DSGVO in der Hotellerie – Lass das mal mit der Digitalisierung! (2/5)

| Ein Kommentar

Die DSGVO und Digitalisierung in der Hotellerie: gegenteiliger könnte es nicht sein. Verwendest du Google Analytics um den Traffic auf deiner Website zu messen? Bietest du einen Newsletter an, um deine Gäste regelmässig zu informieren? Können deine Gäste mit dem Smartphone Türen öffnen oder hast du vielleicht eine Alexa für den Room Service im Hotelzimmer? Dann ist diese Episode für dich! Und wenn du lieber liest, kommt hier der Artikel für dich.

Ich begrüsse erneut Ingo Busch von der Datenschutzberatung Köln und wir sprechen heute über die Punkte die Hoteliers im Digitalen betreffen.
[blue_box]

Ich möchte aber auch daraufhin weisen, dass weder Ingo noch ich Rechtsanwälte sind und das hier keine Rechtsberatung darstellt. Ich möchte dich bitten für deinen speziellen Fall zu dem Anwalt deines Vertrauens zu gehen. Ingo ist Datenschutzbeauftragter und deshalb spreche ich heute mit ihm.

[/blue_box]

Ist die DSGVO das Aus für die Digitalisierung in der Hotellerie?

Valerie: Beim letzten Mal ging es um Meldescheine und die “analoge DSGVO”. Heute sprechen wir über Digitalisierung, Tools und was bei E-Mails oder Newsletter zu beachten ist.

Stellen wir uns vor ein Gast bucht über die Hotel-Website ein Zimmer. Im Prinzip geht es doch auf der Website im Buchungsprozess schon los, oder?

Ingo Busch: Vollkommen richtig. Hier werden bereits die ersten personenbezogenen Daten erfasst. Und zwar noch vor der Buchung! Schon mit dem Besuch der Website wird durch den Webserver beispielsweise die IP-Adresse in einer Log-Datei erfasst. Und die IP-Adresse des Website-Besuchers gilt als personenbezogenes Datum.
 Wenn es dann zur eigentlichen Buchung kommt, dann kommt noch eine ganze Menge personenbezogener Daten hinzu: Name, Adresse, Kreditkartennummer, und, und, und….

Valerie: Meistens werden die Booking Engines auf der Website über Drittanbieter bereitgestellt. Und natürlich gibt es im Hintergrund eine Datenbank, die die eingegeben Daten der Gäste speichert und an das Hotel übermittelt.
Was brauchen Hoteliers dafür? Es gibt ja dieses Unwort Auftragsverarbeitungsvertrag (ADV/AVV). Was hat es damit auf sich?

Ingo: Also erst einmal kommt es darauf an, wie das Verhältnis zwischen Hotelier und Booking Engine ist. Wenn ich als Hotelier die Booking Engine auf meiner eigenen Website nutze und dort beispielsweise als Widget eingebunden habe, dann dürfte eine Auftragsverarbeitung gegeben sein.

Wenn ich als Hotelier jedoch keine Buchungsmöglichkeit auf meiner Website anbiete – auch das kommt häufig genug vor – oder ich eine eigene Buchungsmöglichkeit anbiete, ist die Sache einfacher. Das gleiche trifft auch zu, wenn ich eine Booking Engine als eine Art Plugin auf meiner Website einbinde und keine Daten nach außen fließen. Auch in diesem Fall liegt keine Auftragsverarbeitung vor.

Sobald jedoch eine Auftragsverarbeitung vorliegt, muss ich mit dem Auftragsverarbeiter einen entsprechenden Vertrag schließen. Das wäre bei der Website schon der Webhoster, bei dem ich meine Website hosten lasse, weil dieser auf dem Webserver die IP-Adressen meiner Website-Besucher speichert.

Ausnahmeregelungen aufgrund berechtigtem Interesse?

