Datenschutz an Land im Überblick


Datenschutz an Land im Überblick | Grundanker


In der Tourismusbranche führt fast kein Weg mehr an der Erhebung von Daten vorbei und werden im Rahmen der Digitalisierung ein hohes Maß an Kundendaten verarbeitet, sei es im Rahmen von Hotelbuchungen, Restaurantbesuchen, Wellnessanwendungen, Freizeitaktivitäten oder Eventanmeldungen. Namen, Anschriften, E-Mail-Adressen, Geburtsdate im n, Passnummern und Kreditkarten-Daten sind dabei die klassischen personenbezogenen Daten, die verarbeitet werden. Anhand zahlreicher Gewohnheiten, Aktivitäten, Begleitpersonen und weiteren Informationen wie z.B. Reisepläne und Firmenzugehörigkeit lassen sich daraus auch umfangreiche Persönlichkeitsprofile erstelle. Gäste aber wollen darauf vertrauen, dass mit diesen sorgsam umgegangen wird und ihre sensiblen Informationen nicht weitergegeben werden. Durch ein sorgfältiges Datenschutzmanagementsystem können Risiken reduziert, der Datenschutz standardisiert und die Daten, die erhoben werden dürfen, geklärt werden.  Schulungen der Mitarbeiter sollten dabei eine Selbstverständlichkeit sein und helfen, die Häufigkeit des Auftretens von Datenschutzverletzungen zu reduzieren.


Wir können Sie dabei unterstützen, Ihr bestehendes Datenschutzkonzept zu überprüfen oder ein solches zu entwickeln.


Datenschutzbeauftragter

Für Unternehmen ab 20 Mitarbeitern besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt bei der Einhaltung der Datenschutzgrundsätze und das auch unabhängig davon, ob ein Hotel oder Touristikbetrieb dazu verpflichtet ist oder nicht.


Datenschutzplan

In einem internen Datenschutzhandbuch oder Datenschutzplan sind alle organisatorischen Maßnahmen und technischen Schutzmaßnahmen aufzunehmen, die zu Einhaltung der Datenschutzanforderungen zu beachten sind. Richtlinien zum Datenschutz, Arbeitsanweisungen, Hinweise, technische Maßnahmen werden in einem solchen Datenschutzplan beschrieben, der auf Anforderung der Aufsichtsbehörden diesen vorlegbar sein sollte.


Verzeichnis der Verarbeitungsvorgänge

Die Verarbeitung personenbezogener Daten beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit der Erhebung von Gäste- aber auch Mitarbeiterdaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In dem Verzeichnis der Verarbeitungsvorgänge, werden alle Verarbeitungen festgehalten, in denen Patientendaten verarbeitet werden. Dazu gehören z.B. auch Meldescheine, Kreditkartendaten, Anschriften, Anmeldungen und Reservierungen. Das Verzeichnis der Verarbeitungsvorgänge ist einer Aufsichtsbehörde auf Nachfrage vorzulegen.


Externe Dienstleister

Bei der Auswahl externer Dienstleister ist darauf zu achten, dass auch diese einen rechtskonformen Umgang mit Daten gewährleisten. Notwendige Auftragsverarbeitungsverträge sind abzuschließen.


Datenschutzerklärung

Besuchern und Gästen sollten beim ersten Aufenthalt Information zum Datenschutz erhalten und der Nutzung ihrer Daten auch für Werbezwecke zustimmen, sofern Sie diese zur Kundenbindung weiterhin nutzen wollen.


Jedes Unternehmen mit einer Internetpräsenz muss auf dieser eine Datenschutzerklärungen bereitstellen, die möglichst spezifisch gestaltet ist und präzise Formulierungen enthält. Das gilt auch für Social Media Accounts.


Auskunft

Auskunftsverlangen, Datenlöschersuchen oder Beschwerden von Beherbergungsgästen und anderen Besuchern zur Verarbeitung ihrer personenbezogenen Daten sind zeitnah zu beantworten. Der Gesetzgeber sieht hierfür eine Monatsfrist vor. Untätigkeit oder Unvollständigkeit kann zu Beschwerden führen, die die zuständige Aufsichtsbehörde mit einem Bußgeld belegen kann.



