Garante: Rechtswidriges Faceboarding am Flughafen

Die italienische Datenschutzaufsichtsbehörde („Garante per la protezione dei dati personali“) hat mit Entscheidung vom 12. März 2026 ein deutliches Signal gegen den Einsatz zentralisierter Gesichtserkennungssysteme im Flughafenbetrieb gesetzt. Im Mittelpunkt stand das biometrische „FaceBoarding“-System des Flughafens Mailand-Linate, das Passagieren einen schnelleren Zugang zu Sicherheitskontrollen und Boarding-Gates ermöglichen sollte.

Die Entscheidung zeigt einmal mehr: Der Einsatz biometrischer Technologien bleibt datenschutzrechtlich hochsensibel – insbesondere dann, wenn biometrische Daten zentral gespeichert und verarbeitet werden.

Worum ging es bei „FaceBoarding“?

Das von der Flughafenbetreiberin SEA eingesetzte System ermöglichte es Passagieren, sich freiwillig mittels Gesichtserkennung zu registrieren. Nach einem Enrollment-Prozess – entweder über Terminals im Flughafen oder über eine mobile App – konnten registrierte Nutzer bestimmte Kontrollbereiche automatisiert passieren.

Hierfür wurden biometrische Templates der Gesichter erstellt und verarbeitet. Ziel war insbesondere eine Beschleunigung der Abläufe sowie eine Verbesserung der Nutzererfahrung und Sicherheitskontrollen.

Problematisch war jedoch vor allem die technische Architektur des Systems: Die biometrischen Templates wurden zentral auf Servern der Flughafenbetreiberin gespeichert.

Orientierung an der EDPB Opinion 11/2024

Die italienische Behörde stützte ihre Bewertung maßgeblich auf die „Opinion 11/2024“ des Europäischen Datenschutzausschusses (EDPB) zum Einsatz von Gesichtserkennung im Flughafenbereich.

Der EDPB unterscheidet dort verschiedene technische Szenarien. Als datenschutzrechtlich zulässig bewertet werden insbesondere Modelle, bei denen die biometrischen Daten ausschließlich unter Kontrolle der betroffenen Person verbleiben – etwa lokal auf dem Gerät des Nutzers oder verschlüsselt mit einem ausschließlich dem Nutzer bekannten Schlüssel.

Kritisch bewertet der EDPB hingegen Systeme mit zentralisierter Speicherung biometrischer Daten unter Kontrolle des Betreibers. Genau in diese Kategorie fiel nach Auffassung der Behörde das FaceBoarding-System von SEA.

Welche Datenschutzverstöße sah die Behörde?

Die italienische Aufsichtsbehörde stellte mehrere Verstöße gegen die DSGVO fest.

Besonders kritisch bewertete die italienische Datenschutzbehörde die zentrale Speicherung der biometrischen Templates durch den Flughafenbetreiber SEA. Nach Auffassung der Behörde hatten die Nutzer dadurch keine ausschließliche Kontrolle über ihre biometrischen Daten. Eine solche zentralisierte Systemarchitektur erhöhe das Risiko von Datenlecks, unbefugten Zugriffen, Identitätsdiebstahl sowie einer missbräuchlichen Weiterverarbeitung biometrischer Informationen erheblich. Gerade biometrische Daten unterliegen nach der DSGVO besonders strengen Schutzanforderungen, da sie dauerhaft mit der Identität einer Person verknüpft sind und – anders als Passwörter – nicht ohne Weiteres geändert werden können.

Zusätzlich beanstandete die Aufsicht die unzureichenden Sicherheitsmaßnahmen des Systems. Die biometrischen Templates wurden zunächst nicht verschlüsselt gespeichert. Zwar verwies SEA auf verschiedene technische Schutzmaßnahmen wie die Trennung einzelner Datenbanken und weitere Sicherheitsvorkehrungen, dies hielt die Behörde angesichts der Sensibilität der Daten und der zentralisierten Speicherung jedoch nicht für ausreichend. Die Entscheidung verdeutlicht damit erneut die hohen Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 DSGVO beim Einsatz biometrischer Verfahren.

Kritisch bewertet wurden außerdem die Speicherfristen der biometrischen Daten. Im Rahmen eines sogenannten „Langzeitprogramms“ konnten die Daten bis zu zwölf Monate gespeichert werden. Nach Auffassung der Behörde verstieß dies gegen den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO, da mit zunehmender Speicherdauer auch die Risiken für die betroffenen Personen steigen.

Datenschutzrechtlich besonders relevant war zudem, dass selbst Passagiere, die sich nicht aktiv für das FaceBoarding-System registriert hatten, beim Passieren sogenannter „hybrider Gates“ kurzfristig biometrisch erfasst wurden. Dabei wurden Gesichtsbilder verarbeitet und biometrische Templates erstellt – wenn auch nur für sehr kurze Zeiträume. Die Behörde stellte klar, dass bereits eine derart kurzfristige Verarbeitung biometrischer Daten eine tragfähige Rechtsgrundlage erfordert. Eine bloße Beschilderung oder eine schnelle Löschung der Daten genüge hierfür nicht.

Darüber hinaus beanstandete die Datenschutzbehörde die Datenschutzhinweise des Systems. Diese vermittelten den Eindruck, die biometrischen Daten würden ausschließlich auf den Endgeräten der Nutzer gespeichert. Tatsächlich erfolgte jedoch eine zentrale Speicherung bei SEA. Die Entscheidung unterstreicht damit erneut die Bedeutung transparenter, zutreffender und technisch korrekter Datenschutzinformationen – insbesondere bei komplexen biometrischen Verarbeitungssystemen.

Welche Folgen hatte die Entscheidung?

Das FaceBoarding-System wurde bereits im September 2025 vorläufig gestoppt. Zudem löschte SEA sämtliche biometrischen Daten aus den Systemen.

Die italienische Datenschutzbehörde erklärte die Verarbeitung schließlich offiziell für rechtswidrig und stellte Verstöße gegen mehrere Vorschriften der DSGVO fest, insbesondere gegen:

• Art. 5 DSGVO,
• Art. 6 DSGVO,
• Art. 13 DSGVO,
• Art. 25 DSGVO („Privacy by Design“),
• sowie Art. 32 DSGVO.

Deutliche Position des Europäischen Datenschutzausschusses (EDSA)

Die Entscheidung der italienischen Datenschutzbehörde steht zudem im direkten Zusammenhang mit der bereits im Mai 2024 veröffentlichten Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zum Einsatz von Gesichtserkennungssystemen an Flughäfen. Der EDSA hatte dort ausdrücklich betont, dass biometrische Daten besonders sensibel seien und ihre Verarbeitung erhebliche Risiken für Betroffene mit sich bringe – etwa Diskriminierung, Fehlidentifikationen oder Identitätsbetrug.

Besonders deutlich formulierte der EDSA dabei den datenschutzrechtlichen Leitgedanken: Betroffene sollten „die größtmögliche Kontrolle über ihre eigenen biometrischen Daten haben“. Gleichzeitig forderte der Ausschuss Flughafenbetreiber und Fluggesellschaften dazu auf, nach Möglichkeit weniger eingriffsintensive Verfahren zur Optimierung des Passagierflusses einzusetzen.

Der EDSA stellte außerdem klar, dass ausschließlich solche Speicherlösungen datenschutzrechtlich in Betracht kommen könnten, bei denen:

• biometrische Daten ausschließlich beim Nutzer verbleiben oder
• zentrale Speicherungen nur dann erfolgen, wenn ausschließlich die betroffene Person über den Entschlüsselungsschlüssel verfügt.

Zentralisierte Datenbanken ohne ausschließliche Kontrolle der betroffenen Person über die biometrischen Daten seien dagegen regelmäßig nicht mit den Anforderungen der DSGVO – insbesondere „Privacy by Design“ und den Sicherheitsanforderungen nach Art. 32 DSGVO – vereinbar.

Fazit: Hohe Hürden für biometrische Identifikationssysteme

Die Entscheidung zeigt eindrucksvoll, dass biometrische Identifikationssysteme in Europa nur unter sehr engen datenschutzrechtlichen Voraussetzungen zulässig sind. Insbesondere zentralisierte Architekturen mit Speicherung biometrischer Templates bei Betreibern stehen zunehmend unter regulatorischem Druck.

Unternehmen, die Gesichtserkennung oder andere biometrische Verfahren einsetzen möchten, sollten frühzeitig prüfen,

• ob eine tragfähige Rechtsgrundlage vorliegt,
• wie „Privacy by Design“ technisch umgesetzt werden kann,
• welche Speicher- und Sicherheitskonzepte erforderlich sind,
• und ob die gewählte Systemarchitektur überhaupt mit den europäischen Datenschutzanforderungen vereinbar ist.

Unsere Kanzlei berät Unternehmen umfassend zu datenschutzrechtlichen Anforderungen beim Einsatz biometrischer Technologien, KI-gestützter Identifikationssysteme und sensibler Datenverarbeitungen – von der Datenschutz-Folgenabschätzung bis zur Kommunikation mit Aufsichtsbehörden.