Die Themen Datenschutz und Datensicherheit sind in Yachthäfen genauso aktuell und wichtig wie in Schiffsbaubetrieben und großen Werften. Heutzutage finden große Teile der Produktionsprozesse und Verwaltungsvorgänge digitalisiert statt. Hackerattacken, Ransomware, Datendiebstahl und Bot-Netz-Armeen aus dem Internet der Dinge sehen die dahinterstehenden IT-Systeme häufig als Angriffsziel. Ohne ausreichende IT-Sicherheit und systematische Datensicherung können dabei schnell sensible Daten verloren gehen. Sind personenbezogene Daten betroffen und gehen diese verloren, ist unter Umständen ein Fall der Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen gegeben. Das gilt es zu verhindern.
Ein angemessenes Schutzniveau im Umgang mit Daten und betrieblichen Informationen ist unabhängig von der Anzahl der Besucher und Mitarbeiter oder dem Umsatz des Unternehmens. Personenbezogene Daten und Unternehmensinformationen sind genauso zu schützen wie IT-Systeme und Räumlichkeiten. Technische Schutzmaßnahmen zum Beispiel im Rahmen der Liegeplatzverwaltung, des Auftragsmanagements, der Buchhaltung und des Verkaufs sind daher wichtige Bestandteile der rechtlichen Anforderungen und werden von Ihren Kunden und Lieferanten erwartet.
Technische Sicherheitsmaßnahmen allein sind allerdings nicht ausreichend, um das Unternehmen gegen Angriffe zu sichern. Der Faktor Mensch und entsprechende organisatorische Schutzmaßnahmen sind mindestes genauso wichtig. Geschulte und zuverlässige Mitarbeiter, die einen gesunden Menschenverstand einsetzen und bei Auffälligkeiten wachsam reagieren, gehören in jedes Unternehmen.
Durch ein sorgfältiges Datenschutzmanagementsystem können Risiken reduziert, der Datenschutz standardisiert und die Daten, die erhoben werden dürfen, geklärt werden. Schulungen der Mitarbeiter sollten dabei eine Selbstverständlichkeit sein und helfen, die Häufigkeit des Auftretens von Datenschutzverletzungen zu reduzieren.
Wir können Sie dabei unterstützen, Ihr bestehendes Datenschutzkonzept zu überprüfen oder ein solches zu entwickeln.
Für Unternehmen ab 20 Mitarbeitern besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt bei der Einhaltung der Datenschutzgrundsätze und das auch unabhängig davon, ob ein Hotel oder Touristikbetrieb dazu verpflichtet ist oder nicht.
In einem internen Datenschutzhandbuch oder Datenschutzplan sind alle organisatorischen Maßnahmen und technischen Schutzmaßnahmen aufzunehmen, die zu Einhaltung der Datenschutzanforderungen zu beachten sind. Richtlinien zum Datenschutz, Arbeitsanweisungen, Hinweise, technische Maßnahmen werden in einem solchen Datenschutzplan beschrieben, der auf Anforderung der Aufsichtsbehörden diesen vorlegbar sein sollte.
Die Verarbeitung personenbezogener Daten beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit der Erhebung von Gäste- aber auch Mitarbeiterdaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In dem Verzeichnis der Verarbeitungsvorgänge, werden alle Verarbeitungen festgehalten, in denen Patientendaten verarbeitet werden. Dazu gehören z.B. auch Meldescheine, Kreditkartendaten, Anschriften, Anmeldungen und Reservierungen. Das Verzeichnis der Verarbeitungsvorgänge ist einer Aufsichtsbehörde auf Nachfrage vorzulegen.
Bei der Auswahl externer Dienstleister ist darauf zu achten, dass auch diese einen rechtskonformen Umgang mit Daten gewährleisten. Notwendige Auftragsverarbeitungsverträge sind abzuschließen.
Videoüberwachung ist an manchen Orten nachvollziehbar aber muss zwingend datenschutzkonform gestaltet werden. Hier gilt es, besondere Regeln im Rahmen der technischen Umsetzung und Organisation zu etablieren.
