Fragwürdige Gesichtserkennung bei Ryanair: Datenschutzuntersuchung eröffnet
Manche Ryanair-Kunden müssen sich nach der Buchung von Flügen einer Gesichtserkennung unterziehen. Die irische Datenschutzbehörde prüft, ob das erlaubt ist.
Ob die irische Billig-Airline Ryanair von ihren Kunden biometrische Verifizierung verlangen durfte, untersucht jetzt die irische Datenschutzkommission (Data Protection Commission, DPC). Sie prüft nach eigenen Angaben, ob die von Ryanair genutzte Gesichtserkennung konform mit dem geltenden Recht der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) ist.
Die Untersuchung bezieht sich auf die Verifizierungsverfahren für Kunden, die ihre Ryanair-Flüge auf externen Webseiten oder Online-Reiseportalen gebucht haben. Hier hatten die Datenschützer zahlreiche Beschwerden von Kunden erreicht, die im Nachhinein ihre Identität bei Ryanair bestätigen mussten, sagte der Deputy Commissioner der DPC, Graham Doyle, am Freitag.
Gesichtserkennung rechtens?
Dabei sei auch Gesichtserkennung mit Nutzung biometrischer Daten zum Einsatz gekommen. Nun werde geprüft, ob die von Ryanair angewandten Überprüfungsmethoden mit der Datenschutz-Grundverordnung vereinbar sind.
Die Untersuchung wurde von den Datenschutzkommissaren Dr. Des Hogan und Dale Sunderland angeordnet und beruht auf Abschnitt 110 des Data Protection Act 2018. Die DPC soll dabei grenzübergreifend – nicht nur im irischen Raum – prüfen, ob Ryanair seinen Verpflichtungen im Rahmen der DSGVO, einschließlich der Rechtmäßigkeit und Transparenz der Datenverarbeitung, nachgekommen ist.
Lesen Sie auch
EU-Kommission: Milliarden-Beihilfen für Air France-KLM waren rechtens
Biometrische Verifizierung: Online-Reisebüros werfen Ryanair DSGVO-Verstoß vor
Keine Mail mit Bombendrohung: UN-Vorwürfe an Belarus nach Flugzeugumleitung
Internet im Flugzeug: Wo und wie das Surfen über den Wolken möglich ist
Ryanair will mit Biokerosin zur CO₂-Neutralität fliegen
Airline äußert sich
Zur aktuellen DPC-Untersuchung äußerte sich die Airline am Freitag. Die Pressestelle von Ryanair teilte Heise Online mit, dass die Airline die DPC-Untersuchung ihrer Methoden zur Buchungsverifizierung, wie beispielsweise Gesichtserkennung, grundsätzlich begrüßt.
Ryanair betonte, dass die zusätzlichen Verifizierungs-Maßnahmen dazu dienen, Kunden vor den "wenigen verbliebenen" nicht zugelassenen Online-Reiseportalen, auch genannt Online Travel Agents (OTA) zu schützen. Diese würden laut Ryanair gefälschte Kundenkontakt- und Zahlungsdaten angeben, um die Tatsache zu verschleiern, dass sie überhöhte Preise verlangen und die Verbraucher betrügen.
Keine genaueren Angaben
Kunden, die über diese nicht-autorisierten OTAs buchen, müssen laut der Airline ein "einfaches Verifizierungsverfahren durchlaufen" – entweder biometrisch oder über ein digitales Verifizierungsformular – das in beiden Fällen vollständig mit der DSGVO übereinstimme.
Durch diese Überprüfung wolle Ryanair sicherstellen, dass diese Reisenden die erforderlichen Sicherheitserklärungen abgeben und direkt alle Sicherheits- und Regulierungsprotokolle erhalten, die auf Reisen gesetzlich vorgeschrieben sind.
Ryanair verweist auf OTA-Partner
Offenbar handelt es sich aber nicht um "wenige verbliebene" OTAs wie zunächst von Ryanair angegeben. Auf weitere Nachfrage, welche damit genau gemeint seien, spricht Ryanair explizit von eDreams oder Booking.com, mit denen die Airline keine Partnerschaften habe. Angesichts der zahlreichen OTAs auf dem Markt sei es aber einfacher, nur auf die 15 OTAs zu verweisen, mit denen Ryanair eine Partnerschaft unterhalte, unter anderem TUI, Kiwi und Expedia, ergänzt Ryanair.
Ob das bedeute, dass Ryanair die Kunden aller anderen OTAs zu biometrischen Verifizierungsmaßnahmen zwinge, stellte das Unternehmen am Freitag nicht mehr klar.
Beschwerden auch in Spanien, Belgien und Frankreich
Und nicht nur bei der irischen DPC gibt es Beschwerden über Ryanairs Verifizierungs-Praktiken: Auch der Verband EU Travel Tech, dem Firmen wie Airbnb, Booking.com, eDreams, Expedia und Skyscanner angehören, beschwerte sich im Mai bei den französischen und belgischen Datenschutzbehörden darüber.
Die Billigfluggesellschaft fordert von ihnen seit Dezember 2023, Passagiere ohne Kundenkonto bei Ryanair mit automatisierter Gesichtserkennung und Ausweisdaten zu verifizieren. Betroffen sind also vor allem Kunden, die ihren Flug über ein Online-Reisebüro buchen. EU Travel Tech verwies dabei ebenfalls auf die DSGVO und warnte: Kompromittierte Daten könnten "nicht mehr widerrufen oder geändert werden".
Vorwurf: Schikane von Kunden
Auch die Bürgerrechtsorganisation Noyb hatte im Juli 2023 eine Beschwerde gegen den Zwang zur Gesichtserkennung bei einer Kundin des Portals eDreams eingelegt. Sie war nach ihrer Buchung eines Ryanair-Fluges über eDreams zu einer kostenpflichtigen Verifizierung von Ryanair gezwungen worden.
Aus der Sicht von Noyb sei das aber gar nicht notwendig, weil die Airline bereits alle notwendigen Informationen habe, um illegale Praktiken auszuschließen. In Wirklichkeit wolle die Airline einfach nur "das Leben von Reisenden und Konkurrenten komplizierter zu machen, um den eigenen Gewinn zu steigern".
Ryanair dagegen pochte 2023 auf den Schutz von Kunden vor Phishing, Kontenmissbrauch, dubiosen Online-Reisevermittlern und anderen Betrügern.
(nen)