DSGVO in der Hotellerie – Das Monster im Aktenschrank (1/5)

Die Datenschutzgrundverordnung treibt momentan wohl allen die “irgendwas mit dem Internet” machen, den Schweiss auf die Stirn. Ein Thema, dass in den Medien hochgepusht wird und in dem viele Unsicherheiten bestehen. Das liegt nicht zuletzt an der laxen Formulierung der Verordnung, sondern auch an den Winkeladvokaten die im Netz Angst und Panik verbreiten.

Aus diesem Grund habe ich mir für die nächsten 5 Podcast-Episoden einen Datenschutzbeauftragten eingeladen, der dir und mir Rede und Antwort steht. Denn ich bin der Meinung, dass die DSGVO grundsätzlich eine gute Sache ist und die Herausforderung in der Umsetzung liegt.
Heute beginnen wir mit der “analogen DSGVO” in der Hotellerie.
Du kannst diese Episode hören oder wenn du lieber liest, kommt hier der Artikel für dich.

[blue_box]

Ich möchte aber auch daraufhin weisen, dass weder Ingo noch ich Rechtsanwälte sind und das hier keine Rechtsberatung darstellt. Ich möchte dich bitten für deinen speziellen Fall zu dem Anwalt deines Vertrauens zu gehen. Ingo ist Datenschutzbeauftragter und deshalb spreche ich heute mit ihm.

[/blue_box]

Valerie: Vielen Dank Ingo, dass du dir die Zeit nimmst mit mir über die DSGVO in der Hotellerie zu sprechen. Stell dich doch den Hörern kurz vor. Wer bist du und was machst?

Ingo Busch: Vielen Dank für die Einladung. Ich bin von Haus aus gelernter Software-Entwickler und habe auch viele Jahre als Projektleiter in Software-Projekten gearbeitet. Parallel dazu habe ich vor neun Jahren meinen Reiseblog Reise-Wahnsinn gestartet und helfe seitdem auch vielen anderen Bloggern beim technischen Betrieb ihrer Blogs.

Ich werde daher auch der „Blog-Doktor“ genannt. Durch diese Tätigkeiten bin ich schon seit vielen Jahren immer wieder mit Fragen des Datenschutzes konfrontiert gewesen. Natürlich verstärkt im letzten halben Jahr, bevor die Datenschutzgrundverordnung Gültigkeit erlangte.
Letztendlich habe ich mich also dazu entschieden, mein vorhandenes Wissen auszubauen und mich von der Dekra im Datenschutz zertifizieren zu lassen. Ich bin nun als Datenschutzberater tätig und übernehme auch die Rolle als externer Datenschutzbeauftragter bei meinen Mandanten.

Die Datenschutzgrundverordnung greift sofort und unmittelbar

Valerie: Die Datenschutzgrundverordnung – kurz DSGVO – ist am 25. Mai in Kraft getreten.

Was bedeutet das genau? In Deutschland hatten wir doch bisher auch einen strengen Datenschutz.
Was hat sich geändert? Oder kannst du kurz einen grundlegenden Einblick geben?

Ingo: Vollkommen richtig, was du sagst. Wir hatten in Deutschland schon immer ein sehr strenges Datenschutzrecht. Nicht zuletzt durch das berühmte „Volkszählungsurteil“ des Bundesverfassungsgerichts, welches 1983 das „Recht auf informationelle Selbstbestimmung“ aus der Taufe hob.

Da Europa bisher in Datenschutzbelangen ein Flickenteppich war, der trotz einer EU-Richtlinie zum Datenschutz nicht zu einer Vereinheitlichung der Datenschutz-Regelungen führte, hat man sich in Brüssel dazu entschieden, den Datenschutz im Rahmen einer Verordnung zu regeln.

Im Unterschied zu einer Richtlinie, die erst durch die einzelnen Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt wird, greift die Verordnung sofort und unmittelbar. Einzig bei sogenannten Öffnungsklauseln in der Verordnung wird es den Mitgliedsstaaten erlaubt, Details in eigenen Gesetzen zu regeln. In Deutschland haben wir nicht jede Öffnungsklausel genutzt, aber viele.

Diese sind im neuen Bundesdatenschutzgesetz geregelt, welches ebenfalls seit 25. Mai in Kraft getreten ist. Man darf daher die DSGVO nicht isoliert betrachten, sondern muss hier in Deutschland die DSGVO immer in Verbindung mit dem Bundesdatenschutzgesetz sehen.

Im Prinzip hat sich mit dem 25. Mai für uns in Deutschland eigentlich nicht viel geändert. Die Rechte der betroffenen Personen wurden gestärkt und auch die Dokumentations- und Aufklärungspflichten sind grösser geworden.

Und ja, es wurden mit der DSGVO auch die möglichen Bussgelder erhöht: Waren es bisher maximal 300 Tausend Euro, die als Bussgelder verhängt werden konnten, sind es nun bis zu 20 Millionen Euro. Ich denke, dass ist der Grund, warum der Datenschutz – auch in den Medien – stärker in den Fokus gerutscht ist und die Verunsicherung bei den Unternehmen so gross ist.

Was sind personenbezogene Daten?

