Blick-Leserin Christina Ueberschlag (48) kontaktierte vor einigen Tagen die Swiss. Sie erkundigte sich auf Twitter, ob auf einem bevorstehenden Flug von Zürich via München nach Bari Flugzeuge von Air Baltic zum Einsatz kommen. Diese führt im Auftrag der Swiss Flüge durch. Die Antwort erhielt sie von einer Swiss-Mitarbeiterin nicht in einer Privatnachricht, sondern öffentlich via Twitter. Und auf dem Tweet war ihr Buchungscode!
Die Angabe von Nachname und Buchungscode reichen, um Zugriff auf eine bestehende Buchung zu erhalten. Diese kann dann geändert oder storniert werden. Ueberschlag spricht von einer schweren Verletzung des Datenschutzes.
Auf Anfrage von Blick erklärt Swiss-Sprecher Michael Pelzer, dass mit Vor- und Nachname sowie Buchungscode nur wenige Daten erhältlich sind: Die hinterlegten Kontaktangaben für die Zusendung der Bordkarte nach erfolgtem Online-Check-in sowie eine allfällig vorhandene Vielfliegernummer. Nicht einsehbar seien dagegen persönliche Daten wie Wohnadresse, Geburtsdatum oder Zahlungsangaben. «Der Zugriff auf ein allfälliges swiss.com- oder Miles & More-Profil ist so zu keinem Zeitpunkt möglich», so Pelzer.
Zögerliche Swiss-Reaktion
Für Ueberschlag ein schwacher Trost. «Die Nachricht kam nachts um ein Uhr; ich habe diese erst viele Stunden später gesehen», erklärt die viel reisende Marktforscherin. Als sie die Swiss über diese unzulässige Veröffentlichung von Buchungsdaten informierte, erhielt sie zuerst den Bescheid, dass sie doch selber den Eintrag löschen möge, sowie eine lapidare Entschuldigung. 48 Stunden lang passierte ansonsten nichts.
Theoretisch hätte jemand mit dem Buchungscode und ihrem Namen, beides auf Twitter ersichtlich, sich ihre Buchung schnappen und auf ihre Kosten einen Flug nach Buenos Aires oder sonst wohin dazubuchen und an die eigene Mailadresse schicken können. Das ist zum Glück nicht passiert.
Inzwischen wurde Ueberschlag aber kontaktiert. Swiss erklärt, dass die Buchungsreferenz sowie die dazugehörige Ticketnummer zwischenzeitlich gelöscht wurden. Christina Ueberschlag bestätigt nach einem Blick in die App, dass sie einen neuen Datensatz erhalten hat. Ein Zugriff auf die ursprüngliche Buchung ist somit nicht mehr möglich.
Wie konnte das passieren?
Eigentlich ist klar, dass Buchungscodes, Ticketnummern, persönliche Daten und QR-Codes niemals auf öffentlichen Plattformen gepostet werden dürfen. Kaum erklärbar, wie das trotzdem passieren konnte. «Hat da eine Praktikantin getwittert?», fragt sich Ueberschlag.
Swiss will auf solche Details und interne Abläufe nicht eingehen. Die Airline erklärt aber, dass verbindliche Prozesse für den Datenschutz der Fluggäste bestehen. «Dieser Prozess wurde im vorliegenden Fall nicht unmittelbar ausgelöst, was wir sehr bedauern», so Pelzer. Es handelt sich hier um einen bedauerlichen Einzelfall, «der so nicht hätte passieren dürfen».