Der Kunde einer Billig-Fluggesellschaft hatte im Rahmen einer Urlaubsreise nach Spanien von seinem Reiseveranstalter einen Zugangscode für die beauftragte Fluggesellschaft erhalten. Unter dem Button „Check-In“ kann der Kunde unter Zuhilfenahme des besagten Buchungscodes sowie seines Nachnamens die Flugdetails abrufen. Auch ist es möglich, den entsprechenden Boarding-Pass auszudrucken bzw. auf ein anderes Medium zu speichern.
Allerdings findet der Kunde hier nicht nur seine eigenen Daten, sondern auch die seiner Mitflieger. Angezeigt wird der vollqualifizierte Name der Passagiere. Auch besteht die Möglichkeit, die Boarding-Cards aller gebuchten Passagiere einzusehen, auszudrucken und ggf. auch auf andere Medien zu speichern. Unter Umständen kann quasi eine vollständige Passagierliste des besagten Fluges durch unbeteiligte Dritte erstellt werden.
Aus den Datenschutzerklärungen und Informationsschreiben zum Datenschutz der Airline lässt sich nicht klar erkennen, unter welchen Erlaubnistatbestand die Veröffentlichung der Namen der Passagierliste erfolgt. Daher sah die Firma actus-IT zumindest eine fahrlässige unberechtigte Datenverarbeitung als gegeben an. Da die Fluggesellschaft auf Kundennachfragen nicht reagierte, stellte die Firma actus-IT eine Prüfanfrage an die nordrhein-westfälische Datenschutzaufsichtsbehörde. Die Antwort der Behörde steht zurzeit noch aus.
