Möglicher Datenschutz-Verstoß durch obligatorischen Gesichtsscan

Die Datenschutzorganisation noyb hat bei der italienischen Datenschutz-Aufsichtsbehörde (Garante per la Protezione dei Dati Personali) eine Beschwerde gegen die Fluggesellschaft Ryanair eingelegt, da die Airline Kunden zwinge, Konten anzulegen und einen Gesichts-Scan zur Verifizierung durchzuführen.

Ryanair verletze damit den Grundsatz der Datenminimierung und der freiwilligen Einwilligung, argumentiert noyb. Die verpflichtende Gesichtserkennung wird als besonders invasiv kritisiert, während alternative Verifizierungsmethoden unnötig erschwert werden. noyb fordert die italienische Datenschutzbehörde auf, gegen Ryanair vorzugehen, und verweist auf mögliche hohe Strafzahlungen.

Folgende Verfahren werden von noyb im wesentlichen kritisiert:

1. Obligatorische Kontoerstellung („Zwangskonten“):

• Ryanair zwingt Kunden, ein dauerhaftes Konto zu erstellen, um Flüge auf der Website oder App buchen zu können.
• Diese Praxis widerspricht dem Grundsatz der Datenminimierung (Artikel 5 Abs.1 lit. c DS-GVO), da ein solches Konto für die Flugbuchung nicht zwingend erforderlich ist.
• Andere Fluggesellschaften wie Lufthansa, EasyJet, Air France und Norwegian verlangen keine Kontoerstellung für die Buchung.
• Die erfassten Daten werden in der Regel bis zur Löschung des Kontos gespeichert, was laut noyb selten der Fall ist.

2. Obligatorischer „Verifizierungsprozess“ mit Gesichtsscan:

• Ryanair verlangt von Kunden einen „Verifizierungsprozess“, bevor sie fliegen können.
• Dieser Prozess bietet theoretisch zwei Optionen, wobei Kunden jedoch praktisch zu einem Gesichtsscanner gedrängt werden.
• Biometrische Daten wie Gesichtsscans sind durch das EU-Recht besonders geschützt.
• Europäische Datenschutzbehörden warnen in der Regel vor „inakzeptabel hohen Risiken“ durch Gesichtserkennung.

Kunden, die den Gesichtsscan vermeiden möchten, müssen eine handschriftliche Signatur und eine Ausweiskopie an Ryanair senden, was eine zusätzliche Hürde darstelle. Diese Vorgehensweise verletze die freie Wahl der Kunden und erfülle nicht die Anforderungen an eine freie Einwilligung gemäß der DS-GVO.

Fazit von noyb:
Nach Auffassung von noyb scheint die Verifizierung primär darauf abzuzielen, Online-Reisebüros daran zu hindern, Konten zu erstellen und Ryanair-Flüge weiterzuverkaufen. Durch den direkten Verkauf an Kunden möchte Ryanair möglicherweise zusätzliche Einnahmen durch Hotels, Versicherungen usw. erzielen, so noyb. Ryanair setze die Privatsphäre ihrer Kunden im Wettbewerb mit Online-Reisebüros aufs Spiel.

(Foto: Johannes – stock.adobe.com)