Best Practise im Tourismus

Pflichtverletzungen oder ein Datenschutzvorfall kann zu Bußgeldern führen und kann im Falle der Verletzung der Verschwiegenheitsverpflichtung mit einer Geld- oder bis zu einjähriger Freiheitsstrafe geahndet werden. Achten Sie in Ihrem Alltag besonders auf folgende Hinweise:


Datenschutz beim Check-In

Sorgen Sie auch bei hohem Besucheraufkommen dafür, dass die Privatsphäre der Gäste gewahrt wird und diese ausreichenden Abstand zueinander halten. Vorsicht auch bei der Anfertigung von Kopien von Personalausweisen. Diese ist nun in gesetzlich definierten Ausnahmen erlaubt. Ein Verstoß kann als Ordnungswidrigkeit geahndet werden.



Verpflichtung auf das Datengeheimnis

Verpflichten Sie alle Mitarbeiter regelmäßig auf das Datengeheimnis und schulen Sie diese zum Datenschutz.




Korrekter Umgang mit Meldescheinen

Im Meldeschein (häufig beim Check-In digital oder auch in Papierform hinterlegt) dürfen Hoteliers und andere Beherbergungsgeber nur die gesetzlich erforderlichen Daten erfassen aber nicht mehr Informationen als notwendig. Meldedaten und sonstige Daten sind voneinander getrennt zu erheben und müssen unterscheidbar sein. Die Meldebehörden darf auf Anforderung nur die Einsicht in die Meldedaten gegeben werden, nicht aber in (freiwillige) Zusatzangaben. Meldescheine sind ein Jahr lang aufzubewahren und vor unberechtigtem Zugriff Dritter schützen. Nach Fristablauf sind diese zu löschen. Gäste sind über die Verarbeitung ihrer personenbezogenen Daten zu informieren wozu auch die Rechtsgrundlage und der Zweck der Datenerhebung gehören.


Kreditkartendaten

Kreditkartendaten werden häufig bereits im Rahmen der Ankunft erfasst, zum Beispiel als Kaution. Bonitätsprüfungen durch Abbuchung eines bestimmten Betrages sind aber nur rechtmäßig, wenn der Kreditkarteninhaber zuvor über diesen Zweck aufgeklärt worden ist und die Daten freiwillig von Ihnen erfasst werden. Können Sie das nicht sicherstellen, verlangen Sie lieber Vorkasse oder eine Barkaution. Machen Sie die Hinweise zum Datenschutz im Rahmen der Verarbeitung der personenbezogenen Daten Ihren Gästen bekannt.


Gästehistorie in der Software

Die zentrale Speicherung und Verwaltung von Gastdaten erfolgen in der Regel in einer dafür bereitgestellten Software. Stellen Sie sicher, dass kein Unbefugter Zugriff auf Kundendaten nehmen kann oder andere Informationen erhält. Sichern Sie papierbasierte Unterlagen in abschließbaren Schränken und Schützen die elektronischen Daten durch eine Bildschirmsperre und einen adäquaten Passwortschutz. Bei der gemeinsamen Nutzung einer Software mit Partnerunternehmen ist darauf zu achten, dass die jeweilige Herberge nur die eigene Gästehistorie einsehen kann.


Marketing und Kundenbindung

Daten, die im Rahmen der Buchung oder Anmeldung auch über die gesetzlich verlangten Daten im Meldeschein hinaus angegeben oder abgefragt worden sind, dürfen nur mit Einwilligung auch für Werbezwecke oder zur Kundenbindung genutzt werden, worüber Sie idealerweise, bereits zum Zeitpunkt der Datenerhebung informieren und die Einwilligung, einholen. Bitte denken Sie aber daran, dass einmal erteilte Einwilligungen jederzeit widerrufen sind, was bei künftigen Marketingaktionen dann zu berücksichtigen ist.


Unachtsame Gespräche vermeiden

Führen Sie Gespräche mit Kunden und Mitarbeitern im Idealzustand in geschützten Räumen und achten darauf, dass Personen an Ihren Gesprächen Gespräch nicht teilhaben. Wahren Sie auch im Rahmen von Telefonaten besondere Diskretion und geben Sie nur telefonische Auskünfte, sofern die Identität des Anrufers zweifelsfrei feststeht.


Weitere Best Practise finden Sie hier


Wenn Sie sich für weitere Informationen interessieren, so stellen wir Ihnen gerne eine erste Checkliste zur Verfügung. Im Gespräch lassen sich Ihre Fragen klären. Kommen Sie gerne auf uns zu. Wir sind für Sie da.