Tausende Legoland-Fans sind von einem Datenleck betroffen. Nach Angaben von Heise hatte die Buchungsseite des Legolands im bayerischen Günzburg eine massive Sicherheitslücke. Daten von tausenden Kundinnen und Kunden waren über Monate hinweg frei einsehbar im Netz, berichtet das Portal. Demnach waren mehrere tausend Datensätze der seit Mai 2015 getätigten Buchungen öffentlich als PDF-Dateien einsehbar.

Das Datenleck habe sich Angaben von Legoland zufolge durch ein neues Buchungssystem aufgetan. Während der Umstellung hätten Nutzer:innen nach ihrer Buchung Zugriff auf Daten anderer Besucher:innen gehabt. Ziemlich einfachen Zugriff sogar.

Recherchen des Portals zufolge reichte nur die Änderung einer einzigen Zahl im Buchungslink, um Buchungen anderer einsehen zu können. Mittels eines einfachen Skripts hätten so viele persönliche Daten abgegriffen werden können.

Merlin Entertainment, Betreiber des Legolands, habe nach einem Hinweis von Heise laut eigenen Angaben eine „umfassende Untersuchung“ des Vorfalls durchgeführt. Das Datenleck sei für die betroffenen Personen jedoch nur mit einem geringen Risiko verbunden gewesen, da keine Bank- oder Kreditkartendaten einzusehen waren. Das habe eine „eingehende Risikobewertung“ ergeben. Aus diesem Grund wolle das Unternehmen die Betroffenen nicht über den Vorfall informieren. Das Leck wurde mittlerweile geschlossen.

Ob eventuell doch ein hohes Risiko und damit eine Informationspflicht gemäß DSGVO besteht, wird erst noch entschieden werden müssen.