Fragwürdige Gesichtserkennung bei Ryanair: Datenschutzuntersuchung eröffnet

Manche Ryanair-Kunden müssen sich nach der Buchung von Flügen einer Gesichtserkennung unterziehen. Die irische Datenschutzbehörde prüft, ob das erlaubt ist.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Eine Ryanair-Maschine steht auf dem Rollfeld.

In den Flieger geht es für manche Kunden nur nach einem Gesichtserkennungs-Check: Eine Datenschutzuntersuchung soll klären, ob Ryanair das von seinen Kunden verlangen darf.

(Bild: Renatas Repcinskas/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Ob die irische Billig-Airline Ryanair von ihren Kunden biometrische Verifizierung verlangen durfte, untersucht jetzt die irische Datenschutzkommission (Data Protection Commission, DPC). Sie prüft nach eigenen Angaben, ob die von Ryanair genutzte Gesichtserkennung konform mit dem geltenden Recht der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) ist.

Die Untersuchung bezieht sich auf die Verifizierungsverfahren für Kunden, die ihre Ryanair-Flüge auf externen Webseiten oder Online-Reiseportalen gebucht haben. Hier hatten die Datenschützer zahlreiche Beschwerden von Kunden erreicht, die im Nachhinein ihre Identität bei Ryanair bestätigen mussten, sagte der Deputy Commissioner der DPC, Graham Doyle, am Freitag.

Dabei sei auch Gesichtserkennung mit Nutzung biometrischer Daten zum Einsatz gekommen. Nun werde geprüft, ob die von Ryanair angewandten Überprüfungsmethoden mit der Datenschutz-Grundverordnung vereinbar sind.

Die Untersuchung wurde von den Datenschutzkommissaren Dr. Des Hogan und Dale Sunderland angeordnet und beruht auf Abschnitt 110 des Data Protection Act 2018. Die DPC soll dabei grenzübergreifend – nicht nur im irischen Raum – prüfen, ob Ryanair seinen Verpflichtungen im Rahmen der DSGVO, einschließlich der Rechtmäßigkeit und Transparenz der Datenverarbeitung, nachgekommen ist.

Zur aktuellen DPC-Untersuchung äußerte sich die Airline am Freitag. Die Pressestelle von Ryanair teilte Heise Online mit, dass die Airline die DPC-Untersuchung ihrer Methoden zur Buchungsverifizierung, wie beispielsweise Gesichtserkennung, grundsätzlich begrüßt.

Ryanair betonte, dass die zusätzlichen Verifizierungs-Maßnahmen dazu dienen, Kunden vor den "wenigen verbliebenen" nicht zugelassenen Online-Reiseportalen, auch genannt Online Travel Agents (OTA) zu schützen. Diese würden laut Ryanair gefälschte Kundenkontakt- und Zahlungsdaten angeben, um die Tatsache zu verschleiern, dass sie überhöhte Preise verlangen und die Verbraucher betrügen.

Kunden, die über diese nicht-autorisierten OTAs buchen, müssen laut der Airline ein "einfaches Verifizierungsverfahren durchlaufen" – entweder biometrisch oder über ein digitales Verifizierungsformular – das in beiden Fällen vollständig mit der DSGVO übereinstimme.

Durch diese Überprüfung wolle Ryanair sicherstellen, dass diese Reisenden die erforderlichen Sicherheitserklärungen abgeben und direkt alle Sicherheits- und Regulierungsprotokolle erhalten, die auf Reisen gesetzlich vorgeschrieben sind.

Offenbar handelt es sich aber nicht um "wenige verbliebene" OTAs wie zunächst von Ryanair angegeben. Auf weitere Nachfrage, welche damit genau gemeint seien, spricht Ryanair explizit von eDreams oder Booking.com, mit denen die Airline keine Partnerschaften habe. Angesichts der zahlreichen OTAs auf dem Markt sei es aber einfacher, nur auf die 15 OTAs zu verweisen, mit denen Ryanair eine Partnerschaft unterhalte, unter anderem TUI, Kiwi und Expedia, ergänzt Ryanair.

Ob das bedeute, dass Ryanair die Kunden aller anderen OTAs zu biometrischen Verifizierungsmaßnahmen zwinge, stellte das Unternehmen am Freitag nicht mehr klar.

Und nicht nur bei der irischen DPC gibt es Beschwerden über Ryanairs Verifizierungs-Praktiken: Auch der Verband EU Travel Tech, dem Firmen wie Airbnb, Booking.com, eDreams, Expedia und Skyscanner angehören, beschwerte sich im Mai bei den französischen und belgischen Datenschutzbehörden darüber.

Die Billigfluggesellschaft fordert von ihnen seit Dezember 2023, Passagiere ohne Kundenkonto bei Ryanair mit automatisierter Gesichtserkennung und Ausweisdaten zu verifizieren. Betroffen sind also vor allem Kunden, die ihren Flug über ein Online-Reisebüro buchen. EU Travel Tech verwies dabei ebenfalls auf die DSGVO und warnte: Kompromittierte Daten könnten "nicht mehr widerrufen oder geändert werden".

Auch die Bürgerrechtsorganisation Noyb hatte im Juli 2023 eine Beschwerde gegen den Zwang zur Gesichtserkennung bei einer Kundin des Portals eDreams eingelegt. Sie war nach ihrer Buchung eines Ryanair-Fluges über eDreams zu einer kostenpflichtigen Verifizierung von Ryanair gezwungen worden.

Aus der Sicht von Noyb sei das aber gar nicht notwendig, weil die Airline bereits alle notwendigen Informationen habe, um illegale Praktiken auszuschließen. In Wirklichkeit wolle die Airline einfach nur "das Leben von Reisenden und Konkurrenten komplizierter zu machen, um den eigenen Gewinn zu steigern".

Ryanair dagegen pochte 2023 auf den Schutz von Kunden vor Phishing, Kontenmissbrauch, dubiosen Online-Reisevermittlern und anderen Betrügern.

(nen)