Biometrische Verifizierung: Online-Reisebüros werfen Ryanair DSGVO-Verstoß vor
Ryanair fordert von Kunden einen "Verifizierungsprozess" mit biometrischer Gesichtserkennung, wenn sie nicht direkt buchen. Ein Reiseverband geht dagegen vor.
(Bild: Ryanair)
Der Verband EU Travel Tech, dem Firmen wie Airbnb, Booking.com, eDreams, Expedia und Skyscanner angehören, hat sich bei den französischen und belgischen Datenschutzbehörden über Ryanair beschwert. Die Billigfluggesellschaft fordert von ihnen seit Dezember 2023, Passagiere ohne Kundenkonto bei Ryanair mit automatisierter Gesichtserkennung und Ausweisdaten zu verifizieren. Betroffen sind also vor allem Kunden, die ihren Flug über ein Online-Reisebüro buchen.
"Dieses Verfahren verletzt nicht nur die Privatsphäre des Einzelnen, sondern wirft auch erhebliche rechtliche Bedenken im Sinne der Datenschutz-Grundverordnung (DSGVO) auf", schreibt EU Travel Tech. Der biometrische Überprüfungsprozess verstoße gegen die Grundsätze von "Rechtmäßigkeit, Fairness und Transparenz", insbesondere mit Blick auf besonders sensible Datenkategorien wie biometrische Informationen. Deren Nutzung berge Risiken wie Datenschutzverletzungen, Identitätsdiebstahl und ungerechtfertigte Überwachung. Seien biometrische Daten erst einmal kompromittiert, könnten sie "nicht mehr widerrufen oder geändert werden".
EU Travel Tech fordert die Datenschutzbehörden auf, den Verifizierungsprozess nach Artikel 66 DSGVO unverzüglich vorläufig zu stoppen. Der Verband zeigt sich zudem tief besorgt über das langsame Tempo eines bereits laufenden Ermittlungsverfahren, nachdem die Bürgerrechtsorganisation Noyb bereits im Juli 2023 eine Beschwerde gegen den Zwang zur Gesichtserkennung bei der spanischen Datenschutzbehörde eingereicht hatte. Schon damals hatte Ryanair eine Kundin, die über eDreams gebucht hatte, zu einer kostenpflichtigen Überprüfung aufgefordert.
Noyb: Gesichtserkennung taugt nicht für Mail-Verifizierung
Ryanair will nach eigenen Angaben die Kontaktdaten überprüfen, um Kunden vor Phishing, Kontenmissbrauch, dubiosen Online-Reisevermittlern und anderen Betrügern zu schützen. "In Wirklichkeit verfügt die Airline aber schon über alle relevanten Informationen", meint Noyb. Zudem verlange sie keine biometrischen Scans für jene, die direkt über die Ryanair-Webseite buchen. Der Zweck von Gesichtserkennungssystemen sei, Gesichter zu verifizieren, nicht E-Mail-Adressen. Ryanair versuche offenbar, "das Leben von Reisenden und Konkurrenten komplizierter zu machen, um den eigenen Gewinn zu steigern". Auch sei nicht erkennbar, dass Kunden informiert und freiwillig in das Verfahren einwilligen, wie es eigentlich erforderlich sei.
Laut EU Travel Tech ist der Noyb-Fall mittlerweile bei der irischen Data Protection Commission (DPC) gelandet, weil Ryanair seinen Sitz in Irland hat. Es sei völlig unklar, wie weit die dortigen Ermittlungen gediehen seien. Die Verzögerung werfe erhebliche Bedenken auf, ob die DSGVO wirksam durchgesetzt werde. EU Travel Tech habe daher zusammen mit der European Travel Agents’ and Tour Operators’ Association (ECTAA) and der European Passengers’ Federation (EPF) auch der EU-Kommission einen Beschwerdebrief geschickt.
Der Kundencheck informiere die Verbraucher "über alle gesetzlich vorgeschriebenen Sicherheits- und Regulierungsprotokolle", erklärte ein Ryanair-Sprecher derweil gegenüber dem Portal Euractiv. Online-Reisebüros übernähmen das Fluginventar des Konzerns oft unrechtmäßig, indem sie Bildschirminformationen ("Screen Scraping") auslesen, um Verbrauchern überteuerte Tickets zu verkaufen.
(anw)
