Wenn Reisen zum Datenschutz-Risiko wird

Für viele Reisende gehören Duty-Free-Shops am Flughafen zum unverzichtbaren Teil der Urlaubsplanung: Parfüms, Alkohol oder Luxusartikel, steuerfrei und bequem vor dem Boarding. Für EU-Bürger, die sich auf die strengen Regeln der Datenschutz-Grundverordnung (DSGVO) verlassen, mag dies zunächst unproblematisch erscheinen. Doch in der Praxis zeigt sich eine Lücke: Reisepässe werden in vielen Flughäfen beim Einkauf gescannt.

Zusätzlich werden bei der Passkontrolle biometrische Daten wie Fingerabdrücke erfasst. Dabei können Informationen gespeichert und in Länder übermittelt werden, die keinen vergleichbaren Datenschutz gewährleisten. Die Frage stellt sich: Wie sicher sind die persönlichen Daten der EU-Bürger auf Reisen außerhalb der EU wirklich?

DSGVO trifft Drittland

Innerhalb der EU gilt die DSGVO als eines der strengsten Datenschutzgesetze weltweit. Sie schützt personenbezogene Daten, darunter Name, Geburtsdatum, Reisepassnummer und sogar biometrische Daten. Grundprinzipien wie Zweckbindung, Datenminimierung und das Recht auf Auskunft sollen sicherstellen, dass personenbezogene Daten nur so weit erhoben und verarbeitet werden, wie es unbedingt notwendig ist.

Die Realität auf internationalen Reisen ist jedoch eine andere. Duty-Free-Shops in Bangkok, Dubai oder New York unterliegen nicht der DSGVO. Daten werden dort häufig aus steuerlichen oder altersrechtlichen Gründen erfasst und gespeichert. Die Übermittlung in Länder ohne DSGVO-konforme Schutzmaßnahmen führt zu einem erhöhten Risiko für Missbrauch oder unkontrollierte Weitergabe. EU-Bürger haben zwar theoretisch Rechte nach DSGVO, diese lassen sich im Drittland jedoch oft nur schwer durchsetzen.

Praxisbeispiele und Risiken

Typisch für Duty-Free-Shops ist das Scannen des Reisepasses beim Kauf. In Bangkok etwa wird der Pass gescannt, Name, Passnummer und Staatsangehörigkeit gespeichert. Häufig ist die Datenerhebung mehr, als für den Kauf oder die steuerfreie Abwicklung notwendig wäre. In Dubai werden ähnliche Verfahren angewendet, oft kombiniert mit Loyalty-Programmen oder Hotelbuchungen.

Die Risiken sind vielfältig:

• Speicherung personenbezogener Daten ohne klar definierte Löschfristen
• Weitergabe an Drittanbieter oder Datenbanken
• Übermittlung in Länder ohne angemessene Datenschutzstandards
• Mangelnde Transparenz gegenüber Reisenden, die oft nicht wissen, wie ihre Daten verwendet werden

Ebenso kritisch ist die Erfassung biometrischer Daten bei der Passkontrolle, die praktisch jede Reise begleitet. Fingerabdrücke und Gesichtsscans werden häufig bereits bei der Einreise in Drittstaaten erhoben. Diese Daten gelten als hochsensibel und sind im Falle eines Missbrauchs kaum reversibel.

Nicht EU-Bürger, die wiederum in die EU einreisen (zb.: China, USA, Thailand) müssen seit Schengen-Einführung ebenfalls Fingerabdrücke abgeben. Nur unterliegen diese den Regeln der Datenschutz-Grundverordnung.

Verantwortung für Touristiker

Für Reiseberater bedeutet diese Situation eine doppelte Herausforderung: Sie müssen nicht nur über gesetzliche Regelungen informieren, sondern sollten auch die Datensicherheit ihrer Gäste berücksichtigen. Aufklärung kann über persönliche Beratung Reiseführer, Check-in-Materialien oder Apps erfolgen. Ziel sollte sein, dass nur die minimal notwendigen Daten erfasst werden, z. B. durch die Nutzung von Boardingpass oder Ausweiskopie statt eines vollständigen Passscans.

EU-Datenschutz mit Grenzen

Auf Papier schützt die DSGVO EU-Bürger hervorragend – doch in der Realität endet dieser Schutz an den Landesgrenzen. Bei einer Urlaubsreise werden sensible Reisepassdaten oder Fingerabdrücke vielfach erfasst und in Ländern gespeichert, die keine vergleichbaren Schutzstandards haben. Neuerdings werden bei Einreisen in die USA sogar Social Media Profile auf den Smartphones kontrolliert.

Die besten EU-Regeln nützen wenig, wenn Reisende ihre wichtigsten persönlichen Daten auf internationalen Reisen praktisch überall „abgeben“ müssen.

(red)