Besuchern und Gästen sollten beim ersten Aufenthalt Information zum Datenschutz erhalten und der Nutzung ihrer Daten auch für Werbezwecke zustimmen, sofern Sie diese zur Kundenbindung weiterhin nutzen wollen.
Jedes Unternehmen mit einer Internetpräsenz muss auf dieser eine Datenschutzerklärungen bereitstellen, die möglichst spezifisch gestaltet ist und präzise Formulierungen enthält. Das gilt auch für Social Media Accounts.
Auskunftsverlangen, Datenlöschersuchen oder Beschwerden von Beherbergungsgästen und anderen Besuchern zur Verarbeitung ihrer personenbezogenen Daten sind zeitnah zu beantworten. Der Gesetzgeber sieht hierfür eine Monatsfrist vor. Untätigkeit oder Unvollständigkeit kann zu Beschwerden führen, die die zuständige Aufsichtsbehörde mit einem Bußgeld belegen kann.
Pflichtverletzungen oder ein Datenschutzvorfall kann zu Bußgeldern führen und kann im Falle der Verletzung der Verschwiegenheitsverpflichtung mit einer Geld- oder bis zu einjähriger Freiheitsstrafe geahndet werden. Achten Sie in Ihrem Alltag besonders auf folgende Hinweise:
Sorgen Sie auch bei hohem Besucheraufkommen dafür, dass die Privatsphäre der Liegeplatzgäste gewahrt wird. Vorsicht bei der Anfertigung von Kopien von Personalausweisen. Diese ist nun in gesetzlich definierten Ausnahmen erlaubt. Ein Verstoß kann als Ordnungswidrigkeit geahndet werden.
Im Meldeschein dürfen Betreiber von Yachthäfen nur die gesetzlich erforderlichen Daten erfassen aber nicht mehr Informationen als notwendig. Meldedaten und sonstige Daten sind voneinander getrennt zu erheben und müssen unterscheidbar sein. Die Meldebehörden darf auf Anforderung nur die Einsicht in die Meldedaten gegeben werden, nicht aber in (freiwillige) Zusatzangaben. Meldescheine sind ein Jahr lang aufzubewahren und vor unberechtigtem Zugriff Dritter schützen. Nach Fristablauf sind diese zu löschen. Gäste sind über die Verarbeitung ihrer personenbezogenen Daten zu informieren wozu auch die Rechtsgrundlage und der Zweck der Datenerhebung gehören.
Videoüberwachung ist durch entsprechende Hinweisschilder kenntlich zu machen und ist über den Umfang der Videoüberwachung zu informieren. Machen Sie die Hinweise zum Datenschutz im Rahmen der Verarbeitung der personenbezogenen Daten Ihren Gästen bekannt.
Leiharbeiter verfügen über vertrauliche Daten, die durch entsprechende Maßnahmen genauso geschätzt werden müssen, wie Kundendaten und Mitarbeiterdaten.
Führen Sie Gespräche mit Kunden und Mitarbeitern im Idealzustand in geschützten Räumen und achten darauf, dass Personen an Ihren Gesprächen Gespräch nicht teilhaben. Wahren Sie auch im Rahmen von Telefonaten besondere Diskretion und geben Sie nur telefonische Auskünfte, sofern die Identität des Anrufers zweifelsfrei feststeht.
Verpflichten Sie alle Mitarbeiter regelmäßig auf das Datengeheimnis und schulen Sie diese zum Datenschutz.
Daten, die im Rahmen der Liegeplatzverwaltung angegeben oder abgefragt worden sind, dürfen nur mit Einwilligung auch für Werbezwecke oder zur Kundenbindung genutzt werden, worüber Sie idealerweise, bereits zum Zeitpunkt der Datenerhebung informieren und die Einwilligung, einholen. Bitte denken Sie aber daran, dass einmal erteilte Einwilligungen jederzeit widerrufen sind, was bei künftigen Marketingaktionen dann zu berücksichtigen ist.
Weitere Best Practise finden Sie hier
Wenn Sie sich für weitere Informationen interessieren, so stellen wir Ihnen gerne eine erste Checkliste zur Verfügung. Im Gespräch lassen sich Ihre Fragen klären. Kommen Sie gerne auf uns zu. Wir sind für Sie da.