted Answer

Kurzzeitig zugänglich waren, je nach Datensatz, Name, Kontaktdaten, Geburtsdatum, Adressinformationen sowie die H Rewards Mitgliedsnummer. Wichtig zu wissen: Passwörter, Buchungsdetails und Zahlungsinformationen waren nicht zugänglich.

Question 3

Ist der Vorfall beendet?

Accepted Answer

Ja. Der Vorfall wurde früh erkannt, technisch gestoppt und ist vollständig abgeschlossen.

Question 4

Gab es eine Untersuchung zu dem Vorfall?

Accepted Answer

Ja. Die forensische Untersuchung ist abgeschlossen.

Question 5

Wurden Daten kopiert oder nur eingesehen?

Accepted Answer

Die forensische Untersuchung hat klar aufgezeigt, welche Daten kurzzeitig zugänglich gewesen sein könnten. Ob Daten im Einzelfall nur eingesehen oder auch kopiert wurden, lässt sich nicht feststellen. Fest steht, dass Passwörter, Buchungsdetails und Zahlungsinformationen nicht zugänglich waren.

Question 6

Wurden die Behörden informiert?

Accepted Answer

Ja. Die zuständigen Datenschutzaufsichtsbehörden wurden entsprechend der gesetzlichen Vorgaben informiert.

Question 7

Wurden Betroffene informiert?

Accepted Answer

Ja. Betroffene Personen wurden, wo immer möglich, direkt informiert. Darüber hinaus wurde der Vorfall öffentlich kommuniziert.

Question 8

Warum kommuniziert das Unternehmen den Vorfall öffentlich?

Accepted Answer

Das Unternehmen informiert transparent und kommt seinen Informationspflichten nach. Da nicht bei jedem Datensatz ein E-Mail-Kontakt hinterlegt ist, erfolgt die Information ergänzend auch öffentlich.

Question 9

Was wurde unternommen?

Accepted Answer

Die betroffene Schwachstelle wurde identifiziert und unmittelbar geschlossen. Zusätzlich wurde eine forensische Untersuchung durchgeführt, weitere Sicherheitsmaßnahmen wurden umgesetzt, die zuständigen Behörden informiert und Betroffene kontaktiert.

Question 10

Was bedeutet das für mich?

Accepted Answer

Nach aktueller Bewertung gibt es keine Hinweise darauf, dass sensible Daten betroffen waren oder missbräuchlich verwendet wurden. Der Vorfall war begrenzt und ist abgeschlossen. Wir informieren vorsorglich und im Sinne größtmöglicher Transparenz.

Question 11

Was sollen Betroffene jetzt tun?

Accepted Answer

Betroffene beziehungsweise potenziell Betroffene sollten den bereitgestellten „Selbstcheck zur Datensicherheit” nutzen und bei unerwarteten Nachrichten, E-Mails oder Anrufen besonders aufmerksam sein.

Question 12

Wann erhalte ich eine Rückmeldung zu meiner Anfrage?

Accepted Answer

Wir werden Ihre Anfrage so schnell wie möglich im Einklang mit den gesetzlich geltenden Fristen bearbeiten.

Question 13

Kann ich die Prüfung auch am Telefon durchführen?

Accepted Answer

Nein. Bitte haben Sie Verständnis, dass der „Selbstcheck zur Datensicherheit” nur online durchgeführt werden kann. So stellen wir einen datenschutzkonformen Prozess sicher.

Question 14

Worauf sollten Betroffene besonders achten?

Accepted Answer

Wir empfehlen Ihnen, wachsam zu bleiben und folgende Vorsichtsmaßnahmen zu beachten:

Seien Sie vorsichtig bei unerwarteten E-Mails, Nachrichten oder Anrufen.
Klicken Sie nicht auf verdächtige Links und geben Sie keine persönlichen Daten weiter.
Achten Sie auf ungewöhnliche Aktivitäten in Ihren Konten.
H Rewards wird Sie niemals auffordern, Ihr Passwort, Zahlungsdaten oder andere sensible personenbezogene Informationen mitzuteilen. Wenn Sie eine solche Anfrage erhalten, behandeln Sie diese bitte als verdächtig und antworten Sie nicht darauf.

