MerkurBets, CrazyBuzzer und SlotMagie: Datenleck soll über eine Million Kunden betroffen haben

Bisher unklar, ob Daten-Missbrauch durch Dritten erfolgte

[datensicherheit.de, 24.04.2025] Laut einer Meldung der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH vom 24. April 2025 sollen die Online-Glücksspielplattformen „MerkurBets“, „CrazyBuzzer“ und „SlotMagie“ von einem massiven Datenleck betroffen gewesen sein: „Durch eine gravierende Sicherheitslücke sollen nach Medienberichten von Mitte März 2025 persönliche Daten von über einer Million Kunden öffentlich zugänglich gewesen sein. Vollständiger Name, Adressen, Bankverbindungen, Ausweisdaten sowie Fotos aus der Videoidentifizierung sollen öffentlich einsehbar gewesen sein. Die Betreiber sollen ihre Kunden über den Vorfall informiert haben.“

Sicherheitslücke entdeckt – Unbefugte hätten Zugriff auf umfangreiche Kundendaten nehmen können

Ob die Daten bereits von Dritten missbraucht wurden, sei bislang unklar. Betroffene Verbraucher sollten jedoch nicht untätig bleiben: Datenschutzverletzungen wie diese könnten Schadensersatzansprüche begründen. Die Verbraucherkanzlei Dr. Stoll & Sauer bietet nach eigenen Angaben eine kostenlose Ersteinschätzung im „Glücksspiel-Online-Check“ für betroffene Kunden an.

Laut Berichten u.a. von „heise online“ und der „NWZ Online“ ist bei den Online-Casinos „MerkurBets“, „CrazyBuzzer“ und „SlotMagie“ eine gravierende Sicherheitslücke entdeckt worden, „durch die unbefugte Dritte Zugriff auf umfangreiche Kundendaten hatten“.

Gemeinsame Glücksspielbehörde der Länder über Datenleck informiert

Die IT-Sicherheitsforscherin Lilith Wittmann stieß demnach auf die Schwachstelle und habe die zuständige Aufsichtsbehörde, die Gemeinsame Glücksspielbehörde der Länder (GGL), informiert. Die betroffenen Unternehmen seien daraufhin über den Vorfall in Kenntnis gesetzt worden und hätten mit der Behebung der Sicherheitslücke begonnen.

Folgende Daten könnten kompromittiert sein:

• Vollständige Namen und Adressen
• Bankverbindungen (IBAN)
• Ausweisdaten und Fotos aus der Video-Identifizierung
• Informationen zu Ein- und Auszahlungen
• Risikoeinstufungen hinsichtlich der Spielsuchtgefahr

Bislang keine Hinweise auf Missbrauch der Daten

Auf der Website „MerkurBets“ sei betont worden, dass keine Passwörter kompromittiert worden sein sollen und dass es bislang keine Hinweise auf einen Missbrauch der Daten gebe. Dennoch besteht für betroffene Kunden aus Sicht der Kanzlei Dr. Stoll & Sauer ein erhebliches Risiko: „Insbesondere im Hinblick auf Identitätsdiebstahl und Betrug!“

Der Bundesgerichtshof (BGH) hatte in seiner Entscheidung vom 18. November 2024 (Az.: VI ZR 10/24) klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten – insbesondere, wenn es sich um hochprivate oder intime Informationen handelt – einen Schaden im Sinne von Art. 82 DSGVO darstellt.

Handlungsempfehlung zum aktuellen Glücksspiel-Datenleck

Der Angriff auf die Daten der Glücksspiel-Webportale soll nach Angaben von „MerkurBets“ im Zeitraum Februar bis Anfang März 2025 stattgefunden haben. Wenn Verbraucher Kunde bei „MerkurBets“, „CrazyBuzzer“ oder „SlotMagie“ sind und befürchten, von diesem Datenleck betroffen zu sein, sollten sie laut der Kanzlei Dr. Stoll & Sauer folgende Schritte in Betracht ziehen:

• Prüfung, ob eigene Daten betroffen sind
  Achten Sie auf Benachrichtigungen der Anbieter oder nutzen Sie Online-Tools, um zu überprüfen, ob Ihre Daten im Internet aufgetaucht sind!
• Sicherung von Beweisen
  Bewahren Sie alle relevanten Unterlagen und Kommunikationen mit den Anbietern auf, die Ihre Betroffenheit belegen!
• Rechtsberatung
  Nutzen Sie unsere kostenlose Ersteinschätzung im „Glücksspiel-Online-Check“, um Ihre individuellen Ansprüche zu prüfen und das weitere Vorgehen zu besprechen!

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
„Glücksspiel-Online-Check“

SPIELBANK.com.de, Avi Fichtner, 11.04.2025
Merkur-Datenleck: Ein Fall für mehr Datenschutzbewusstsein

Gamble Joe, Christian_1994, 17.03.2025
Aktuelles zum Hackerangriff bei SlotMagie, CrazyBuzzer & Merkur Bets

heise online, 15.03.2025
Online-Casinos wie „Slotmagie“ nach Datenverlust offline / Die deutschen Online-Casinos der Merkur-Gruppe haben am Samstag ihre Spiele abgeschaltet. Zuvor waren privateste Daten von Hunderttausenden zugänglich.

NWZ online, Sabrina Wendt, 14.03.2025
Hackerangriff auf Online-Glücksspielanbieter Sensible Daten zahlreicher Spieler durch Dritte einsehbar – Was Betroffene nun tun können

Medium, Lilith Wittmann, 14.03.2025
Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten