Die spanische Datenschutzbehörde hat eine Geldstrafe von 250.000 Euro gegen die Betreiber von Loro Parque und Siam Park auf Teneriffa bestätigt. Das Unternehmen hatte Kunden verpflichtet, beim Eintritt in die Parks ihre Fingerabdrücke zu registrieren, was als „sehr schwerwiegendes“ Vergehen eingestuft wurde.
Drei Beschwerdeführer gaben an, ein Paket für den Zugang zu beiden Parks sowie ein Fährticket von Gran Canaria erworben zu haben. Sie mussten ihre Fingerabdrücke scannen lassen, um zu bestätigen, dass dieselbe Person beide Parks betritt, so die AEPD in ihrer Entscheidung.
Datenschutzbedenken auf Teneriffa
Die Beschwerdeführer behaupteten, sie seien beim Kauf nicht über die Datenverarbeitung informiert worden. Stattdessen fanden sie eine mehrsprachige Mitteilung, die erklärte, dass das System nur für Besucher mit einer bestimmten Ticketart bestimmt sei.
Es wurde zudem festgestellt, dass keine Fingerabdruckbilder gespeichert wurden; das System scannte lediglich den Fingerabdruck und erstellte eine Reihe von Anweisungen. Ein Beschwerdeführer legte sein Beschwerdeformular und das Fährticket vor und erklärte, dass ihm der Eintritt verweigert wurde, als er sich weigerte, seinen Fingerabdruck abzugeben. Ihm wurde geraten, eine Rückerstattung zu beantragen, ohne dass ihm Alternativen angeboten wurden.
Risiken der biometrischen Datennutzung
Die AEPD betonte, dass die Verwendung biometrischer Daten erhebliche Risiken für die Grundrechte und Freiheiten darstellt und daher grundsätzlich verboten ist. Freizeitaktivitäten sind keine Ausnahme von dieser Regel und dürfen nicht einseitig auferlegt werden.
Die Untersuchung ergab auch eine Verbindung zwischen dem Ticketkauf und den biometrischen Daten, da ein QR-Code verwendet wird, der die vollständige Identifizierung der Kunden ermöglicht. Die Strafe wurde als angemessen erachtet, da das Unternehmen öffentliche Parks betreibt, die das ganze Jahr über von Familien, einschließlich Minderjährigen, besucht werden, und keine Informationen bereitgestellt oder Anfragen zu diesem Thema beantwortet hat.
Das Unternehmen behauptete, es sei gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu haben. Bezüglich des Mangels an Informationen über das Verifizierungssystem erklärten sie, dass die Verarbeitung biometrischer Daten seit 2010 registriert ist.
Sie argumentierten weiter, dass diese Anforderung für ein spezifisches Produkt gilt, das es Besuchern ermöglicht, beide Parks zu einem reduzierten Preis zu erleben, was eine Überprüfung der Kundenidentität erfordert. Sie rechtfertigten die Verwendung dieser Methode damit, dass sie ein hohes Maß an Sicherheit gewährleistet, dass „die Person, die einen Park betritt, dieselbe ist, die anschließend den anderen betritt, obwohl die Person, die die Tickets gekauft hat, nicht identifiziert werden kann.“
Es würde nur eine „mathematische Darstellung“ erstellt, die so lange gespeichert wird, wie das Ticket gültig ist, und anschließend zerstört wird. Ihr Ausweisdokument wird verwendet, um den Wohnstatus des Nutzers festzustellen, angesichts der festgelegten Preisunterschiede.
Nachdem der Einspruch abgelehnt wurde, wurde das Unternehmen darüber informiert, dass die freiwillige Zahlung bis zum 20. September erfolgen muss, obwohl sie auch die Möglichkeit haben, die Angelegenheit vor Gericht zu bringen.