Question 15

Hat der Vorfall Auswirkungen auf Buchungen?

Accepted Answer

Nein. Bestehende und zukünftige Hotelbuchungen sind nicht betroffen.

Question 16

Ist der Hotelbetrieb oder Hotelbuchungen durch den Vorfall beeinträchtigt?

Accepted Answer

Nein. Bestehende und zukünftige Hotelbuchungen sind nicht betroffen. Der Geschäftsbetrieb in allen Hotels war und ist nicht beeinträchtigt.

Question 17

Wie kann ich prüfen, ob meine Daten betroffen sind?

Accepted Answer

Dafür steht ausschließlich das Online-Formular „Selbstcheck zur Datensicherheit” zur Verfügung. Der Datencheck erfolgt nicht telefonisch.

Question 18

Welche Rechte habe ich in Bezug auf die von mir gespeicherten Daten?

Accepted Answer

Jede betroffene Person hat das Recht auf Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten durch den Verantwortlichen gemäß Artikel 15 DSGVO, das Recht auf Berichtigung gemäß Artikel 16 DSGVO, das Recht auf Löschung gemäß Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, das Recht auf Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO und das Recht auf Übertragbarkeit gemäß Artikel 20 DSGVO. Das Recht auf Auskunft und das Recht auf Löschung unterliegen zudem den Beschränkungen nach §§ 34 und 35 BDSG.

Question 19

An wen kann ich mich wenden, falls noch Fragen offen sind?

Accepted Answer

Bei weiteren Fragen oder Anliegen wenden Sie sich bitte an dataprivacy.rfi@hrewards.com.

Zusätzlich können Sie sich an die Datenschutzbeauftragten wenden:

Steigenberger Hotels GmbH: TÜV Informationstechnik GmbH, Am TÜV 1, 45307 Essen, datenschutz@deutschehospitality.com

H Rewards Loyalty Program, H Rewards Pte. Ltd.: Wodianka privacy legal GmbH, Dockenhudener Straße 12a, 22587 Hamburg, eu-representative@hrewards.com

Question 20

Wie kann ich meine H Rewards Mitgliedschaft beenden?

Accepted Answer

Die Beendigung der H Rewards Mitgliedschaft können Sie jederzeit über die Funktion "Mitgliedschaft beenden" in Ihrem Mitgliedskonto unter dem Bereich "Profil" vornehmen. Mit der Beendigung verfallen sofort alle einlösbaren H Rewards Punkte. Darüber hinaus werden Ihre personenbezogenen Daten gelöscht sofern die gesetzlichen Voraussetzungen gegeben sind.

Question 21

Wie kann ich die Löschung meiner Daten beantragen?

Accepted Answer

Bitte klicken Sie "hier" und senden uns eine Nachricht, mit Ihren vollständigen Vor- und Nachnamen und Adressdaten, bezüglich der Löschung Ihrer Daten. Hinweis: Die Löschung Ihrer Daten erfolgt automatisch ohne weitere Benachrichtigung zum nächstmöglichen Zeitpunkt unter Wahrung der gesetzlichen Vorschriften.

H Rewards Update über Datenschutzvorfall

Was ist passiert?

Was wurde unternommen?

Wie kann ich überprüfen, ob meine Daten betroffen sind?

Welche Folgen kann der Vorfall haben?

Worauf sollte ich achten?

Was bedeutet der Vorfall für bestehende und zukünftige Hotelbuchungen?

Was ist mit den Daten passiert?

Kontinuierliche Stärkung von Datenschutz und Sicherheit

An wen kann ich mich bei Fragen oder Bedenken wenden?

Häufig gestellte Fragen