noyb hat heute eine DSGVO-Beschwerde gegen Ryanair eingebracht. Will man auf der Website der Airline einen Flug buchen, muss man nicht bloß ein Konto erstellen. Neukund:innen müssen außerdem einen “Verifizierungsprozess” durchlaufen, der für viele mit einem invasiven Gesichtsscan verbunden ist. Es gibt keine vernünftige Rechtfertigung für ein solches System. Stattdessen scheint Ryanair das Recht auf Datenschutz seiner Kundschaft zu verletzen, um die eigene Marktmacht zu vergrößern. Dies ist schon die zweite noyb-Beschwerde gegen diese Praxis. Obwohl bereits ein Beschwerdeverfahren gegen diese Praxis läuft, zwingt Ryanair jetzt noch mehr Menschen zur Verifizierung.
- Beschwerde bei der italienischen Datenschutzbehörde (EN)
- Beschwerde bei der italienischen Datenschutzbehörde (IT)
- Vorherige Beschwerde gegen Ryanair
Ryanair führt “Zwangskonten” ein. Wer einen Flug auf der Website oder in der App von Ryanair buchen möchte, muss ein dauerhaftes Konto erstellen. Das bedeutet häufig, dass Daten kombiniert und gespeichert werden, bis das Konto gelöscht wird. Dazu kommt es in der Regel aber nie. In Wirklichkeit ist ein solches Konto außerdem gar nicht notwendig, um einen Flug zu buchen. Airlines wie Lufthansa, EasyJet, Air France und Norwegian verlangen beispielsweise keinen Account für die Flugbuchung. Tatsächlich verstoßen Ryanair’s “Zwangskonten” gegen das DSGVO-Prinzip der Datenminimierung. Gemäß Artikel 5(1)(c) DSGVO dürfen persönliche Daten nur verarbeitet werden, wenn dies erforderlich ist. Ryanair erfüllt diese Anforderung nicht.
Obligatorische und verwirrende Verifizierung. Erzwungene Konten sind Ryanair aber nicht genug. Bevor Kund:innen mit der Airline fliegen können, müssen sie auch einen obligatorischen “Verifizierungsprozess” durchlaufen. Dieser bietet theoretisch zwei Optionen. In Wirklichkeit drängt Ryanair die Menschen aber zu einem vorausgewählten und höchst invasiven Gesichtserkennungsverfahren. Dabei sind biometrische Daten durch das EU-Recht besonders geschützt. Europäische Datenschutzbehörden weisen sogar darauf hin, dass Gesichtserkennung „inakzeptabel hohe Risiken“ für Menschen bergen kann.
Felix Mikolasch, Datenschutzjurist bei noyb: “Wir alle wissen, dass Ryanair ein Meister der nervigen und irreführenden Gestaltung von Websites ist. Aber wenn es um die Nutzung persönlicher Daten von Menschen geht, muss sich die Fluggesellschaft genauso an Gesetze halten wie alle anderen.”
Kein Gesichtsscan – keine schnelle Flugbuchung. Wollen Kund:innen nicht, dass ihre biometrischen Daten verarbeitet werden, müssen sie Ryanair zur Verifizierung stattdessen eine handschriftliche Signatur und eine Ausweiskopie schicken. Damit erzeugt die Airline eine zusätzliche Hürde für all jene Menschen, die die Verwendung ihrer biometrischen Daten ablehnen wollen. Das beraubt Kund:innen ihrer freien Wahl – und zeigt, dass Ryanair nicht die DSGVO-Anforderungen an eine freie Einwilligung erfüllt.
Felix Mikolasch, Datenschutzjurist bei noyb: “Ryanair drängt seine Kund:innen rechtswidrig dazu, ihre hochsensiblen biometrischen Daten verarbeiten zu lassen. Die Airline missachtet dabei völlig ihre gesetzlichen Verpflichtungen. Es gibt keinen guten Grund, warum Ryanair eine solche Verifizierung benötigt. Andere Airlines verlangen auch keinen Gesichtsscan, um ein Ticket zu kaufen.”
Konkurrenzkampf auf Kosten der Kundschaft. In Wirklichkeit scheint die Verifizierung darauf abzuzielen, Online-Reisebüros an der Erstellung von Konten – und dem darauffolgenden Weiterverkauf von Ryanair-Flügen zu hindern. Buchen Kund:innen ihren Flug auf einer anderen Website, geben sie bei Ryanair kein zusätzliches Geld für Hotels, Versicherungen, Flughafentransfers oder Mietwagen aus. In dieser Hinsicht stehen Ryanair und Online-Reisebüros also in Konkurrenz. Leider setzt die Airline in diesem Wettkampf die Privatsphäre ihrer Kund:innen aufs Spiel.
Beschwerde in Italien eingereicht. noyb hat nun eine Beschwerde bei der italienischen Garante eingebracht. Indem Ryanair seine Kund:innen zur Accounterstellung zwingt, verstößt es gegen den Grundsatz der Datenminimierung gemäß Artikel 5(1)(c) DSGVO. Darüber hinaus verstößt die obligatorische Verifizierung gegen den Grundsatz der Zweckbindung laut Artikel 5(1)(b). Nicht zuletzt erfüllt Ryanair die Anforderungen an eine freiwillige Einwilligung (Artikel 6 und 9 DSGVO) nicht. Ausgehend von Ryanairs Umsatz ihn Höhe von €10 Milliarden in 2023 könnte die Datenschutzbehörde eine administrative Strafe in Höhe von bis zu €431 Millionen Euro verhängen.
