Ryanair drängt Kunden, sich invasiver Gesichtserkennung zu unterziehen

Wien, 27. Juli 2023

Noyb hat heute eine Beschwerde gegen Ryanair eingereicht. Europas größte Airline fordert einen Teil ihrer Kunden zur Durchführung eines invasiven »Verifizierungsprozesses« samt Gesichtserkennung auf – allerdings nur dann, wenn sie ihren Flug über die Website eines Online Reisebüros buchen. Die Airline scheint bereitwillig das Recht auf #Datenschutz ihrer Kunden zu verletzen, um sich einen Wettbewerbsvorteil zu verschaffen.

Kein #Urlaub ohne invasive #Verifizierung. Nachdem die Beschwerdeführerin einen Ryanair Flug über das Online Reisebüro eDreams gebucht hatte, wurde sie in einer E Mail von #Ryanair aufgefordert, einen »Verifizierungsprozess« durchzuführen. Sie wurde dabei vor die Wahl gestellt, sich entweder mithilfe von Gesichtserkennung zu verifizieren – oder mehr als zwei Stunden vor Abflug zum Check in Schalter am Flughafen zu gehen. Hätte sich die Beschwerdeführerin geweigert, diesen Anweisungen zu folgen, hätte sie den Flug nicht antreten können. Ihr wurde sogar eine kleine Gebühr für den »Verifizierungsprozess« verrechnet.

Eine fragwürdige Rechtfertigung

Laut Ryanair soll das Verfahren angeblich bei der Überprüfung der Kontaktangaben von Kunden helfen. In Wirklichkeit verfügt die #Airline aber schon über alle relevanten Informationen. Außerdem verlangt Ryanair keine biometrischen Scans, wenn man direkt über die Ryanair Webseite bucht. Der Zweck von Gesichtserkennungssystemen ist die Verifizierung von Gesichtern, nicht von E Mail Adressen.

Romain Robert, Program Director bei #Noyb: »Ryanair hat bereits die richtigen Kontaktdaten, sonst könnten sie den Link zum ›Verifizierungsprozess‹ gar nicht verschicken. Eine Verifizierung von Kontaktdaten mittels biometrischer Daten macht außerdem wenig Sinn. Meine E Mail Adresse ist nicht auf meinem #Gesicht oder #Pass abgedruckt. Ryanairs Verifizierungssystem sieht nach einem weiteren Versuch aus, das Leben von Reisenden und Konkurrenten komplizierter zu machen, um den eigenen Gewinn zu steigern.«

»Inakzeptable Risiken«

Gesichtserkennungssysteme benötigen die biometrischen Daten von Menschen eine Kategorie, die gesetzlich besonders geschützt ist. Europäische Datenschutzbehörden warnen sogar, dass der Einsatz von Gesichtserkennung »inakzeptable #Risiken« mit sich bringen kann. Ryanair hingegen verwendet diese für seine fragwürdige Online Verifizierung. Aber nicht nur das: Die Airline lagert den Prozess an ein externes Unternehmen namens Get ID aus. Kunden müssen ihre biometrischen Daten also einem Unternehmen anvertrauen, von dem sie noch nie gehört und mit dem sie keinen Vertrag abgeschlossen haben.

Rechtswidrige Einwilligung

Ryanair behauptet, die Rechtsgrundlage für den Einsatz von Gesichtserkennung sei die Einwilligung der Kunden. Dabei hat die Airline keine nachvollziehbaren Informationen über den Zweck dieses invasiven Verfahrens bereitgestellt. Ohne klare Informationen kann die Einwilligung der Nutzer weder informiert noch spezifisch sein – was bedeutet, dass sie nicht #DSGVO konform ist.

Felix Mikolasch, Datenschutzjurist bei Noyb: »Die von Ryanair bereitgestellten Informationen sind so verwirrend, dass Reisende glauben könnten, ihre Buchung sei ungültig. Indem die Airline sie zu einem Gesichtserkennungsprozess drängt, verletzt sie gleichzeitig die Privatsphäre ihrer Kunden und stellt sicher, dass sie nicht nochmal über externe Anbieter buchen.«

Ein Mittel zur Gewinnsicherung

Der wahre Zweck des Verifizierungsprozesses scheint darin zu bestehen, Kunden an der Flugbuchung über Online Reisebüros zu hindern. Ryanair profitiert nicht nur vom Verkauf von Flügen, sondern auch von der Vermittlung von Mietwagen und Hotelbuchungen direkt auf der eigenen Webseite. Wenn Kunden ihren #Flug woanders buchen, verdient Ryanair also kein zusätzliches Geld.

Von Rechtsstreits zum Nudging

Ryanair hat in der Vergangenheit bereits erfolglos versucht, Online Reisebüros dafür zu verklagen, dass sie die dessen Flüge anbieten. Nun ist die Fluggesellschaft dazu übergegangen, ihre Marktposition auf Kosten der Privatsphäre ihrer Kunden zu sichern. Es scheint klar, dass der «Verifizierungsprozess« hauptsächlich existiert, um Konsumenten zu einer Buchung direkt bei Ryanair zu bewegen. Noyb hat eine #Beschwerde bei der spanischen AEPD eingebracht. Ausgehend von Ryanairs Jahresumsatz von 4,8 Milliarden Euro im Jahr 2022, könnte die Datenschutzbehörde eine Geldstrafe von bis zu 192 Millionen Euro verhängen.

Noyb.eu Europäisches Zentrum für Digitale Rechte

Der Verein Noyb.eu [Aussprache] treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher rund 800 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie #Google, #Apple, #Facebook und #Amazon. Mehr als 5.000 Fördermitglieder ermöglichen die Arbeit von Noyb.