Valerie: Ich hab auf meinem Blog einen Gastbeitrag zur DSGVO und der Auswirkung auf die Hotellerie. Darin schreibt der Autor:

„Allerdings gibt es hierbei auch eine Ausnahmeregelung. Besteht nach der DSGVO ein berechtigtes Interesse, kann das Hotel beispielsweise die E-Mail-Adresse zum Newsletter-Versand nutzen, ohne dass die Person ausdrücklich zugestimmt hat. Ein berechtigtes Interesse liegt dann vor, wenn die betroffene Person ein bestehender oder ehemaliger Gast des Hotels ist, der dieses bereits mindestens einmal gebucht hat. Wichtig ist hierbei nur, dass kein Widerspruch stattgefunden hat.“

Valerie: Was genau ist denn berechtigtes Interesse? Hat nicht jeder der etwas verkaufen will, ein berechtigtes Interesse? Schliesslich geht es um Verkauf und Umsatz.

Ingo: Puh. Die Meinung teile ich nicht wirklich. Denn wenn ich die E-Mail-Adresse nur zum Versand der Buchungsbestätigung benötigt habe, dann darf ich sie auch nur zu diesem Zweck verwenden.

Das nennt man die Zweckbindung.

Und in diesem Fall ist der Zweck die „Erfüllung vertraglicher oder vorvertraglicher Maßnahmen“. Das heißt die E-Mail-Adresse ist spätestens nach Erfüllung des Zwecks zu löschen.

Da hilft meines Erachtens auch kein berechtigtes Interesse. Es sei denn, ich habe den Gast bereits während der Buchung darüber aufgeklärt, dass ich beabsichtige, ihm zukünftig auch einen Newsletter zu schicken. Dann dürfte es – bis zum Widerspruch der betroffenen Person – nach dem Datenschutzrecht in Ordnung sein.

Allerdings bin ich der Meinung, dass ich mich als Hotelier dann immer noch auf extrem dünnen Eis bewege. Nicht umsonst ist heutzutage das Double-Opt-In bei Newsletter-Abos üblich. Es gab wegen unverlangt zugesandter Newsletter in der Vergangenheit schon genügend Abmahnungen und Gerichtsurteile, die sich meines Wissens oftmals auf das UWG bezogen. Also gar nicht auf den Datenschutz.

[white_box]Was ist ein Double Opt-In?
Dein Website-Besucher meldet sich über ein Anmeldeformular zu deinem Hotel-Newsletter an. Er gibt Name und Email-Adresse an und klickt auf “Newsletter abonnieren”. Dann erscheint auf dem Desktop die Meldung “Wir haben dir einen Link zur Bestätigung deiner Anmeldung gesendet. Bitte sieh auch im Spam-Ordner nach.” Dein User geht in seine Emails und bestätigt erneut (also doppelt) dass er deinen Newsletter erhalten will. Damit stellst du die Anmeldung deines Newsletters per Double Opt-In zur Verfügung und das ist DSGVO-konform. ;)[/white_box]

Ingo: Aber kommen wir nochmal auf das berechtigte Interesse. Dieses liegt zum Beispiel vor, wenn ich ein Analyse-Tool, wie zum Beispiel Google Analytics oder auch Matomo – vormals Piwik – auf meiner Website einsetze. Dann liegt mein berechtigtes Interesse als Website-Betreiber darin, die Website stetig zu verbessern und die User Experience zu erhöhen.

Ein anderes Beispiel ist die Videoüberwachung. Diese kann ich zum einen zur Wahrnehmung des Hausrechts durchführen, ich kann aber auch das berechtigte Interesse haben, meine Hotelgäste besser vor Diebstählen und Zimmer-Einbrüchen zu schützen.

Valerie: Heisst das auch, dass es einen sogenannten „Bestandsschutz“ gibt?

Ingo: Ja, es gibt einen Bestandsschutz. Und zwar für personenbezogene Daten, die ordnungsgemäß erhoben wurden und die Betroffenen über den Zweck, die Speicherdauer und vor allem über ihre Rechte aufgeklärt wurden.

Cookies auf Websiten

Bestandsschutz beim Newsletter-Marketing?

Valerie: Gerade im E-Mail-Marketing hat man ja in den letzten Wochen gesehen, dass scheinbar nicht alle das Double-Opt-In verwendet haben. (Kurze Erklärung zum DOI) Ich hab gefühlt 1000 Emails erhalten, die mich nochmal auffordern, den Erhalt des NL zu bestätigen. Also eher kein Bestandschutz, oder?

