Aena kassiert Millionenstrafe: Biometrische Boarding-Systeme gestoppt

Spaniens Datenschutzbehörde schlägt zu: Der Flughafenbetreiber Aena muss über zehn Millionen Euro zahlen und seine Gesichtserkennung vorläufig abschalten. Ein Signal, das quer durch Europa hallt.

Madrid – Die spanische Datenschutzbehörde AEPD macht Ernst mit der Durchsetzung der DSGVO: Mit einer Geldbuße von 10.043.002 Euro belegt sie den staatlich kontrollierten Flughafenbetreiber Aena wegen gravierender Verstöße beim Einsatz biometrischer Technologie. Die am Dienstag verkündete Strafe zählt zu den härtesten Datenschutz-Sanktionen, die Spanien je verhängt hat.

Noch schmerzhafter als die Strafzahlung dürfte der zweite Teil der Anordnung sein: Aena muss seine Gesichtserkennungssysteme für den Boarding-Prozess mit sofortiger Wirkung deaktivieren. Erst wenn der Konzern die Rechtmäßigkeit der Datenverarbeitung lückenlos nachweisen kann, dürfen die Systeme wieder in Betrieb gehen.

Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Artikel 35 verlangt belastbare Risikoanalysen — ein Versäumnis kann zu hohen Sanktionen führen. Unser kostenloses E-Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, liefert bearbeitbare Muster‑Vorlagen und praktische Checklisten, mit denen Sie die Rechtmäßigkeit und Verhältnismäßigkeit Ihrer biometrischen Projekte nachweisen können. Ideal für Datenschutzbeauftragte und Projektverantwortliche. Jetzt DSFA-Vorlage gratis herunterladen

Das Kernproblem: Keine ordentliche Risikoanalyse

Was wirft die Behörde Aena konkret vor? Einen Verstoß gegen Artikel 35 der DSGVO. Diese Vorschrift verlangt von Unternehmen eine detaillierte Datenschutz-Folgenabschätzung, bevor sie Technologien einsetzen, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen.

Genau diese Hausaufgaben hat Aena nach Ansicht der AEPD nicht gemacht. Vor dem Rollout der Gesichtserkennung an wichtigen Flughäfen wie Madrid-Barajas und Barcelona-El Prat fehlte eine umfassende, belastbare Risikoanalyse. Die Behörde bemängelt: Der Betreiber konnte nicht ausreichend begründen, warum die Verarbeitung sensibler biometrischer Daten notwendig und verhältnismäßig ist.

Schnelleres Boarding und mehr Komfort für Passagiere? Das allein reicht nicht aus, um die Erfassung und zentrale Speicherung von Gesichtsdaten zu rechtfertigen. Die AEPD wollte Antworten auf härtere Fragen: Gibt es weniger invasive Alternativen? Wurden die Risiken systematisch bewertet? Sind die Sicherheitsmaßnahmen angemessen?

Diese Antworten blieb Aena schuldig.

Aena wehrt sich: “Keine Datenpanne, keine Gefahr”

Der Flughafenbetreiber ließ bereits am Dienstag verlauten, dass er die Entscheidung der AEPD “respektvoll ablehnt” und Berufung einlegen wird. In seiner offiziellen Stellungnahme betont Aena drei zentrale Argumente:

Erstens: Die Teilnahme am biometrischen Boarding sei absolut freiwillig gewesen. Passagiere hätten ausdrücklich zugestimmt.

Zweitens: Es habe zu keinem Zeitpunkt eine Datenpanne oder ein Leak gegeben. Die Sicherheit der Informationen sei nie gefährdet gewesen.

Drittens: Aena habe durchaus Risikoanalysen durchgeführt – nur würden diese von der Behörde nicht als ausreichend anerkannt.

“Die Strafe basiert auf einer formalen Pflicht, nicht auf einem Missbrauch von Daten”, argumentiert das Unternehmen. Die Höhe der Geldbuße sei völlig unangemessen. Trotzdem: Bis auf Weiteres bleiben die beanstandeten Systeme abgeschaltet.

Europa verschärft den Ton gegenüber Gesichtserkennung

Die Aena-Strafe ist kein Einzelfall. Sie reiht sich ein in eine Serie europäischer Regulierungsoffensiven gegen biometrische Technologien. Die Botschaft aus Madrid passt nahtlos in ein kontinentweites Muster.

Zur Einordnung: Im September 2024 verhängte die niederländische Datenschutzbehörde eine Rekordstrafe von 30,5 Millionen Euro gegen das umstrittene US-Unternehmen Clearview AI. Dessen illegale Datenbank mit Milliarden Gesichtsbildern war europaweit auf Widerstand gestoßen.

Aena ist zwar kein Clearview – ein regulärer Flughafenbetreiber statt eines Datensammlers im rechtlichen Graubereich. Doch die regulatorische Kernaussage bleibt dieselbe: Biometrische Daten verdienen höchsten Schutz. Schnellere Abläufe und Bequemlichkeit legitimieren nicht automatisch die Verarbeitung sensibler Informationen.

Datenschützer warnen seit Jahren vor schleichendem Überwachungsausbau. Die Vision der Branche – Terminals, in denen das Gesicht als Pass, Bordkarte und Zahlungsmittel dient – kollidiert zunehmend mit den strengen europäischen Grundrechten.

Was das für die Branche bedeutet

Für Aena bedeutet das Urteil zunächst Stillstand. Der Konzern muss eine neue, AEPD-konforme Datenschutz-Folgenabschätzung erarbeiten. Das kann Monate dauern. Die geplante Expansion biometrischer Gates an spanischen Flughäfen liegt vorerst auf Eis.

Doch die Wirkung reicht weit über Spanien hinaus. Das Urteil dürfte als Referenzfall durch die Datenschutzbehörden anderer EU-Mitgliedstaaten wandern. Unternehmen in den Bereichen Reise, Einzelhandel und Sicherheit werden ihre eigenen biometrischen Systeme genauer unter die Lupe nehmen müssen.

Die zentrale Lektion: Einwilligung allein genügt nicht. Selbst wenn Nutzer freiwillig zustimmen, muss das Unternehmen nachweisen, dass die Technologie notwendig ist und alle Risiken gründlich durchdacht wurden. Eine Folgenabschätzung darf kein bürokratisches Häkchen sein, sondern muss eine substanzielle Auseinandersetzung mit Notwendigkeit und Verhältnismäßigkeit darstellen.

“Das ist ein Weckruf für jeden, der Biometrie einsetzt”, kommentierten Branchenbeobachter. “Die Regulierer sagen: Ihr könnt nicht einfach High-Risk-Technologie ausrollen, weil sie modern oder praktisch ist. Die rechtliche Hausarbeit muss einwandfrei sein.”

Wie geht es weiter?

Der juristische Kampf beginnt jetzt erst. Aena will vor spanischen Gerichten klären lassen, ob die AEPD Artikel 35 zu streng auslegt. Kann die Freiwilligkeit der Teilnahme die Strafe mindern? Waren die Risikoanalysen doch ausreichender als gedacht?

Die Antworten werden nicht nur für Aena relevant sein. Sie könnten den Spielraum definieren, den europäische Unternehmen künftig bei der Einführung biometrischer Systeme haben – oder eben nicht haben.

Eins ist schon jetzt klar: Wer in Europa Gesichter scannen will, braucht mehr als gute Absichten und moderne Technik. Er braucht wasserdichte Rechtfertigungen.

PS: Sie planen den Einsatz biometrischer Systeme? Vermeiden Sie Fehler wie in der Aena-Affäre – dieses kostenlose E-Book liefert prüffähige Word- und Excel‑Vorlagen, umfassende Checklisten und Antworten auf die sieben häufigsten Fragen zur DSFA. So können Sie rechtssicher dokumentieren, warum eine Verarbeitung notwendig und verhältnismäßig ist, und Projekte regulatorisch belastbar vorbereiten. Kostenloser Download, sofort einsetzbar. DSFA-E-Book mit Muster-Vorlagen sichern