Im Miniatur Wunderland Hamburg sind über Monate hinweg Kreditkartendaten von Besuchern abgeflossen. Nach übereinstimmenden Medienberichten – unter anderem von heise online und t-online vom 12. November 2025 – konnten Angreifer zwischen dem 6. Juni und dem 29. Oktober 2025 Zahlungsdaten beim Online-Ticketkauf ausspähen. Das Unternehmen meldete den Vorfall am 5. November 2025 der Aufsichtsbehörde. Aus Sicht der Kanzlei Dr. Stoll & Sauer handelt es sich um einen gravierenden Sicherheitsvorfall mit erheblichem Missbrauchspotenzial. Betroffene können ihre Ansprüche im kostenlosen Datenschutz-Online-Check prüfen lassen.
Was ist beim Miniatur Wunderland Hamburg passiert?
Nach Informationen von heise online wurde Schadcode in ein Modul des Online-Ticketshops eingeschleust. Dadurch konnten Angreifer den Datenstrom während des Bezahlvorgangs manipulieren und vollständig auslesen. Betroffen sind sämtliche Kreditkartenzahlungen innerhalb des rund fünfmonatigen Zeitraums. Das Miniatur Wunderland erklärte, dass grundsätzlich keine Kreditkartendaten lokal gespeichert werden – der Angriff muss daher über einen sogenannten Man-in-the-Middle-Mechanismus erfolgt sein.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff (MitM) bedeutet, dass sich ein Angreifer unbemerkt zwischen zwei Kommunikationspartner schaltet. Anstatt dass Daten direkt vom Nutzer zum Server gelangen, werden sie heimlich über den Rechner des Angreifers geleitet. Dort können sie ausgelesen, verändert oder abgefangen werden.
Im Fall des Miniatur Wunderlands wurde der Datenverkehr beim Online-Bezahlen so manipuliert, dass die Kreditkartendaten gleichzeitig beim Zahlungsdienstleister und beim Angreifer landeten. Kurz gesagt: Ein MitM-Angriff ist wie ein heimlicher Dritter, der ein Telefongespräch mithört – nur unsichtbar im Internet.
Reaktionen und Umfang des Datenlecks
Nach Angaben der Hamburger Datenschutzbehörde wurde die Datenpanne am 5. November 2025 gemeldet. Anschließend informierte der Betreiber die mutmaßlich Betroffenen per E-Mail und riet zur sofortigen Sperrung der Kreditkarte sowie zur engmaschigen Prüfung sämtlicher Abbuchungen. Laut t-online liegt die Zahl der betroffenen Besucher zwischen 30.000 und 35.000.
Derzeit ist noch unklar, wie die Schadsoftware in den Ticketshop gelangte und wie lange sie unentdeckt aktiv war. Der Betreiber hat die kompromittierte Infrastruktur abgeschaltet, neu aufgesetzt und externe IT-Forensiker eingebunden.
Fakten zum Wunderland-Datenleck nach Medieninformationen:
- Zeitraum der Kompromittierung: 6. Juni 2025 bis 29. Oktober 2025
- Abgeflossene Daten: Karteninhabername, Kreditkartennummer, Gültigkeitsdatum, CVV
- Mögliche Anzahl der Betroffenen: fünfstelliger Bereich
- Angriffspunkt: manipuliertes Modul im Online-Ticketshop
- Maßnahmen des Unternehmens: Meldung an Behörden, Abschaltung des Systems, Neuaufsetzung technischer Komponenten
Für Besucher bedeutet der Vorfall ein erhöhtes Risiko für unbefugte Abbuchungen, betrügerische Kartentransaktionen sowie weitere Folgeangriffe wie Phishing-Versuche.
Rechtliche Einschätzung zum Miniatur-Wunderland-Datenleck
Rechtlich handelt es sich um eine nach Art. 33 und 34 DSGVO meldepflichtige Datenpanne mit hohem Risiko für die Rechte der Betroffenen. Kreditkartendaten gehören zu den sensibelsten personenbezogenen Daten. Besonders strenge technische und organisatorische Sicherheitsmaßnahmen wären erforderlich gewesen. Ob diese ausreichend umgesetzt wurden, muss geklärt werden.
Die Rechtsprechung des Europäischen Gerichtshofs stärkt seit 2023 die Position von Betroffenen:
- Es genügt bereits der Verlust der Kontrolle über personenbezogene Daten.
- Ein materieller Schaden – etwa eine unbefugte Abbuchung – ist nicht erforderlich.
- Psychische Belastungen wie Kontrollverlust, Angst oder Unsicherheit können ersatzfähig sein.
Auch der Bundesgerichtshof hat klargestellt, dass Art. 82 DSGVO einen eigenständigen Schadensersatzanspruch begründet.
Rechtsprechung auf Seiten der Verbraucher
Die Rechtsprechung von Europäischem Gerichtshof (EuGH) und Bundesgerichtshof (BGH) stärkt die Position von Betroffenen eins Datenlecks:
- EuGH, Urteil vom 4. Mai 2023 – C-300/21
Der Europäische Gerichtshof stellte klar, dass immaterielle Schäden ersatzfähig sind. Es genügt bereits das Gefühl des Kontrollverlusts, Angst vor Identitätsdiebstahl oder der Eindruck ständiger Überwachung. - BGH, Urteil vom 5. März 2021 – VI ZR 12/19
Der Bundesgerichtshof bestätigte, dass Art. 82 DSGVO einen eigenständigen Schadensersatzanspruch begründet. Auch ohne nachweisbaren materiellen Schaden können Betroffene Entschädigung verlangen. - BGH, Urteil vom 18. November 2024 – VI ZR 10/24
Besonders grundlegend: Der BGH entschied, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellt. Es reicht also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst ohne konkreten Missbrauch.
Jetzt handeln: Kostenlose Ersteinschätzung im Online-Check
Betroffene des Datenlecks beim Miniatur Wunderland sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer hilft dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt kostenlose Ersteinschätzung im Datenschutz-Online-Check starten und Ansprüche sichern.
Über die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH gehört zu den führenden Kanzleien im Verbraucherschutz. Mit 18 Anwälten und Fachanwälten berät die Kanzlei an den Standorten Lahr und Stuttgart in zentralen Rechtsgebieten und ist spezialisiert auf Bank- und Kapitalmarktrecht, den Abgasskandal, Arbeits-, Verkehrs-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen Volkswagen und erreichten für 260.000 Verbraucher einen Vergleich über 830 Millionen Euro. Aktuell führen sie eine weitere Musterfeststellungsklage gegen die Mercedes-Benz Group AG mit erstem Erfolg in der ersten Instanz. Zudem vertreten Anwälte der Kanzlei Kläger in der Sammelklage zum Facebook-Datenleck gegen Meta in Deutschland.
Firmenkontakt und Herausgeber der Meldung:
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Einsteinallee 1/1
77933 Lahr
Telefon: +49 (7821) 923768-0
Telefax: +49 (7821) 923768-889
http://www.dr-stoll-kollegen.de
Ansprechpartner:
Christoph Rigling
E-Mail: Christoph.Rigling@dr-stoll-kollegen.de
E-Mail: Christoph.Rigling@dr-stoll-kollegen.de
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
