Bei einer App der Incoming-Agentur SLR-Holiday-Service, einem bulgarischen Tochterunternehmen von Schauinsland-Reisen, ist es zu einer Sicherheitslücke gekommen. Entdeckt wurde sie von einem Datenschutzaktivisten, der den Veranstalter auf die Lücke aufmerksam gemacht hat. Diese betrifft den zur App gehörenden Datenspeicher. Die App wurde im Rahmen des Qualitätsmanagements zur Bearbeitung von Service- und Beanstandungsvorgängen genutzt. Aufgrund eines Konfigurationsfehlers waren gespeicherte Daten zu solchen Vorgängen nicht ausreichend geschützt. Laut Schauinsland gibt es bislang keine Hinweise auf einen unbefugten Abfluss von Daten.
Gemäß der gesetzlich vorgeschriebenen Risikoanalyse hat Schauinsland inzwischen einen Kreis von rund 700 potenziell betroffenen Personen identifiziert und über die Lage informiert. Außerdem wurde die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW informiert. Der Datenspeicher und die App wurden geschlossen. „Der Vorgang entspricht selbstverständlich in keinerlei Hinsicht unseren IT-Sicherheitsstandards. Wir haben daher bereits eine umfassende Fehleranalyse durchgeführt und werden alle notwendigen Maßnahmen ergreifen, um künftig derartige Konfigurationsfehler zu verhindern“, erklärt CEO Gerald Kassner.
Die App wurde von der bulgarischen Incoming-Agentur von Schauinsland programmiert. Dabei kam es zu einem Konfigurationsfehler. Die App wurde ab Dezember 2019 vor Ort für die Dokumentation von Serviceanliegen und Beanstandungen genutzt. Im Einsatz war sie zunächst in Bulgarien und auf den Kanarischen Inseln, von November 2021 an auch auf Madeira, ab November 2022 in der Dominikanischen Republik sowie ab Dezember 2023 in Mexiko.