0711 9 30 81 10 Kostenlose Erstanfrage
SUCHE
News

Datenleck Merkur Slots: Hilfe und rechtliche Möglichkeiten für Betroffene

Veröffentlicht von Medya Erdem am 17. März 2025
Aktualisiert am 24. März 2025
DSGVO-Datenschutz-Datenschutzrecht

Bei den Online-Casinos der Merkur-Gruppe ist es zu einem massiven Datenleck gekommen. Durch das Datenleck war es möglich, auf die persönlichen Daten von mehr als einer Million Spielerinnen und Spieler zuzugreifen. Das Datenleck stellt einen der schwerwiegendsten Datenleck-Vorfälle im Bereich des Online-Glücksspiels in Deutschland dar. Kundinnen und Kunden von Online-Casinos wie Slotmagie, CrazyBuzzer und Merkurbets werden gewarnt, ihre Bankkonten auf mögliche illegale Aktivitäten oder Identitätsbetrug zu überwachen. Betroffene können mögliche Auskunfts-, Schadensersatz- und Unterlassungsansprüche kostenlos von den Experten unserer Kanzlei prüfen lassen.   

Kostenfreie Ersteinschätzung für Ihren Fall 

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Datenleck Merkur Slots: Das ist passiert

Bei der Merkur.com AG ist es zu einem massiven Datenleck gekommen, das sensible Informationen von bis zu einer Million Spielerinnen und Spieler betrifft.  

Die Merkur-Gruppe ist einer der größten deutschen Glücksspielanbieter und firmierte viele Jahrzehnte als Gauselmann-Gruppe.  Das Unternehmen stellt Geldspielautomaten her, betreibt eine Kette von Spielhallen und ist darüber hinaus in den Bereichen Sportwetten und Online-Gaming tätig. Bekannte Online Casinos und Sportwetten der Merkur Group sind CrazyBuzzer, MerkurBets, JackpotPiraten, BingBong und SlotMagie.  

Die Sicherheitsforscherin Lilith Wittmann vom Chaos Computer Club entdeckte die Schwachstellen und informierte die zuständige Glücksspielaufsichtsbehörde. Nach Angaben der IT-Expertin nutzen die Merkur-Marken eine Casino-Software des maltesischen Dienstleisters the mill adventures. Über eine ungesicherte GraphQL-Schnittstelle waren sensible Daten wie Namen, Adressen, IBANs, Ausweiskopien sowie Ein- und Auszahlungen in großem Umfang öffentlich zugänglich und abrufbar. Die Gemeinsame Glücksspielbehörde der Länder (GGL) hat The Mill Adventure Limited öffentlich verwarnt, weil das Unternehmen seiner Verpflichtung zur jährlichen Durchführung eines Sicherheitstests nicht nachgekommen ist, was zur mangelnden Sicherheit der Spielerdaten bei SlotMagie geführt hat. 

Als Reaktion auf das massive Datenleck wurden Online-Casinos Slotmagie, Crazybuzzer und Merkurbets vorübergehend offline genommen. Die betroffenen Spieler*innen wurden nach Angaben der Merkur Group schriftlich informiert; die Sicherheitslücken seien umgehend geschlossen worden. Unklar ist jedoch, ob und wie lange Dritte bereits vor der Entdeckung Zugriff auf die Daten hatten. Die deutsche Glücksspielbehörde GGL mahnte zwei Tochterunternehmen in Malta sowie den Dienstleister von Merkur öffentlich ab. 

Diese Daten sind vom Datenleck betroffen

  • Vor- und Nachname  
  • Spieler-ID 
  • Zahlungsdaten z.B. Daten zu Zahlungsdienstleistern wie TRUSTLY (IBANs, Kontoinhaber), PayPal PAYPAL (Email-Adressen, teilweise Adressen), Paysafecard (Name, Geburtsdatum, teilweise Adresse)
  • Spielsessions 
  • Fotos von Ausweisen 

Über die Sicherheitslücke konnte nach Angaben von Lilith Wittmann jede beliebige Person in jedes beliebige Profil Ein- und Auszahlungen vornehmen.  

Was können Betroffene jetzt tun?

Die Folgen für die Spieler*innen können fatal sein. Öffentlich zugängliche Daten können für Spam, Phishing oder Identitätsdiebstahl und damit Betrugsversuche missbraucht werden. Daher sollten Betroffene in nächster Zeit auf besonders aufmerksam sein und auf ungewöhnliche Vorgänge achten.  Zudem können Sie jetzt mögliche Ansprüche prüfen lassen. Aktuelle Urteile zeigen, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen Schaden darstellen kann 

Ein Datenleck stellt eine Pflichtverletzung des verantwortlichen Dienstleisters dar. Betroffenen stehen Ansprüche auf Auskunft, Schadensersatz und Unterlassung zu: 

  1. Sie haben nach Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind.  
  2. Betroffenen entsteht infolge eines Datenlecks auch ein sogenannter immaterieller Schaden. Es muss also kein finanzieller Schaden entstanden sein. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können.  
  3. Geschädigte haben einen Anspruch auf Unterlassung und können der Verarbeitung Ihrer Daten widersprechen.  

Wir vertreten rechtsschutzversicherte Verbraucher*innen und setzen ihre Ansprüche auf Entschädigung durch. Neben der Geltendmachung von Schadensersatzansprüchen sichern wir Sie durch einen sogenannten Feststellungsantrag für mögliche zukünftige Schäden ab. Darüber hinaus kümmern wir uns um die Deckungszusage Ihrer Rechtsschutzversicherung und übernehmen im weiteren Verlauf die gesamte Korrespondenz mit der Versicherung.  

Jetzt unverbindliche & kostenfreie Prüfung anfordern 

Sie haben Fragen? Rufen Sie uns an unter 0711-9308110 oder schreiben Sie uns Ihre Fragen über unser Kontaktformular.

Auch interessant:

Online Casino Zahlungen zurückfordern
Medya Erdem Portraitfoto

Autorin

Medya Erdem, Rechtsanwältin
Anwaltskanzlei Aslanidis, Kress & Häcker-Hollmann

Ähnliche Artikel