Es ist eine äußerst umstrittene Praxis, zu der die Billigfluglinie Ryanair einen Teil seiner Kundschaft zwingt. Wer über externe Plattformen einen Flug bucht, wird zum Teil zu einer "Verifizierung" der eigenen Identität gezwungen. Das nicht nur in Form des Hochladen eines Ausweises, sondern auch gleich verbunden mit einer Gesichtserkennung. Die indirekt davon betroffenen Online-Reiseplattformen wollen sich das nun nicht mehr länger gefallen lassen.

Beschwerde

Der Branchenverband EU Travel Tech, zu dem unter anderen Booking.com, Expedia, eDreams oder auch Airbnb gehörten, hat bei den französischen und belgischen Datenschutzbehörden Beschwerde gegen Ryanair eingereicht. Seit Dezember 2023 werde man von der Billigfluglinie dazu gezwungen, eine automatisierte Gesichtserkennung der Buchenden durchzuführen.

Wer mit Ryanair fliegt, wird zum Teil zu Gesichtserkennung gezwungen – je nachdem, wo man bucht.
IMAGO/Nicolas Economou

"Dieses Verfahren verletzt nicht nur die Privatsphäre des Einzelnen, sondern wirft auch erhebliche rechtliche Bedenken im Sinne der Datenschutz-Grundverordnung (DSGVO) auf", kritisiert der Verband. Die Sammlung biometrischer Daten gehe mit erheblichen Risiken einher, die in keinem Verhältnis zum Nutzen stünden. Dabei erinnert man daran, dass biometrische Daten nicht geändert werden können; seien sie einmal kompromittiert, bringe das unweigerlich große Gefahren bis hin zum Identitätsdiebstahl mit sich.

Aus diesem Grund ruft der Branchenverband die Behörden nun dazu auf, diese Praxis umgehend zu untersagen. Dazu soll nach Artikel 66 der DSGVO ein Dringlichkeitsverfahren geführt werden, um nicht auf die irische Entscheidung warten zu müssen.

Vorgeschichte

Es ist auch nicht das erste Mal, dass Ryanair wegen dieser Praxis unter Beschuss gerät. Bereits im vergangenen Juli hat die österreichische Datenschutz-NGO Noyb Beschwerde bei der spanischen Datenschutzbehörde eingereicht. Anlass war, dass Ryanair eine Kundin, die via Edreams gebucht hat, zu einer Verifizierung mit biometrischen Daten gezwungen hat.

Schon damals vermutete Noyb, dass es der Fluglinie gar nicht um die Verifizierung seiner Kundinnen und Kunden geht: "Der wahre Zweck des Verifizierungsprozesses scheint darin zu bestehen, Kundinnen und Kunden an der Flugbuchung über Onlinereisebüros zu hindern", gab sich die Datenschutz-NGO überzeugt. Bei Ryanair beharrt man hingegen darauf, dass es rein um den "Schutz der Kunden" gehe. Dort bezeichnet man Onlinereisebüros nämlich wörtlich als "Piraten".

Diese würden nämlich Ryanair-Informationen auslesen, was einen Akt der Piraterie darstellte, wie Ryanair in einer Stellungnahme gegenüber dem STANDARD erklärte. "Diese unrechtmäßig erlangten Daten werden genutzt, um ahnungslose Verbraucher zu täuschen und zu betrügen, indem sie unsere Flüge und Zusatzleistungen mit versteckten Aufschlägen und grob überhöhten Preisen falsch verkaufen und uns gefälschte Kundenkontaktinformationen und Zahlungsdetails zur Verfügung stellen, was bedeutet, dass wir nicht sicherstellen können, dass die Fluggäste über die Flug- und Sicherheitsprotokolle informiert sind oder den Fluggast direkt bezüglich wichtiger Fluginformationen können", so das Statement des Unternehmens.

Langsames Handeln

Bei EU Travel Tech zeigt man sich in dem Zusammenhang auch verärgert darüber, wie langsam die Datenschutzbehörden arbeiten. Der von Noyb eingebrachte Fall sei nämlich mittlerweile zur irischen Datenschutzbehörde verschoben worden, da dort der Firmensitz von Ryanair ist. Ob sich dort schon irgendetwas getan habe, sei komplett unklar. Das werfe grundlegende Fragen dazu auf, ob die DSGVO überhaupt effektiv umgesetzt werden könne. (apo, 23.5.2024)