Tausende Buchungen des Freizeitparks Legoland Deutschland waren öffentlich abrufbar. Ein halbes Jahr waren die Daten, die bis Mai 2015 zurückreichen, ungeschützt im Internet zugänglich. Informiert wurden die Kunden durch das Legoland darüber nicht. Auch dass betroffene Kunden einen Schadensersatzanspruch haben, ist vielen nicht bewusst. Wir helfen Ihnen, Ihr Recht geltend zu machen.

Tausende Rechnungen des Legoland Deutschland in Günzburg waren über Monate hinweg öffentlich abrufbar. Der gerade bei Familien beliebte Freizeitpark machte Namen, Adressen, Reisezeitraum und insbesondere die Namen der mitfahrenden Kinder für jeden einsehbar. Betroffen sind Buchungen seit Mai 2015. Melden Sie sich jederzeit gerne in unserer Kanzlei, wenn Sie betroffen sind. Gemeinsam gehen wir dann zielführend und unkompliziert Ihren Anspruch auf Schadensersatz an.

Das Datenleck entstand durch eine neue Funktion im Buchungsportal des Legolands, die vor einem halben Jahr neu eingeführt wurde. Kunden konnten dort auch ihre vergangenen Buchungen einsehen und die dazugehörigen Rechnungen erneut abrufen. Ein Kunde bemerkte dabei, dass für den Download eine fortlaufende Nummer zur Identifikation verwendet wurde. Beim Einsetzen einer anderen Zahl konnte er Rechnungsdaten anderer Familien abrufen. Verschlüsselung, Passwortschutz oder technische Abrufsicherungen waren nicht vorhanden. Die Dateien waren auf diesem Weg bis zur Abschaltung der Funktion verfügbar.

Besonders pikant: Die Datenschutz-Grundverordnung (DSGVO) sieht Daten von Kindern als besonders schützenswert an. Dieser Schutz wurde durch die leichtfertige Offenlegung der Kundendaten nicht gewährleistet.

Betroffene Kunden wurden nicht informiert

Nachdem der Kunde sich beim Online-Portal heise mit der Sicherheitslücke gemeldet hat, haben sie Merlin Entertainments kontaktiert. Der Konzern hinter dem Legoland hat die Funktion zum Abrufen der alten Rechnungen daraufhin zunächst deaktiviert. Der Datenschutzverstoß wurde außerdem an das Bayrische Landesamt für Datenschutzaufsicht gemeldet.

Die betroffenen Kunden hingegen wurden nicht informiert. Artikel 34 Abs. 2 DSGVO schreibt eine Information der betroffenen Kunden nur dann vor, wenn ein hohes Risiko für die Rechte und Freiheiten der Personen besteht. Der Konzern stuft das Risiko für seine Kunden jedoch als gering ein, da keine Bank- oder Kreditkartendaten in den abrufbaren Rechnungen enthalten waren. Ob diese Einschätzung insbesondere aufgrund der vielen Daten von minderjährigen Personen korrekt ist, erscheint fraglich und muss insbesondere von der Bayrischen Datenschutzaufsicht betrachtet werden. Die Entscheidung darüber, ob eine Information verpflichtend gewesen wäre, liegt jedoch bei den Gerichten.

Jetzt Auskunft und Schadensersatz fordern!

Es steht jedoch fest, dass die unzureichende Sicherung von Rechnungsdaten eine Pflichtverletzung des Legoland Deutschland ist und nicht von Ihnen hingenommen werden muss. Machen Sie Ihr Auskunftsrecht aus Artikel 15 DSGVO geltend und vergewissern Sie sich, ob auch Sie betroffen waren.

Wenn auch Ihre Daten öffentlich einsehbar waren, steht Ihnen ein Anspruch auf Schadensersatz aus Artikel 82 DSGVO zu. Es braucht keinen konkreten finanziellen Schaden, sondern die Existenz des Datenlecks ist ausreichend, um einen immateriellen Schadensersatz zu begründen. Dabei sind regelmäßig Schadensersatzsummen in vierstelliger Höhe zu erreichen. So sprach das Landgericht (LG) München I zuletzt einem Kunden eines digitalen Vermögensverwalters 2.500 Euro Schadensersatz zu (LG München I, Urteil vom 09.12.2021, Az. 31 O 16606/20). Der Grund: Der digitale Vermögensverwalter habe das Datenleck gegenüber seinen Kunden zu vertreten. Sensible Daten wie IBAN oder Steuer-ID gerieten dadurch in die Hände von Kriminellen. Es kam dort wirklich vermehrt zu Identitätsdiebstahl und großen Problemen für die Betroffenen.

Die Gerichte sprechen Betroffenen von Datenschutzvorfällen auch in anderen Fällen inzwischen immer höhere Summen an Schadensersatz aus Art. 82 DSGVO zu. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse. Das Arbeitsgericht (ArbG) Düsseldorf sprach deshalb einem Kläger wegen einer verspäteten Datenauskunft 5.000 Euro zu (ArbG Düsseldorf, Urteil vom 05.03.2020, Az. 9 Ca 6557/18)

Was Betroffene jetzt tun können

Wenn Sie vom Datenleck betroffen sind, können Sie sich gerne jederzeit an unsere Kanzlei WBS wenden. Gemeinsam können wir dann die nächsten rechtlichen Schritte bezüglich eines möglichen Schadensersatzanspruchs in die Wege leiten. So kommen Sie schnell und zielführend zu Ihrem Recht.

lfe