„Nach Bekanntwerden hat JT Touristik umgehend sein Vorgehen geändert und teilt seitdem jeder Buchung eine individuelle Email-Adresse zu, die nur Zugriff zur eigenen Reservierung gewährt“, sagte Jasmin Taylor, Geschäftsführerin JT Touristik. „Das Unternehmen zieht Konsequenzen und bietet ab sofort keine Reisen mehr mit Ryanair an.“ Der Berliner Reiseveranstalter ist nach eigenen Angaben deutscher Marktführer für Reisen nach Dubai sowie die angrenzenden Emirate.

Wegen der Buchungen über eine einheitliche E-Mail-Adresse konnten Kunden von JT Touristik, die auch einen Ryanair-Flug gebucht hatten, die Daten von knapp 5000 anderen JT-Kunden abrufen. „Die einsehbaren Buchungen betreffen ausschließlich Reservierungen, die vor Bekanntwerden der Sachlage vorgenommen wurden“, erklärte das Unternehmen.

Aus technischen Gründen sei eine nachträgliche Änderung bei bereits durchgeführten Reisen auf jeweils individualisierte Adressen „leider nicht mehr möglich“. Alle Abreisen, die in der Zukunft liegen, seien nun nur noch für die Kunden selbst sichtbar. „JT Touristik bedauert sehr, wenn Kunden Unannehmlichkeiten entstanden sind. Die Sicherheit und Privatsphäre der Kunden hat für JT Touristik stets höchste Priorität“, sagte Taylor.

Betroffene der Sicherheitslücke sollten den Anbieter anhalten, die Daten zu sperren. Zur Not müsse dies per Gerichtsentscheid passieren, erklärt Jan Wilschke, Jurist bei der Verbraucherzentrale Brandenburg. Dass die Daten bereits durchgeführter Reisen weiter zu sehen sind, dem widerspricht Wilschke: Würden sie nicht gesperrt, könnten die Kunden vor Gericht ziehen, da Persönlichkeits- und Datenschutzrechte verletzt seien.

Der Verband Internet Reisevertrieb (VIR) rät Kunden, beim Buchen im Internet grundsätzlich darauf zu achten, dass sie zusammen mit der sechsstelligen Buchungsnummer eine personalisierte E-Mail-Adresse erhalten, zum Beispiel Max.Mustermann@reiseportal-xy.de. Auf diese Weise sei gewährleistet, dass nur sie selbst die eigenen Reisedaten einsehen können. „Mit einer individualisierten Email-Adresse wird dies verhindert“, erklärt VIR-Vorstand Michael Buller.

Ein ähnliches Datenleck war Anfang Januar beim Reiseanbieter Urlaubstours entdeckt worden, der zur Online-Unternehmensgruppe Unister gehört. Ryanair-Sprecherin Henrike Schmidt sagte, die Vermittlung von Ryanair-Flügen über Drittanbieter wie JT Touristik erfolge ohne Einwilligung der Airline. „Unser Buchungssystem richtet sich an Einzelpersonen oder privat veranstaltete Gruppenreisen, nicht an gewerbliche Wiederverkäufer.“ Das stehe auch so in den Allgemeinen Geschäftsbedingungen von Ryanair.

In der Kontroverse um Ryanair-Tickets hatte das Hanseatische Oberlandesgericht (OLG) in Hamburg im Herbst entschieden, dass Internet-Reiseportale nicht ohne Weiteres gewerblich auf die Buchungsseiten einer Fluggesellschaft zugreifen und damit Geld verdienen dürften. Ryanair hatten gegen einen niederländischen Reiseanbieter geklagt, der auch in Deutschland eine Seite betreibt.

Die Airline habe das Recht, ihre Tickets selbst zu vermarkten, um den Preis niedrig zu halten und nicht durch Provisionen in die Höhe zu treiben, urteilten die Richter. Zudem habe Ryanair in den Allgemeinen Geschäftsbedingungen (AGB) die gewerbliche Vermittlung der Flüge ausdrücklich ausgeschlossen. Das OLG ließ zugleich die Revision zum Bundesgerichtshof zu, da grundlegende rechtliche Fragen über die Schutzfähigkeit exklusiver Vertriebsmodelle im Internet noch nicht höchstrichterlich entschieden seien.