Datenleck im Legoland: Reisedaten tausender Kunden betroffen

Bei dem zur Merlin Entertainments Group gehörenden Legoland im bayerischen Günzburg waren mehrere tausend Datensätze der seit Mai 2015 getätigten Buchungen öffentlich als PDF-Dateien einsehbar. [Update 12.04.2022, 15:35 Uhr: Laut Legoland habe man vor einem halben Jahr ein neues Buchungssystem eingeführt, wodurch die Datenschutzpanne entstand. Dieses stelle den "Gästen innerhalb des neuen Kundenportals ihre historischen Buchungsdaten zur Verfügung". Die Daten aus den vergangenen sieben Jahren waren seit dem Zeitpunkt der Umstellung einsehbar.] In den Dokumenten waren neben den Namen, den Anschriften der buchenden Kunden und dem gewünschten Reisezeitraum auch die Namen der Mitreisenden aufgelistet.

Aufgefallen war das Ganze einem Leser, der aufgrund einer auffälligen URL, über die er eine Buchungsbestätigung abrufen sollte, misstrauisch wurde. Die URL hatte folgendes Schema: https://mylogin.legolandholidays.de/api/buchung/document/100001/0/CONFIRMATION. Nachdem der Leser die Zahl im Link ausgetauscht hatte, sah er die Buchung einer anderen Familie.

Daraufhin wandte sich der Leser an die heise-online-Redaktion, die das Leck nachvollziehen und stichprobenartig Buchungen fremder Personen abrufen konnte. Während der Recherche kamen laufend neue Datensätze hinzu.

Mehr Infos

Viele Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Die Dokumente mit fortlaufender Nummerierung begannen mit der Nummer 100001 und endeten mit Nummer 604104. Mithilfe eines simplen Skripts hätten Unbefugte sämtliche PDFs abgreifen können. Nachdem wir Legoland informiert hatten, funktionierten die Zugriffe auf die URLs am Folgetag nicht mehr. Einige Tage später erhielten wir eine Antwort, in der Merlin Entertainments die Deaktivierung des Buchungssystems bestätigte. Ferner sei der Datenschutzverstoß der DSGVO entsprechend beim Bayerischen Landesamt für Datenschutzaufsicht gemeldet worden.

Geringes Risiko für Betroffene

Merlin Entertainments erklärte gegenüber heise online, dass "eine umfassende Untersuchung durchgeführt und zusätzliche Sicherheitsmaßnahmen ergriffen [werden], um unbefugten Zugriff auf Buchungsdaten zukünftig zu verhindern". Informiert hat das Unternehmen seine Kunden nicht, weil es bei der "eingehenden Risikobewertung des Datenschutzvorfalls zu dem Ergebnis gekommen [ist], dass dieser Vorfall ein geringes Risiko für die betroffenen Personen darstellt", da kein Zugriff auf "Bank- oder Kreditkartendaten" möglich gewesen sei.

In der DSGVO steht zur Informationspflicht betroffener Personen: "Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung." Zwar gibt es viele Aussagen, ab wann ein "hohes Risiko" besteht, letztlich ist es aber die Aufgabe der Betreiber von Legoland, zu entscheiden, wann ein solcher Fall vorliegt. Ob sie mit dieser Entscheidung richtig liegen, entscheiden gegebenenfalls die Aufsichtsbehörden oder Gerichte.

Das Bayerische Landesamt für Datenschutzaufsicht in Ansbach bestätigte der dpa gegenüber, dass der Vorfall untersucht werde: "Unsere Aufklärungsmaßnahmen zielen derzeit vor allem auf die Frage, ob und in welchem Umfang Zugriffe auf personenbezogene Daten mit dem Ziel einer missbräuchlichen Verwendung stattgefunden haben", sagte Präsident Michael Will. Derzeit könnten keine weiteren Informationen gegeben werden, da die Untersuchungen noch laufen.

Update 12.04.2022, 12:00 Uhr: Vorletzter Absatz mit Details zur Informationspflicht aus der DSGVO ergänzt.

Update 13.04.2022, 16:15 Uhr: Absatz mit Stellungnahme des Bayerischen Landesamts für Datenschutzaufsicht ergänzt.

(mack)