Ingo: Als personenbezogene Daten werden all die Daten bezeichnet, die eine natürliche Person identifiziert oder diese identifizierbar macht. Und das sind eine Menge Merkmale. Name und Vorname – leuchtet jedem ein. Es kann aber auch eine Kontonummer oder ein Auto-Kennzeichen sein.

Von diesen „normalen“ personenbezogenen Daten sind ergänzend noch die sogenannten besonderen Kategorien personenbezogener Daten zu unterscheiden. Dazu gehören beispielsweise Daten zur ethnischen Herkunft, zu politischen Meinungen oder auch die religiöse oder weltanschauliche Überzeugung. Und selbstverständlich auch Gesundheitsdaten! Auch Informationen zum Sexualleben oder zur sexuellen Orientierung.

Warum sind Hotels davon betroffen?

Nun. Hotels verarbeiten in der Regel eine ganze Menge personenbezogener Daten. Beim Check-In muss ich ja bereits schon meinen Namen und meine vollständiger Adresse nennen. Ergänzend mitunter noch meine Passnummer.
Und auch Informationen zu meinen Ernährungsgewohnheiten – zum Beispiel glutenfreie Kost – werden erfasst. Das sind allerdings Daten, die auch auf Erkrankungen schliessen lassen.

Der Anfang allen Übels: Der Meldeschein…

Valerie: Also fängt das ganze schon beim analogen Meldeschein an. Ich erinnere mich noch an meine Zeit am Empfang, dass wir diese Meldescheine akribisch abgeheftet haben, meistens in einem Ordner nach Jahr, Monat und Anreisetag. Was ändert sich nun? Was müssen Hoteliers jetzt beachten?

Ingo: Wenn auf dem Meldeschein auch Informationen erfasst werden, die über die gesetzlichen Pflichten hinaus gehen – ich denke da an die Bestellung eines Newsletters unter Angabe einer E-Mail-Adresse – dann sollte dieser Meldeschein zwei geteilt sein.

In einen Teil mit den vorgeschriebenen Meldedaten und einen Teil mit den freiwilligen Angaben des Gastes und seiner Einwilligung zur Verarbeitung und Speicherung. Auf der Rückseite würde ich die ausführliche Informationen zur Einwilligung und den Betroffenenrechten abdrucken.

Wie lange darf ich den Meldeschein aufbewahren?

Ingo: Wenn ich das richtig im Kopf habe, müssen nach dem Bundesmeldegesetz Meldescheine ein Jahr aufbewahrt werden. Danach ist der Zweck entfallen und sie müssen vernichtet werden.

Daher ist auch die Zweiteilung des Meldescheins sinnvoll. Der obere Teil mit den Meldedaten kann abgeschnitten werden und der untere Teil mit den freiwilligen Angaben und der Einwilligung kann als Nachweis der Einwilligung archiviert werden. Allerdings auch nur so lange, bis der Gast die Einwilligung zurück zieht, also zum Beispiel den Newsletter abbestellt. Dann ist auch dieser Teil zu vernichten.

Und bitte die abgeschnittenen Meldezettel nicht einfach ins Altpapier werfen. Diese müssen sicher vernichtet – also im Aktenvernichter geschreddert – werden!

…und mündet im Verarbeitungsverzeichnis

Valerie: Du hast vorhin mal das Verarbeitungsverzeichnis erwähnt. Was ist das und warum betrifft das auch die Hotellerie? Brauchen Hoteliers so ein Verzeichnis?

Ingo: Jedes Unternehmen, dass nicht nur gelegentlich, personenbezogene Daten verarbeitet, benötigt ein Verfahrensverzeichnis. Also auch Hotels.

Im Verfahrensverzeichnis werden alle Verfahren und Prozesse beschrieben, in denen personenbezogene Daten verarbeitet werden.
Das Verfahrensverzeichnis ist auch immer aktuell zu halten und muss auf Verlangen der Aufsichtsbehörde, also dem zuständigen Landesdatenschutzbeauftragten, vorgelegt werden.

Optisch ansprechend, Fehlanzeige

Valerie: Und wie sollte so ein Verzeichnis aussehen? Und wo wird es abgelegt? Ist das auch digital möglich?

Ingo: Zuerst einmal ist keine Form vorgeschrieben. Ausser, dass es schriftlich zu führen ist. Das darf auch digital geschehen. Allerdings muss das Verzeichnis bestimmte Positionen beinhalten. So muss beispielsweise pro Verfahren angegeben werden, wie das Verfahren heisst, wer im Unternehmen zuständig ist und was der Zweck des Verfahrens ist – also beim Beispiel des Meldescheins ist es eine gesetzliche Verpflichtung, die sich aus dem Bundesmeldegesetz ergibt – und viele weitere Angaben. Dazu gehören auch die Löschfristen oder auch was ich als Verarbeiter zum Schutz dieser Daten mache.

Um beim Meldezettel zu bleiben, wäre hier als „technische und organisatorische Massnahme“ (TOM) – wie es in der DSGVO heisst – zu bestimmen, dass die Ordner mit den Meldezetteln in einem verschlossenen Schrank aufzubewahren sind.