Ingo: Tja… Ich denke, dass die Aufforderungen oftmals aus Unsicherheit versendet wurden. Aber in einem nicht unerheblichen Teil wurden diese Emails verschickt, weil man sich nicht sicher war, wann, wieso und auf welchem Wege man die E-Mail-Adressen erfasst hat. Und ob je die Newsletter-Bestellungen korrekt per Double-Opt-In bestätigt wurden. Es fehlte den Unternehmen schlicht am Nachweis, dass die Einwilligung ordnungsgemäß erteilt wurde. Und dieser Nachweis der Einwilligung ist mit der DSGVO zwingend vorgeschrieben.

Das bedeutet im Umkehrschluss: Wer bisher beim Newsletter schon das Double-Opt-In-Verfahren einsetzte und auch bei jedem einzelnen Abonnenten die Einwilligung nachweisen kann, für den gilt der Bestandsschutz.

Valerie: Dann gibt es, und darüber habe ich auch schon ein Podcast Interview geführt, Messenger Newsletter. Das heisst einen Newsletter direkt auf das Smartphone des Abonnenten über WhatsApp. Das Tool dafür verwende ich auch.

Ich habe z.B. einen ADV mit dem Anbieter und hab das auch in meiner Datenschutzerklärung aufgeführt. Allerdings bin ich alleine. Bei Hotels gibt es unterschiedliche Abteilungen. Die Mitarbeiter z.B. in der Marketing und Kommunikationsabteilung können also auf diese Daten zugreifen, denn irgendeiner muss das ja auch versenden und betreuen.
Wenn ein Hotel das machen möchte, was muss es hinsichtlich DSGVO berücksichtigen? (Stichwort: Geheimhaltungserklärung?)

Ingo: WhatsApp ist ein ganz heißes Eisen! Der Dienst treibt allen Datenschützern den Schweiß auf die Stirn. Denn leider ist es immer noch Usus, dass ungefragt Telefonnummern an WhatsApp übertragen werden. Auch hat Facebook – als Mutter von WhatsApp – immer noch nicht die Idee verworfen, die WhatsApp-Daten mit denen von Facebook abzugleichen und zu vermengen. Ich würde daher zur Zeit auf den Einsatz von WhatsApp im Unternehmen – nicht nur für Newsletter – konsequent verzichten.

Was aber die verschiedenen Abteilungen im Unternehmen bei der Verwaltung und dem Versand von Newslettern angeht, so muss ich auch dort – wie bei allen anderen Prozessen – durch geeignete technische und organisatorische Maßnahmen – die sogenannten TOMs – dafür sorgen, dass nur berechtigte Personen Zugriff auf diese Daten haben. Und die betreffenden Mitarbeiter sollten auf das Datengeheimnis verpflichtet werden.

Valerie: Oftmals kommen Buchungen auch über die Online Travel Agencies (OTA). Wer ist denn da verantwortlich für die Daten? Schliesslich übermittelt z.B. HRS die Daten an den Hotelier und wenn es eine Schnittstelle gibt, dann übermittelt die die Daten in die Hotelsoftware. Das ist so komplex: Was muss der Hotelier hier beachten? Einen ADV mit dem OTA abschliessen?

Ingo: Die Online Travel Agencies wie HRS listen das Hotel zwar in ihren Verzeichnissen, aber der Hotel-Gast schließt in erster Linie einen Vertrag, ich glaube es ist ein Vermittlungsvertrag, mit der Online Travel Agency. Und diese übermittelt die Daten dann an das gebuchte Hotel.

Das haben die Online Travel Agencies – ich denke an den deutschen Platzhirschen – auch gut in ihren Datenschutzerklärungen erläutert.
Ich denke, dass hier keine Auftragsverarbeitung vorliegt, sondern nur eine Weitergabe der Daten von der OTA an das Hotel. Und über die Weitergabe der Daten wurde der Hotelgast durch die OTA aufgeklärt und dieser hat auch – im besten Fall – in die Weitergabe eingewilligt.

Valerie: Und wer haftet? Nachdem EuGH- Urteil über Facebook, könnte man ja auf die Idee kommen zu sagen, dass auch der Hotelier haftet für Verstösse des OTA. Recht wirr, aber das ist das EuGH Urteil mE auch.

Ingo: Ich denke, dass EuGH-Urteil zu den Facebook-Seiten können wir außer Acht lassen. Hier ging es um die gemeinsame Verarbeitung.

Ich gehe davon aus – aber ich bin kein Jurist – dass es sich genauso verhält wie bei einem Buchverlag und Amazon. Hier würde der Buchverlag – selbst wenn er eBooks ausschließlich über Amazon vertreiben würde – auch nicht als gemeinsamer Verantwortlicher angesehen. Und müsste dementsprechend auch nicht für Datenschutz-Verstöße seitens Amazon haften.

Valerie: Ich bin eine Verfechterin der Digitalisierung in der Hotellerie und schreibe und rede über digitales Hotelmanagement. Auf meinem Blog hab ich schon einige Tools vorgestellt. Meistens Apps die sich der Gast runterladen kann. Es gibt Anwendungen mit denen Gäste einchecken können, Zimmertüren öffnen sich usw.
Ist das noch anwendbar und DSGVO -konform? Braucht der Hotelier auch hier wieder einen AVV?

Ingo: Kommt drauf an. Es kommt tatsächlich auf die konkrete technische Ausgestaltung an. Wenn ich einen virtuellen Zimmerschlüssel per QR-Code mit einem anonymisierten oder pseudonymisierten Code auf das Smartphone übertrage, kann es sein, dass keine Auftragsverarbeitung vorliegt. In den meisten Fällen dürfte das jedoch nicht der Fall sein und man muss einen Vertrag über Auftragsverarbeitung schließen.

Valerie: In Amerika ist es fast schon Gang und Gäbe, in Deutschland noch in den Kinderschuhen. Smart Homes bzw. Smart Hotels. Also die Steuerung mittels Sprachassistent im Hotelzimmer. Wie siehst du das als Datenschutzbeauftragter?

Ingo: Wieder so ein heißes Eisen.

Die Sprachassistenten, wie beispielsweise Amazons Alexa, sind nämlich nicht ganz so sicher, wie uns durch die Anbieter glaubhaft machen wollen. So wurde ausgerechnet am 25. Mai bekannt, dass in den USA eine Alexa in einem Privathaushalt ohne Einschränkung Gespräche mitgeschnitten hatte und die Mitschnitte – so ist es von Amazon vorgesehen – auch zu Amazon übermittelt und dort gespeichert wurden.

Ingo: Das ist meines Erachtens nicht nur ein grober Datenschutzverstoß, sondern kann auch ein Verstoß gegen die Vertraulichkeit des Wortes sein. Und das wäre ein Straftatbestand nach Paragraph 201 des Strafgesetzbuches.
Auf jeden Fall würde ich als Hotelier versuchen – ich weiß nicht ob es in der Praxis gelingt – einen Auftragsverarbeitungsvertrag mit Amazon zu schließen. Denn für die Spracherkennung werden schließlich – mitunter auch personenbezogene Daten – übermittelt und verarbeitet.

Wie lange dürfen digitale Daten gespeichert werden?

Ingo: Es kommt wieder darauf an. Rechnungen müssen beispielsweise gemäß der Abgabenordnung 10 Jahre aufbewahrt werden. Für andere Daten gibt es ganz verschiedene Aufbewahrungsfristen und -Pflichten.
Wenn ich jedoch eine Liste mit Newsletter-Abonennten habe, jedoch fünf Jahre lang keinen einzigen Newsletter versendet habe, dann ist davon auszugehen, dass der Zweck zwischenzeitlich entfallen ist und ich diese Daten löschen muss.
Wie gesagt, es kommt auf den Einzelfall an, wie lange – nicht nur elektronische – personenbezogene Daten gespeichert werden dürfen.

Wie werden elektronischen Daten denn korrekt gelöscht?

