Aena: 10 Millionen Euro Strafe wegen Gesichtserkennung

Spaniens Flughafenbetreiber Aena muss eine Rekordstrafe von 10,04 Millionen Euro zahlen – und seine umstrittenen biometrischen Boarding-Systeme sofort abschalten. Die spanische Datenschutzbehörde AEPD wirft dem staatlichen Unternehmen schwere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) vor.

Der Kern des Problems: Aena hat keine ordnungsgemäße Datenschutz-Folgenabschätzung durchgeführt, bevor es Gesichtserkennungstechnologie an acht großen spanischen Flughäfen einführte. Ein Fehler, der nun teuer zu stehen kommt und europaweit Wellen schlägt.

Das fatale Versäumnis

Biometrische Daten gehören zu den sensibelsten Informationen, die die DSGVO kennt. Artikel 9 der Verordnung stuft sie als “besondere Kategorie” ein – ihre Verarbeitung erfordert strenge Schutzmaßnahmen. Ganz oben auf der Liste: eine umfassende Folgenabschätzung, die Risiken für die Betroffenen evaluiert.

Genau hier liegt Aenas Kardinalfehler. Zwar führte das Unternehmen Risikoanalysen durch, doch die AEPD befand diese als unzureichend. Entscheidend: Aena konnte nicht überzeugend darlegen, warum die invasive Gesichtserkennung notwendig und verhältnismäßig war – schließlich funktionieren klassische Bordkarten und Ausweiskontrollen ebenfalls.

Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Bis zu 2% des Jahresumsatzes können fällig werden – ein Risiko, das viele Verantwortliche unterschätzen. Dieses kostenlose E-Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, liefert praxisnahe Muster-Vorlagen in Word und Excel sowie Checklisten zur rechtssicheren Umsetzung. Ideal für Datenschutzbeauftragte, Projektverantwortliche und Führungskräfte. Datenschutz-Folgenabschätzung jetzt kostenlos herunterladen

“Die Einführung von Gesichtserkennungssystemen stellt eine Hochrisiko-Datenverarbeitung dar”, stellte die Behörde unmissverständlich fest. Wer solche Technologien einsetzt, muss nach Artikel 35 DSGVO nachweisen, dass weniger einschneidende Alternativen nicht ausreichen. Diesen Beweis blieb Aena schuldig.

Wie das System funktionierte

Das biometrische Boarding-Projekt lief an acht spanischen Flughäfen, darunter Madrid-Barajas und Barcelona-El Prat. Passagiere konnten ihr Gesicht scannen lassen und ohne physische Bordkarte oder Ausweis ans Gate gehen – eine vermeintliche Zukunftsvision für reibungsloses Reisen.

Die technischen Details offenbaren jedoch kritische Schwachstellen:

• Freiwillige Teilnahme: Aena betonte die Optionalität und berief sich auf Einwilligungen der Passagiere
• Zentrale Datenbank: Anders als bei dezentralen Lösungen speicherte Aena biometrische Templates zentral – ein erhebliches Sicherheitsrisiko
• Teil der Digitalisierungsstrategie: Das Projekt gehörte zum “Strategieplan 2022-2026” für die Airport-Modernisierung

Doch freiwillig bedeutet nicht automatisch rechtmäßig. Die AEPD stellte klar: Eine Einwilligung entbindet den Verantwortlichen nicht von der Pflicht, die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung zu belegen. Die zentrale Speicherung bewertete die Behörde als besonders problematisch.

Aena wehrt sich

Der Flughafenbetreiber akzeptiert die Entscheidung nicht. Das Unternehmen kündigte an, juristisch gegen die Strafe vorzugehen und betont seine “respektvolle Ablehnung” der Sanktion.

Aenas Argumentationslinie:

1. Compliance-Bemühungen: Man habe vor der Einführung Folgenabschätzungen durchgeführt und diese für rechtskonform gehalten
2. Datensicherheit: Die “Verwahrung der Daten war niemals gefährdet”, es habe keine Datenpannen gegeben
3. Branchenstandard: Ähnliche Systeme würden weltweit an Flughäfen eingesetzt, die Abschaltung benachteilige spanische Airports im Wettbewerb

“Wir haben diese Systeme implementiert, um das Reiseerlebnis zu verbessern – stets in der Überzeugung, im rechtlichen Rahmen zu handeln”, erklärte ein Unternehmenssprecher. Bis zur gerichtlichen Klärung bleiben die Gesichtserkennungs-Terminals dennoch außer Betrieb.

Warnsignal für die gesamte Branche

Mit 10 Millionen Euro gehört diese Strafe zu den höchsten, die die AEPD je verhängt hat – auf Augenhöhe mit früheren Sanktionen gegen Google oder Vodafone. Für Unternehmen, die KI oder Biometrie einsetzen wollen, liefert der Fall entscheidende Erkenntnisse.

Was Unternehmen lernen müssen:

• Folgenabschätzung ist keine Formalie: Ein DSFA-Dokument zu erstellen, reicht nicht. Die Analyse muss rigoros beweisen, dass die gewählte Technologie der am wenigsten invasive Weg zum Ziel ist. Gibt es eine weniger einschneidende Methode, wird Biometrie schnell unverhältnismäßig
• Freiwilligkeit schützt nicht: Nutzereinwilligungen heben die Prinzipien der Notwendigkeit und Datensparsamkeit nicht auf. Bei fehlerhafter Architektur oder unnötiger Verarbeitung hilft auch Consent nicht
• Deutsche Anforderungen: Für Unternehmen hierzulande unterstreicht der Fall die Bedeutung einer substanziellen Datenschutz-Folgenabschätzung – inhaltlich, nicht nur formal

Timing könnte kaum ungünstiger sein

Die Systemabschaltung trifft Aena zu einem heiklen Zeitpunkt. Europäische Flughäfen bereiten sich auf das neue Ein-/Ausreisesystem (EES) der EU vor, das biometrische Kontrollen für Nicht-EU-Reisende vorsieht.

Allerdings gibt es einen entscheidenden Unterschied: Das EES ist eine behördlich vorgeschriebene Grenzkontrolle mit eigener Rechtsgrundlage. Aenas kommerzielles Boarding-Projekt unterliegt dagegen strengerer Prüfung.

Rechtsexperten erwarten einen langwierigen Gerichtsprozess. Sollten spanische Gerichte die Entscheidung der AEPD bestätigen, könnte das einen Präzedenzfall schaffen, der die kommerzielle Nutzung von Gesichtserkennung im öffentlichen Raum EU-weit massiv einschränkt. Flughäfen und Airlines müssten ihre Strategien für “nahtloses Reisen” komplett überdenken.

Vorerst kehren spanische Flughäfen zu klassischen Boarding-Verfahren zurück. Die Vision vom “Gesicht als Bordkarte” bleibt auf unbestimmte Zeit Zukunftsmusik – und eine teure Lektion in Sachen Datenschutz.

PS: Planen Sie den Einsatz von Gesichtserkennung oder anderen Hochrisiko-KI-Systemen? Dann sollten Sie die Datenschutz-Folgenabschätzung nicht dem Zufall überlassen. Unser Gratis-E-Book enthält bearbeitbare Muster (Word & Excel), 7 Antworten auf die wichtigsten Rechtsfragen und praxisnahe Checklisten, mit denen Sie eine belastbare DSFA erstellen und dokumentieren können – bevor Behörden einschreiten. Kostenlose DSFA-Muster & Anleitung sichern