Valerie: Und wie kann man dieser ganzen Bürokratie Herr werden? Was sollen Hoteliers deiner Meinung nach tun?

Ingo: Es mag tatsächlich sehr nach Bürokratie klingen. Aber gerade die Erstellung des Verfahrensverzeichnisses öffnet einem teilweise die Augen, wo man überall im Unternehmen personenbezogene Daten verarbeitet und auch, wie man diese eventuell besser vor unbefugtem Zugang schützen könnte. Wenn man sich ran hält, sollte diese Arbeit – je nach Grösse des Hotels – in zwei bis drei Tagen erledigt sein.

Wer sich trotzdem ein wenig davor scheut, auch weil er befürchtet Fehler zu machen, der sollte sich Hilfe holen. Zum Beispiel bei uns Datenschutzberatern. Wir unterstützen nicht nur bei der Erstellung des Verfahrensverzeichnisses, sondern beraten auch in allen anderen Datenschutzfragen. Auch wenn es darum geht, dass der Hotelier unter Umständen einen Datenschutzbeauftragten bestellen muss.

Kurz und knackig, aber zackig

Valerie: Vielen Dank für die ausführlichen Antworten Ingo. Kannst du die, ich nenne es jetzt mal analoge DSGVO, nochmal kurz und knackig, stichwortartig zusammenfassen?

Ingo: Der lockere Umgang, der mitunter bisher mit den personenbezogen Daten vorherrschte, ist seit dem 25. Mai Geschichte. Wer sich bisher noch nicht oder nicht komplett um den Datenschutz in seinem Haus gekümmert hat, sollte sich schnell darum kümmern. Bis Jahresende werden die Aufsichtsbehörden noch überwiegend Rücksicht nehmen und wahrscheinlich nur in Einzelfällen Bussgelder verhängen.

Aber spätestens 2019 wird es ernst.Du solltest als Hotelier tatsächlich alle Prozesse – eben auch den Umgang mit dem analogen Meldeschein – beleuchten und überarbeiten. Dazu gehört auch, dass ich die bisher genutzten Meldescheine nicht mehr weiter benutze, nur weil davon noch tausend Exemplare im Keller lagern. Die bisherigen Meldescheine erfüllen nämlich meistens nicht die geforderten Informationspflichten.

Die Telefonzelle erlebt ein Revival

Valerie: Und zu guter letzt: Das Telefon. Oftmals klingelt am Empfang, der sich oftmals in der Nähe der Lobby befindet das Telefon. Nun nennt der Mitarbeiter – weil man das so macht – den Namen „Ach Herr Müller, schön dass Sie anrufen. Ja gerne reservieren wir Ihnen ein Zimmer vom 1. – 5. Dezember! Wie immer, ja. Wir freuen uns! Bis dann.”

Sollte der Hotelier das Telefon nicht eher in einen Schallgeschützten Raum verlegen?

Ingo: Du sprichst mit deiner Frage gleich zwei kritische Punkte an: Wenn Herr Müller nicht bei der vorherigen Übernachtung zugestimmt hat, dass er als Stammgast gespeichert wird, dann ist die Aussage „Wie immer, ja.“ schon kritisch. Ich weiss, das klingt nicht sehr gastfreundlich. Wenn jedoch der Rezeptionsmitarbeiter diese Information NICHT aus dem Computer erfahren hat, sondern Herrn Müller aus seinem Gedächtnis heraus als Stammgast identifiziert, dann ist alles gut!

Um den zweiten Teil deiner Frage zu beantworten: Ja, es wäre sinnvoller, Telefonate in einem Nebenraum zu führen, sodass andere Hotelgäste, die an der Rezeption stehen, das Telefonat und eventuell übermittelte personenbezogene Daten nicht mithören können.

Valerie: Vielen Dank für das Gespräch und bis zum nächsten Mal!
In der nächsten Episode sprechen wir dann über die digitale DSGVO in der Hotellerie.

[blue_box]
An dieser Stelle nochmal der Hinweis, dass es ich hier um keine Rechtsberatung handelt, sondern Ingo als Datenschutzbeauftragter einfach mehr weiss und zur DSGVO sagen kann. Bitte wende dich für dein Unternehmen an den Anwalt deines Vertrauens.
[/blue_box]

[blue_box]
Wie sieht das bei dir aus?

Bist du “schon” fit für die DSGVO?

Was sind deine Herausforderungen? Schreib es in die Kommentare.

Du erhälst mit Sicherheit eine Antwort.
[/blue_box]

Über den Gesprächsparnter: Ingo Busch, Datenschutzbeauftragter

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als TÜV-zertifizierter Datenschutz-Beauftragter und -Auditor kümmert er sich bei einer Unternehmensgruppe mit 5000 Mitarbeitern in Deutschland um die datenschutzrechtlichen Belange. Privat führt er seit über 10 Jahren einen erfolgreichen Reiseblog und podcastet zu Luftfahrt-Themen.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Eine Antwort zu „DSGVO in der Hotellerie – Das Monster im Aktenschrank (1/5)“

  1. […] Die aktuelle Folge – auch zum Nachlesen – gibt es hier. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert