Technologie
Die spanische Datenschutzbehörde AEPD hat ein zweijähriges Verfahren gegen das Technologieunternehmen Amadeus mit einer Geldstrafe in Höhe von 14,4 Millionen Euro abgeschlossen. Die ursprüngliche Strafe von 18 Millionen Euro wurde nach einer freiwilligen Zahlung des Unternehmens ohne Anerkennung einer rechtlichen Haftung reduziert. Grund für die Sanktion ist ein Pilotprojekt, bei dem Buchungsdaten aus dem globalen Distributionssystem des Dienstleisters mit Kundendaten von Hotelketten kombiniert wurden, um detaillierte Profile von Reisenden zu erstellen.
Zweckentfremdung von sensiblen Buchungsdaten
Die Regulierungsbehörde rügte ausdrücklich die Weiterverwendung von Daten, die ursprünglich nur für die Abwicklung von Reservierungen erfasst worden waren. Den Reisenden sei diese Form der Profilbildung weder mitgeteilt worden, noch hätten sie eine entsprechende Einwilligung erteilt. Die AEPD stellte zwei Verstöße fest, die mit jeweils neun Millionen Euro gewichtet wurden, darunter die Datenverarbeitung ohne Rechtsgrundlage sowie die verletzte Informationspflicht gegenüber den Betroffenen.
Amadeus habe zu den meisten der profilierten Personen keine direkte Kundenbeziehung gepflegt. Das System agierte mehrere Schritte vom Passagier entfernt und nutzte Daten, von deren Speicherung die betroffenen Endverbraucher keine Kenntnis hatten. Das Pilotprojekt basierte auf archivierten Buchungsdaten aus dem Jahr 2019, um die technischen Möglichkeiten einer Analyse zu erproben.
Unternehmen behält sich rechtliche Schritte vor
Das Unternehmen beschreibt den dreimonatigen Test als Versuch zur Generierung aggregierter Muster sowie zur Verbesserung des Kundenerlebnisses. Es seien zu keinem Zeitpunkt personenbezogene Daten aus den eigenen Systemen nach außen gelangt. Zudem teilt der Dienstleister mit, dass er der Rechtsauslegung der Behörde widerspreche und sich das Recht vorbehalte, die Entscheidung vor Gericht anzufechten.
Hoteldaten waren direkt in dieses Pilotprojekt eingeflossen, da Hotelketten ihre Kundendaten in eine gemeinsame Plattform eingespeist hatten. Der Vorfall verdeutlicht, dass die datenschutzrechtliche Verantwortung bei der Zusammenführung von Buchungs- und Gästedaten in KI-gestützten Systemen bestehen bleibt. Für Hotelbetriebe rückt damit die Nachweisbarkeit des ursprünglichen Erhebungszwecks und der Gästeinformierung in den Fokus.
Bei der Erstellung dieses Artikels kamen KI-gestützte Werkzeuge zum Einsatz. Die Inhalte wurden redaktionell überprüft. Feedback nehmen wir gerne unter news@tageskarte.io entgegen.
