Die Reisedaten tausender Kunden des Legolandes Günzburg waren betroffen: Durch ein Datenleck der Buchungsseite für Legoland-Übernachtungen in Günzburg waren Kundendaten der letzten sieben Jahre öffentlich als PDF-Dateien einzusehen. Dies hat das IT-Nachrichtenportal heise online recherchiert. Laut Legoland habe man vor einem halben Jahr ein neues Buchungssystem eingeführt, wodurch die Datenschutzpanne entstand. Dieses stelle den "Gästen innerhalb des neuen Kundenportals ihre historischen Buchungsdaten zur Verfügung". Die Daten aus den vergangenen sieben Jahren waren seit dem Zeitpunkt der Umstellung einsehbar. In den Dokumenten waren neben den Namen, den Anschriften der buchenden Kunden und dem gewünschten Reisezeitraum auch die Namen der Mitreisenden aufgelistet. Geringes Risiko für Betroffene
Kein Zugriff auf Bank- und Kreditkartendaten
Die Merlin Entertainments Group, die für die Buchungsseite zuständig ist, erklärte gegenüber dem IT-Nachrichtenportal, dass "eine umfassende Untersuchung durchgeführt und zusätzliche Sicherheitsmaßnahmen ergriffen [werden], um unbefugten Zugriff auf Buchungsdaten zukünftig zu verhindern". Informiert habe das Unternehmen seine Kunden nicht. Die Begründung: Man sei nach eingehender Risikobewertung zu dem Ergebnis gekommen sei, dass der Vorfall ein geringes Risiko für die betroffenen Personen darstelle. Es angeblich kein Zugriff auf Bank- oder Kreditkartendaten möglich gewesen.
Bei hohem Risiko hätten Kunden benachrichtigt werden müssen
In der Datenschutz-Grundverordnung (DSGVO) steht zur Informationspflicht betroffener Personen: "Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung." Zwar gibt es viele Aussagen, ab wann ein "hohes Risiko" besteht, letztlich ist es aber die Aufgabe der Betreiber von Legoland, zu entscheiden, wann ein solcher Fall vorliegt. Ob sie mit dieser Entscheidung richtig liegen, entscheiden gegebenenfalls die Aufsichtsbehörden oder Gerichte.