Valerie: Beim letzten Interview hast du gesagt, Meldescheine bzw. Dokumente mit personenbezogenen Daten müssen geschreddert werden. Wie können denn digitale Daten zerstört werden, so dass sie auch nicht mehr herstellbar sind?

Ingo: Da gibt es auf der Website des BSI – Bundesamt für Sicherheit in der Informationstechnik eine Handreichung zum sicheren Löschen digitaler Daten. Das sind meistens Programme mit dem die Festplatte nach einer bestimmte Methode zwanzig mal überschrieben wird.

Und alte Festplatten und auch USB – Sticks, dass heisst alle Datenträger, sollte man einem zertifizierten Vernichtungsunternehmen übergeben. Der Bekannteste dürfte da “Reisswolf” sein. Das ist vor allem dann wichtig, wenn die Festplatte defekt ist. Denn da hat man meistens nicht mehr die Chance mit Software Daten darauf kaputt zu überschreiben.

Es gibt auch Aktenvernichten die mittlerweile einen Schlitz haben zu Vernichtung von Kreditkarten und CDs.

Und braucht der Hotelier für die digitale DSGVO auch ein Verfahrensverzeichnis? Wie sieht das aus?

Ingo: Aber sicher! Der Verordnungsgeber macht nämlichen keinen wirklichen Unterschied, ob ich personenbezogene Daten elektronisch oder auf Papier verarbeite. Es reicht, wenn personenbezogene Daten in einem sogenannten Dateisystem gespeichert werden. Und damit ist nicht das Dateisystem auf der Festplatte meines Computers gemeint – was sehr naheliegend wäre. Nein, es ist jede Art von strukturierter Datenspeicherung und -Ablage gemeint. Das heißt auch der gute alte Leitz-Ordner stellt ein Dateisystem dar.

Was in das Verfahrensverzeichnis gehört, und wie es geführt werden muss, hatte ich in der letzten Folge bereits erläutert. Hier aber nochmal in Kürze: Im Verfahrensverzeichnis – beziehungsweise korrekt das Verzeichnis über die Verarbeitungstätigkeiten – sind alle Verfahren aufzulisten, bei denen personenbezogene Daten verarbeitet werden. Dazu gehören pro Verfahren Angaben zur Bezeichnung des Verfahrens, die verantwortliche Stelle im Unternehmen, die TOMs – also die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten – aber auch ein Löschkonzept.

Das Verfahrensverzeichnis ist stets aktuell zu halten und muss auf Verlangen der Aufsichtsbehörde, also dem Landesdatenschutzbeauftragten, vorgelegt werden.
Ob ich das Verfahrensverzeichnis elektronisch führe oder auf Papier ist übrigens egal.

In der nächsten Folge sprechen wir über den Datenschutz bei Video-Überwachung! Das betrifft vermutlich alle Hotels in Deutschland.

Vielen Dank Ingo für deine Zeit und bis zum nächsten Mal!

[blue_box]

An dieser Stelle nochmal der Hinweis, dass es ich hier um keine Rechtsberatung handelt, sondern Ingo als Datenschutzbeauftragter einfach mehr weiss und zur DSGVO sagen kann.
Bitte wende dich für dein Unternehmen an den Anwalt deines Vertrauens.

[/blue_box]

[blue_box]

Und jetzt zu dir!

Hast du Fragen zum Thema oder willst etwas zur DSGVO sagen, dann schreib es gerne in die Kommentare!

Ingo und ich wollen noch eine weitere Episode aufnehmen und deine Fragen darin beantworten!

[/blue_box]

Über den Gesprächspartner: Ingo Busch, Datenschutzbeauftragter

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als TÜV-zertifizierter Datenschutz-Beauftragter und -Auditor kümmert er sich bei einer Unternehmensgruppe mit 5000 Mitarbeitern in Deutschland um die datenschutzrechtlichen Belange. Privat führt er seit über 10 Jahren einen erfolgreichen Reiseblog und podcastet zu Luftfahrt-Themen.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Eine Antwort zu „DSGVO in der Hotellerie – Lass das mal mit der Digitalisierung! (2/5)“

  1. […] Die aktuelle Folge – auch zum Nachlesen – gibt es hier. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert