Die international agierende Fluggesellschaft Emirates mit Sitz in Dubai ist von der italienischen Datenschutzbehörde Garante per la Protezione dei Dati Personali zu einer Geldstrafe in Höhe von 180.000 Euro verurteilt worden. Auslöser für das ordnungsrechtliche Verfahren war die formelle Beschwerde einer einzelnen Passagierin mit eingeschränkter Mobilität, die sich beim Einstiegsprozess an einem italienischen Flughafen unverhältnismäßigen bürokratischen Forderungen ausgesetzt sah.
Das Luftfahrtunternehmen hatte die Kundin dazu gedrängt, ein umfassendes medizinisches Informationsformular auszufüllen und sensible gesundheitliche Angaben zu hinterlegen, obwohl dies nach den behördlichen Richtlinien für Passagiere mit ihrer spezifischen Beeinträchtigung überhaupt nicht vorgeschrieben war. Die italienischen Datenschützer nahmen diesen Einzelfall zum Anlass für eine tiefgreifende Überprüfung der gesamten Datenverarbeitungspraxis der arabischen Fluggesellschaft auf dem Staatsgebiet der Europäischen Union. Dabei stieß die Kontrollbehörde auf systematische Mängel bei der Transparenz der Kundeninformationen sowie auf eine rechtswidrig lange Speicherung von sensiblen Gesundheitsdaten der Fluggäste.
Rechtmäßige Erhebung versus mangelhafte Transparenz im Kundenservice
In ihrer Urteilsbegründung stellte die italienische Aufsichtsbehörde zunächst klar, dass die Verarbeitung von gesundheitsbezogenen Daten im zivilen Luftverkehr nicht grundsätzlich unzulässig ist. Die Erfassung bestimmter medizinischer Parameter kann im operativen Flugbetrieb durchaus notwendig und rechtmäßig sein, um eine sichere Beförderung zu gewährleisten, medizinische Notfälle an Bord zu vermeiden und die adäquate Unterstützung von Reisenden mit eingeschränkter Mobilität durch das Bodenpersonal zu koordinieren. Das primäre Fehlverhalten von Emirates lag im konkreten Fall jedoch darin, dass die Fluggesellschaft die rechtlichen Grenzen dieser Datenerhebung überschritten und die betroffene Passagierin falsch kategorisiert hatte.
Zudem identifizierte der Garante gravierende Defizite bei der Erfüllung der gesetzlichen Informationspflichten, die durch die europäische Datenschutz-Grundverordnung zwingend vorgeschrieben sind. Die Behörde warf der Fluggesellschaft vor, keine ausreichend klaren, verständlichen und vollständigen Datenschutzhinweise bereitzustellen. Weder auf der offiziellen Internetpräsenz des Unternehmens noch im Rahmen der direkten Kommunikation durch das Boden- und Kabinenpersonal wurden die Fluggäste adäquat darüber aufgeklärt, welche gesundheitlichen Daten zu welchem Zweck erhoben werden und auf welcher rechtlichen Grundlage diese Verarbeitung beruht. Dieser Mangel an Transparenz entziehe den Verbrauchern die Möglichkeit, ihre Rechte effektiv wahrzunehmen.
Unverhältnismäßige Speicherfristen im Widerspruch zur europäischen Gesetzgebung
Ein besonders schwerwiegender Kernpunkt des Verfahrens betraf die interne Aufbewahrungspolitik der Fluggesellschaft für sensible medizinische Dokumente. Die Ermittlungen der italienischen Behörde ergaben, dass Emirates die über die sogenannten medizinischen Informationsformulare erhobenen Gesundheitsdaten standardmäßig über einen Zeitraum von sieben Jahren in den eigenen Systemen speicherte. Diese Praxis wurde von den Datenschützern als fundamentaler Verstoß gegen das Prinzip der Speicherbegrenzung eingestuft. Nach den europäischen Rechtsnormen dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie es für den spezifischen Zweck der Erhebung absolut notwendig ist.
Eine siebenjährige Aufbewahrungsfrist für medizinische Details eines zurückliegenden Fluges deklarierte die Behörde als vollkommen unverhältnismäßig und unzulässig. Ein solch langer Zeitraum lässt sich im zivilen Luftverkehr weder mit betrieblichen Sicherheitsanforderungen noch mit der Organisation von Serviceleistungen für den aktuellen Transport rechtfertigen. Durch die dauerhafte Speicherung sensibler Krankheitsgeschichten und Mobilitätsdaten in zentralen Datenbanken entsteht für die Verbraucher ein unkalkulierbares Risiko, falls diese Systeme Ziel von Cyberangriffen oder unbefugten internen Zugriffen werden.
Die Tragweite des Urteils für die internationale Luftfahrtbranche
Die Verhängung des Bußgelds gegen ein Schwergewicht der globalen Luftfahrtindustrie wie Emirates signalisiert eine verschärfte Gangart der europäischen Aufsichtsbehörden gegenüber internationalen Fluggesellschaften aus Drittstaaten. Luftfahrtunternehmen, die den europäischen Luftraum nutzen und Passagiere an Flughäfen innerhalb der Europäischen Union an Bord nehmen, sind uneingeschränkt an die strengen kontinentalen Datenschutzstandards gebunden. Das Verfahren verdeutlicht, dass auch vermeintlich geringfügige Vorfälle, die von einzelnen betroffenen Bürgern gemeldet werden, umfassende strukturelle Prüfungen und empfindliche finanzielle Sanktionen nach sich ziehen können.
Das betroffene Unternehmen Emirates lehnte eine unmittelbare öffentliche Stellungnahme zu dem ergangenen Bußgeldbescheid und zu potenziellen Anpassungen der internen Datenschutzrichtlinien vorerst ab. Branchenbeobachter gehen jedoch davon aus, dass das Urteil Signalwirkung für den gesamten Sektor der internationalen Passagierluftfahrt entfalten wird. Viele Fluggesellschaften stehen nun vor der Aufgabe, ihre weltweiten Standardprozesse beim Umgang mit medizinischen Nachweisen und der Betreuung von Fluggästen mit besonderen Bedürfnissen grundlegend zu überprüfen, um ähnliche rechtliche Konflikte und Reputationsschäden auf dem europäischen Markt im Vorfeld zu vermeiden.