Datenschutzbeschwerde gegen Ryanair wegen Gesichtsscans
Ryanair steht zurzeit im Mittelpunkt datenschutzrechtlicher Kritik. Die irische Billigfluggesellschaft zwinge Neukunden, nicht nur ein Konto zu eröffnen, sondern sich auch einem umstrittenen Verifizierungsverfahren zu unterziehen – häufig in Form eines Gesichtsscans. Dieser Ansatz werfe erhebliche Fragen hinsichtlich der Einhaltung der Datenschutzgrundverordnung (DSGVO) auf. Noyb, eine Bürgerrechtsorganisation für Datenschutz, hat deshalb am 19.12.2024 eine Beschwerde gegen Ryanair wegen dieser Gesichtsscans eingereicht.
Verpflichtende Konten bei Ryanair
Ryanair-Kunden müssen ein dauerhaftes Benutzerkonto erstellen, um einen Flug direkt bei der Fluglinie buchen zu können. Anderen Airlines wie Lufthansa oder EasyJet verlangen solche Maßnahmen nicht. Noyb argumentiert, dass dies zeige, dass eine Kontoanlegung für die Flugbuchung gar nicht erforderlich sei. Nach Art. 5 Abs. 1 lit. c DSGVO dürfen personenbezogene Daten nur verarbeitet werden, wenn dies erforderlich ist. Noyb wirft dem Unternehmen vor, gegen diesen sogenannten Datenminimierungsgrundsatz zu verstoßen.
Verifizierung durch Gesichtserkennung
Daneben müssen sich Kunden bevor sie die Reise antreten können verifizieren. Für den Prozess stehen theoretisch zwei Auswahlmöglichkeiten zur Verfügung. Zwar können Reisende auch die Möglichkeit der Abgabe einer handschriftlichen Signatur und einer Ausweiskopie wählen, allerdings „drängt Ryanair die Menschen […] zu einem vorausgewählten und höchst invasiven Gesichtserkennungsverfahren“, so noyb. Die Alternativvariante stelle eine Hürde für Kunden dar, weshalb die Freiwilligkeit der Entscheidung entfalle. Grund für diese Geschäftspraxis sei laut noyb die Bestrebung, Wettbewerbsvorteile zu erlange.
Risiken biometrischer Datenverarbeitung
Eine solche biometrische Gesichtserkennung wird von vielen als besonders invasiv angesehen, weshalb auch aus datenschutzrechtlicher Sicht hohe Hürden bestehen. Allgemein gehören biometrische Daten, wie sie durch Gesichtsscans gesammelt werden, zu den besonders geschützten Datenkategorien aus Art. 9 DSGVO. Felix Mikolasch, Datenschutzjurist bei noyb, sieht in dieser Geschäftspraxis eine Missachtung der gesetzlichen Verpflichtung. Er meint weiter: „Ryanair zwingt Kund:innen rechtswidrig dazu ihre hochsensiblen biometrischen Daten verarbeiten zu lassen“.
Datenschutzbeschwerde bei der italienischen Aufsichtsbehörde
noyb hat nun eine Datenschutzbeschwerde gegen Ryanair wegen der Gesichtsscans bei der italienischen Datenschutzbehörde (Garante) eingereicht. Die Vorwürfe beziehen sich auf Verstöße gegen die Prinzipien der Datenminimierung und Zweckbindung sowie die fehlende Freiwilligkeit der Einwilligung. Sollten sich die Vorwürfe bestätigen, drohe Ryanair laut noyb eine Strafe von bis zu 431 Millionen Euro, basierend auf einem Jahresumsatz von 10 Milliarden Euro im Jahr 2023.
Fazit
Meldungen wie die über die Beschwerde zu Ryanair werfen ein Schlaglicht auf die Bedeutung eines konsequenten Datenschutzes. Gesichtsscans und die verpflichtende Anlegung von Benutzerkonten können im Konflikt zu den Prinzipien der DSGVO stehen. Es bleibt nun zunächst abzuwarten, wie die italienische Datenschutzbehörde reagiert und den Fall einordnet. Fest steht jedoch auch schon jetzt: Die Missachtung von Datenschutz aus Wettbewerbs- oder Wirtschaftsinteressen ist langfristig weder in Anbetracht des Aufbaus eines loyalen Kundenstamms noch aus finanzieller Sicht aufgrund möglicher Bußgelder und Schadensersatzforderungen zu empfehlen.