Die irische Datenschutzbehörde (DPC) hat eine Untersuchung über die Verarbeitung personenbezogener Daten durch Ryanair im Rahmen des Verifizierungsprozesses von Kunden eingeleitet. Dabei geht es laut einer Mitteilung um Daten, die bei der Flugbuchung über Websites von Dritten oder von Online-Reisebüros eingefordert werden. Wenn Kundinnen und Kunden über diese einen Flug buchen, werden zusätzliche Identitätsüberprüfungen verlangt. Die Behörde habe deswegen aus mehreren Ländern Beschwerden erhalten.
Die DPC ist zuständig, wenn eine grenzüberschreitende Verarbeitung von betroffenen Personen aus dem EU- oder EWR-Raum stattfindet und ein Unternehmen seinen Hauptsitz in Irland hat.
Biometrische Daten stellen ein besonderes Risiko dar
Bei Buchungen über Drittseiten müssen sich Reisende speziell verifizieren. Dies wird nicht von den Drittunternehmen, sondern von Ryanair selbst verlangt. Dabei kommt unter anderem Gesichtserkennung zum Einsatz. Man wolle untersuchen, ob die Methoden mit der DSGVO vereinbar seien, heisst es in der Mitteilung der irischen Behörde.
Denn die Facial-Recognition-Technologie bringe erhöhte Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich. Dementsprechend müsse der Einsatz solcher Technologien und die möglichen Auswirkungen auf betroffene Personen sorgfältig geprüft werden, merkt die DPC an.
Beschwerden von Branchenverband sowie von Noyb
Die Datenschutzorganisation Noyb hat deswegen bereits im Sommer 2023 bei der spanischen Datenschutzbehörde eine Beschwerde gegen Ryanair eingereicht. Das Argument der Verifizierung sei fadenscheinig. Die Airline habe schon alle relevanten Daten, auf der eigenen Website werde die zusätzliche Verifizierung nicht verlangt.
Zudem lagere Ryanair den Verifizierungsprozess an ein externes Unternehmen namens GetID aus. "Kundinnen und Kunden müssen ihre biometrischen Daten also einem Unternehmen anvertrauen, von dem sie noch nie gehört und mit dem sie keinen Vertrag abgeschlossen haben", kritisierte die Datenschutzorganisation.
Im Mai 2024 folgte eine Beschwerde bei den französischen und belgischen Datenschutzbehörden vom Branchenverband EU Travel Tech, zu dem unter anderen Booking, Expedia, eDreams und Airbnb gehören.
"Langsames Tempo" beim Verfahren
Das Verfahren von Ryanair verletze nicht nur die Privatsphäre des Einzelnen, sondern werfe auch erhebliche rechtliche Bedenken im Sinne der DSGVO auf, kritisierte EU Travel Tech.
"Darüber hinaus bringen wir unsere tiefe Besorgnis über das langsame Tempo der Ermittlungsverfahren zum Ausdruck", so die Mitteilung des Branchenverbandes, vor allem wenn man bedenke, dass Noyb bereits im Juli 2023 eine Beschwerde eingereicht hatte.