Europas größte Airline fordert einen Teil ihrer Kunden zur Durchführung eines invasiven „Verifizierungsprozesses“ samt Gesichtserkennung auf – allerdings nur dann, wenn sie ihren Flug über die Webseite eines Online-Reisebüros buchen. Ryanair scheint bereitwillig das Recht auf Datenschutz ihrer Kunden zu verletzen, um sich einen Wettbewerbsvorteil zu verschaffen.
Kein Urlaub ohne invasive Verifizierung. Nachdem die Beschwerdeführerin einen Ryanair-Flug über das Online-Reisebüro eDreams gebucht hatte, wurde sie in einer E-Mail von Ryanair aufgefordert, einen „Verifizierungsprozess“ durchzuführen. Sie wurde dabei vor die Wahl gestellt, sich entweder mithilfe von Gesichtserkennung zu verifizieren – oder mehr als zwei Stunden vor Abflug zum Check-in-Schalter am Flughafen zu gehen. Hätte sich die Beschwerdeführerin geweigert, diesen Anweisungen zu folgen, hätte sie den Flug nicht antreten können. Ihr wurde sogar eine kleine Gebühr für den „Verifizierungsprozess“ verrechnet.
Eine fragwürdige Rechtfertigung. Laut Ryanair soll das Verfahren angeblich bei der Überprüfung der Kontaktangaben der Kunden helfen. In Wirklichkeit verfügt die Airline aber schon über alle relevanten Informationen. Außerdem verlangt Ryanair keine biometrischen Scans, wenn man direkt über die Ryanair-Webseite bucht. Der Zweck von Gesichtserkennungssystemen ist die Verifizierung von Gesichtern, nicht von E-Mail-Adressen.
Romain Robert, Program Director bei der Verbraucherschutzorganisation noyb: „Ryanair hat bereits die richtigen Kontaktdaten, sonst könnten sie den Link zum „Verifizierungsprozess“ gar nicht verschicken. Eine Verifizierung von Kontaktdaten mittels biometrischer Daten macht außerdem wenig Sinn. Meine E-Mail-Adresse ist nicht auf meinem Gesicht oder Pass abgedruckt. Ryanairs Verifizierungssystem sieht nach einem weiteren Versuch aus, das Leben von Reisenden und Konkurrenten komplizierter zu machen, um den eigenen Gewinn zu steigern.“
„Inakzeptable Risiken“. Gesichtserkennungssysteme benötigen die biometrischen Daten von Menschen – eine Kategorie, die gesetzlich besonders geschützt ist. Europäische Datenschutzbehörden warnen sogar, dass der Einsatz von Gesichtserkennung „inakzeptable Risiken“ mit sich bringen kann. Ryanair hingegen verwendet diese für seine fragwürdige Online-Verifizierung. Aber nicht nur das: Die Airline lagert den Prozess an ein externes Unternehmen namens GetID aus. Kund:innen müssen ihre biometrischen Daten also einem Unternehmen anvertrauen, von dem sie noch nie gehört und mit dem sie keinen Vertrag abgeschlossen haben.
Rechtswidrige Einwilligung. Ryanair behauptet, die Rechtsgrundlage für den Einsatz von Gesichtserkennung sei die Einwilligung der Kunden. Dabei hat die Airline keine nachvollziehbaren Informationen über den Zweck dieses invasiven Verfahrens bereitgestellt. Ohne klare Informationen kann die Einwilligung der Nutzer weder informiert noch spezifisch sein – was bedeutet, dass sie nicht DSGVO-konform ist.
Felix Mikolasch, Datenschutzjurist bei noyb: „Die von Ryanair bereitgestellten Informationen sind so verwirrend, dass Reisende glauben könnten, ihre Buchung sei ungültig. Indem die Airline sie zu einem Gesichtserkennungsprozess drängt, verletzt sie gleichzeitig die Privatsphäre ihrer Kund:innen und stellt sicher, dass sie nicht nochmal über externe Anbieter buchen.“
Ein Mittel zur Gewinnsicherung. Der wahre Zweck des Verifizierungsprozesses scheint darin zu bestehen, Kunden an der Flugbuchung über Online-Reisebüros zu hindern. Ryanair profitiert nicht nur vom Verkauf von Flügen, sondern auch von der Vermittlung von Mietwagen und Hotelbuchungen direkt auf der eigenen Webseite. Wenn Kunden ihren Flug woanders buchen, kann Ryanair kein zusätzliches Geld verdienen.
Von Rechtsstreits zum Nudging. Ryanair hat in der Vergangenheit bereits erfolglos versucht, Online-Reisebüros dafür zu verklagen, dass sie die dessen Flüge anbieten. Nun ist die Fluggesellschaft dazu übergegangen, ihre Marktposition auf Kosten der Privatsphäre ihrer Kunden zu sichern. Es scheint klar, dass der „Verifizierungsprozess“ hauptsächlich existiert, um Konsument:innen zu einer Buchung direkt bei Ryanair zu bewegen.
noyb hat eine Beschwerde bei der spanischen AEPD eingebracht. Ausgehend von Ryanairs Jahresumsatz von 4,8 Milliarden Euro im Jahr 2022, könnte die Datenschutzbehörde eine Geldstrafe von bis zu 192 Millionen Euro verhängen.
Man kann noyb bei der Klage gegen Ryanair unterstützen: https://support.noyb.eu/join