Gastbeitrag
2. Februar 2023 | 10:02 Uhr

Bavarian Airlines: Fliegen in der Blockchain

Gastbeitrag von FrauTux

FrauTux ist der Alptraum aller faulen Datenschutzbeauftragten und für die eine oder andere (bittersüße) Kritik hier verantwortlich. Seit 2011 beschäftigt sie sich beruflich mit dem Datenschutz. Sie ist Informatikerin mit Schwerpunkt IT-Sicherheit und mag keine Einführungstexte oder wenn jemand als Experte bezeichnet wird. Seit 2019 schreibt sie für den Kuketz Blog und hat sich hier intensiv mit den Bereichen Tourismus und Bildung auseinandergesetzt. Ihre Spezialität: Komplexe Themen möglichst verständlich und manchmal auch humorvoll aufzubereiten.


Die Frankfurter Rundschau berichtete am 20.01.2023 über eine neue Airline namens Bavarian Airlines, die bald am Flughafen Frankfurt der Lufthansa Konkurrenz machen möchte.

Da ich mich für den Kuketz-Blog schon öfter mit den Themen Reisen und Tourismus und sogar mit der Lufthansa auseinandergesetzt habe, war ich neugierig, wie es um den Datenschutz bestellt ist.
Beginnen wir mit einer ersten Kurzanalyse.

Hosting bei Wix.com

Die Website der Bavarian Airlines [Link entfernt] ist momentan (Stand 20.01.2023) unter wix.com gehostet und baut zudem Verbindungen zu parastorage.com auf, welches das Wix eigene CDN Network ist.

Wix.com ist eine einfache Methode ohne Programmierkenntnisse per Drag & Drop eine Website zu bauen und zentral von wix.com hosten zu lassen. Das Unternehmen hat seinen Firmensitz in Tel Aviv, Israel. Israel zählt als ein sicheres Drittland für die Datenübertragung außerhalb der Europäischen Union. Im Jahr 2016 gab es eine schwerwiegende Sicherheitslücke bei wix.com, welche durch eine XSS-Schwachstelle ermöglicht wurde. Diese Lücke betraf in etwa 2 Millionen Kunden. Laut Artikel reagierte das Unternehmen damals nicht in den ersten Anläufen auf die Meldung durch einen Sicherheitsforscher.

Bei den Daten, die eine Fluggesellschaft in der Regel erhebt, kann es sich um besonders schützenswerte (z. B. biometrische) Daten gem. Art. 9 DSGVO handeln. Diese Daten möchte man möglichst in sicheren Händen wissen und im besten Falle aufgrund des Schutzbedarfs an jemanden übermitteln, der sich auskennt und nicht unbedingt per Webbaukasten eine Seite zusammenfrickelt, sondern für die IT-Infrastruktur Geld in die Hand nimmt.

Kryptodienstleister

Sieht man sich im Impressum [Link entfernt] um, kann man stutzig werden: »Finanzdienstleister (Kryptowährungen)« Finanzdienstleister für Kryptowährungen bei einer Airline? Kann man die Tickets mit Bitcoin bezahlen? Das Buchungssystem funktioniert noch nicht und es werden auch noch keine Tickets ausgestellt, jedoch findet sich im Reward-Programm namens »Bewards« ein Hinweis:

As a member of the rewards program, you can earn BVX tokens by flying with partner airlines. These tokens can then be redeemed for flights or other rewards within the program. The use of the Polygon blockchain ensures fast and secure transactions for our users

oder auf Deutsch:

Als Mitglied des Prämienprogramms können Sie BVX-Token verdienen, indem Sie mit Partnerfluggesellschaften fliegen. Diese Token können dann für Flüge oder andere Prämien innerhalb des Programms eingelöst werden. Die Verwendung der Polygon-Blockchain gewährleistet schnelle und sichere Transaktionen für unsere Nutzer

Es gibt ein Award/Vielflieger-Programm in der Blockchain. Welche Daten darin landen, ist (noch) nicht ersichtlich. Auch das Whitepaper [Link entfernt] verrät keine weiteren Informationen.

AI Analyse

Unter dem Reiter BARC, der für The Bavarian Aerospace Research Center steht, liest man Folgendes:

The Bavarian Aerospace Research Center provides extensive analysis to Bavarian Airlines. BARC uses Artificial Intelligence as well as traditional analytical methods to create comprehensive Analysis.

zu Deutsch:

Das Bayerische Forschungszentrum für Luft- und Raumfahrt liefert umfangreiche Analysen für Bavarian Airlines. BARC nutzt sowohl Künstliche Intelligenz als auch traditionelle Analysemethoden, um umfassende Analysen zu erstellen.

In welcher Form und bei welchen Daten kommt AI zum Einsatz? Die Aussagen zur AI Analyse als auch zu Prämienpunkte in der Blockchain lesen sich sehr schwammig und erinnern an gängige Marketing Plattitüden.

Die Datenschutzerklärung

Auch ein erster Blick in die Datenschutzerklärung [Link entfernt] lässt noch zu wünschen übrig. Keine E-Mail-Adresse für Datenschutzanliegen und auch keine E-Mail-Adresse, falls Sicherheitslücken gefunden werden. Auf das Hosting bei wix.com wird nicht eingegangen und die zuständige Aufsichtsbehörde wird nicht genannt. Ein Datenschutzbeauftragter scheint derzeit nicht bestellt.

Hinweise zum Bonus-Programm und welche Daten in der Blockchain landen oder an welche Drittstellen Daten übermittelt werden oder übermittelt werden können, fehlen derzeit ebenfalls.

Erstes Fazit

Dieser Kurzbeitrag gibt nur den ersten Eindruck wieder. Fairerweise muss man sagen, dass sich die Website derzeit – so wie es aussieht – im Teststadium befindet. Es gibt also theoretisch den Hauch einer Möglichkeit, dass sie im Produktivbetrieb nicht bei Wix.com gehostet wird und dass die Datenschutzerklärung erweitert wird.

Wie oben bereits erwähnt, kommt eine Airline mit allerlei personenbezogenen Daten in Kontakt. Sei es bei der Buchung, der Bezahlung oder auch in vielen Fällen nach der Buchung, wo viele Airlines den »Service« anbieten, anhand einer Buchungsnummer und eines Nachnamens die eigenen Buchungsdaten zu ändern oder mit dem Kundenservice per E-Mail (eigener E-Mail-Server von Vorteil) in Kontakt zu treten.

Beim Lesen der Seite sind auch mehrfach »Denglische Seiten« aufgefallen, die Formulare und Seiten teilweise in deutscher und englischer Sprache vermischen. Ein weiteres Indiz, dass die Seite noch in den Kinderschuhen steckt. Bleiben wir gespannt, wie sich die Seite in Sachen Datenschutz bis zum offiziellen Start entwickelt.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Datenschutz im Tourismus
1. November 2022

Kommentar: Datenschutz im Tourismus – Sind wir nun wirklich gläsern?

Nacktscanner, Biometric-Boarding und gigantische Datenbanken: Was hat sich in den letzten Jahren im Tourismus bezüglich Datenschutz getan?
Zukunft des Reisens
2. August 2019

Kommentar: Der gläserne Passagier – Die Zukunft des Reisens

Nacktscanner, Biometric-Boarding und gigantische Datenbanken: Ist das Reisen bereits zum Opfer des Überwachungskapitalismus geworden?
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Gesundheitsdaten - Datenschutz
26. März 2023

Datenkörper und Volksgesundheit: Debatte um Gesundheitsdaten & Datenschutz

Die Nutzung von Gesundheitsdaten in der Forschung ist möglich und scheitert nicht am Datenschutz.
South Korea Corona
30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.