1. Home
  2. Möglicher Datenschutz-Verstoß...
DataAgenda

Möglicher Datenschutz-Verstoß durch obligatorischen Gesichtsscan

Ryanair Gesichtserkennung

Die Datenschutzorganisation noyb hat bei der italienischen Datenschutz-Aufsichtsbehörde (Garante per la Protezione dei Dati Personali) eine Beschwerde gegen die Fluggesellschaft Ryanair eingelegt, da die Airline Kunden zwinge, Konten anzulegen und einen Gesichts-Scan zur Verifizierung durchzuführen.

Ryanair verletze damit den Grundsatz der Datenminimierung und der freiwilligen Einwilligung, argumentiert noyb. Die verpflichtende Gesichtserkennung wird als besonders invasiv kritisiert, während alternative Verifizierungsmethoden unnötig erschwert werden. noyb fordert die italienische Datenschutzbehörde auf, gegen Ryanair vorzugehen, und verweist auf mögliche hohe Strafzahlungen.

Folgende Verfahren werden von noyb im wesentlichen kritisiert:

1. Obligatorische Kontoerstellung („Zwangskonten“):

  • Ryanair zwingt Kunden, ein dauerhaftes Konto zu erstellen, um Flüge auf der Website oder App buchen zu können.
  • Diese Praxis widerspricht dem Grundsatz der Datenminimierung (Artikel 5 Abs.1 lit. c DS-GVO), da ein solches Konto für die Flugbuchung nicht zwingend erforderlich ist.
  • Andere Fluggesellschaften wie Lufthansa, EasyJet, Air France und Norwegian verlangen keine Kontoerstellung für die Buchung.
  • Die erfassten Daten werden in der Regel bis zur Löschung des Kontos gespeichert, was laut noyb selten der Fall ist.

2. Obligatorischer „Verifizierungsprozess“ mit Gesichtsscan:

  • Ryanair verlangt von Kunden einen „Verifizierungsprozess“, bevor sie fliegen können.
  • Dieser Prozess bietet theoretisch zwei Optionen, wobei Kunden jedoch praktisch zu einem Gesichtsscanner gedrängt werden.
  • Biometrische Daten wie Gesichtsscans sind durch das EU-Recht besonders geschützt.
  • Europäische Datenschutzbehörden warnen in der Regel vor „inakzeptabel hohen Risiken“ durch Gesichtserkennung.

Kunden, die den Gesichtsscan vermeiden möchten, müssen eine handschriftliche Signatur und eine Ausweiskopie an Ryanair senden, was eine zusätzliche Hürde darstelle. Diese Vorgehensweise verletze die freie Wahl der Kunden und erfülle nicht die Anforderungen an eine freie Einwilligung gemäß der DS-GVO.

Fazit von noyb:
Nach Auffassung von noyb scheint die Verifizierung primär darauf abzuzielen, Online-Reisebüros daran zu hindern, Konten zu erstellen und Ryanair-Flüge weiterzuverkaufen. Durch den direkten Verkauf an Kunden möchte Ryanair möglicherweise zusätzliche Einnahmen durch Hotels, Versicherungen usw. erzielen, so noyb. Ryanair setze die Privatsphäre ihrer Kunden im Wettbewerb mit Online-Reisebüros aufs Spiel.

(Foto: Johannes – stock.adobe.com)

Letztes Update:30.12.24

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner