Datenschutz in der Hotellerie

Seit 25. Mai 2018 ist die „neue“ Datenschutz-Grundverordnung (DSGVO) in Kraft. Hotels müssen (so wie alle anderen Unternehmer) seitdem detailliert darlegen, welche personenbezogenen Daten von ihnen verarbeitet werden, wo diese liegen und wohin sie weitergegeben werden.

Spätestens seitdem muss dokumentiert werden, dass alle geeigneten Maßnahmen ergriffen wurden, um personenbezogene Daten rechtskonform zu bearbeiten. Der Betrieb muss also beweisen, dass er alles richtig gemacht hat.

Viele Hotels haben sich in Folge der neuen Verordnung darum gekümmert, die eigenen Prozesse möglichst datenschutz-konform aufzustellen. Da es bisher aber auch für DSGVO-Verweigerer größtenteils an Sanktionen gemangelt hat, hat sich die erste Aufregung rund um die neuen Pflichten bald wieder gelegt. Eine große Anzahl an Hotelbetrieben hat auch heute noch keine oder nur unzureichende Maßnahmen getroffen.

Die wichtigsten Punkte im Datenschutz

• Aktive Einwilligung der Gäste erforderlich: In den Hotels werden persönliche Daten verarbeitet und die Gäste müssen sich grundsätzlich damit einverstanden erklären. Bis 2018 genügte es, dass der Gast der Nutzung nicht aktiv widersprach. Das beutet auch, dass ein Newsletter-Versand oder ein Gästemailing in der Regel nur mit ausdrücklicher Zustimmung des künftigen Empfängers möglich ist. Unter bestimmten Voraussetzungen gibt es für den Versand von
  Newslettern allerdings Erleichterungen in Form einer Ausnahmeregel.
• Dokumentationspflicht: Zu mehr bürokratischem Aufwand für die Hoteliers ist es durch die Neureglung der Nachweis- und Rechenschaftspflichten gekommen. So müssen Hoteliers
  dokumentieren, dass sie alle geeigneten Maßnahmen ergreifen, um personenbezogene Daten rechtskonform zu bearbeiten. Das Hotel muss also beweisen, dass es alles richtiggemacht hat.

Definition: Personenbezogene Daten

Personenbezogene Daten sind Informationen über natürliche oder juristische Personen, deren Identität eindeutig bestimmt oder bestimmbar ist, z.B. Adresse/Name.

Beispiele für personenbezogene Daten:

„Sensible“ Daten

Sensible Daten sind eine spezielle Klasse von personenbezogenen Daten, die auf Grund ihrer Art besonders schutzwürdig sind.

Dazu gehören:

• rassische und ethnische Herkunft
• politische Meinung
• Gewerkschaftszugehörigkeit
• religiöse oder philosophische Überzeugung
• Gesundheit oder medizinischer Status
  • Gesundheitszustand
  • Krankengeschichte
  • Körperliche und geistige Verfassung
  • Krankheiten
  • Behinderungen
  • Krankheitsrisiken
  • Vorerkrankungen
  • Erfolgte Behandlungen und Therapien
  • Informationen über körpereigene Substanzen
  • Genetische oder biologische Proben
  • Nummern, Symbole und Kennzeichen im Zuge einer Untersuchung oder Therapie
• Sexualleben bzw. sexuelle Orientierung
• Biometrische Informationen (Gesichtsbild, Stimmbild, Papillarlinien, Irismuster, etc.)
• Genetische Informationen

Diese Aufzählung ist abschließend, d.h. nur die hier aufgezählten Datenarten sind sensibel, weitere gibt es nicht!

Sensible Daten unterliegen damit strengeren Verarbeitungsvoraussetzungen. So ist jedenfalls eine „ausdrückliche“ Einwilligung für die Verarbeitung sensibler Daten erforderlich.

Rechte & Pflichten im Datenschutz

Das österreichische Datenschutzgesetz definiert Rechte und Pflichten für Auftraggeber, Dienstleister und Betroffene (Gäste).

Auskunftsrecht

Der Auftraggeber (Hotelier) hat jeder Person, auf schriftlichen Antrag mit Identitätsnachweis, innerhalb von acht Wochen unentgeltlich Auskunft über die zu dieser Person verarbeiteten Daten zu geben (Löschungsverbot für 4 Monate!).

Die Auskunft hat folgendes zu beinhalten:

• alle verarbeiteten Daten
• Herkunft der Daten
• allfällige Empfänger
• Zweck der Verarbeitung
• Rechtsgrundlage der Verarbeitung
• allfällige Dienstleister

Richtigstellungs- bzw. Löschungsrecht

Der Auftraggeber (Hotelier) hat unrichtige oder entgegen den Bestimmungen des Datenschutzgesetzes verarbeitete Daten innerhalb von acht Wochen richtigzustellen oder zu löschen, und zwar aus eigenem
Antrieb, wenn der Zweck nicht mehr gegeben ist, oder auf Antrag. Es sei denn, es widerspricht anderen gesetzlichen Vorgaben (Archivierungsdauer). Der Antragsteller ist vom Auftraggeber aktiv über die durchgeführte Löschung bzw. Richtigstellung zu informieren.

Widerrufsrecht

Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, Widerruf einzulegen gegen die Verwendung seiner personenbezogenen oder sensiblen Daten (eigene bzw. freiwillige Veröffentlichung negiert nicht die Schutzwürdigkeit!!). Der Auftraggeber hat
daraufhin die Daten des Betroffenen binnen acht Wochen aus der Datenanwendung zu löschen und umgehend allfällige Übermittlungen zu unterlassen. Jeder Betroffene hat jederzeit das Recht, bereits
erteilte Zustimmungen zur Verarbeitung seiner Daten ohne Angabe von Gründen zu widerrufen.

Weitere für die Hotellerie relevante Rechte und Pflichten im Datenschutz betreffen bspw. den Spezialfall Videoüberwachung, die Date Breach Notification und die Datenschutz-Folgeabschätzung.

Datenverarbeitungen im Hotel erheben

Um überhaupt die notwendigen Maßnahmen treffen zu können, ist die Erhebung über den Status Quo der derzeitigen Datenverarbeitungen erforderlich. Zu erheben ist im Wesentlichen, welche Daten verarbeitet, wie diese gesammelt und wie lange diese aufbewahrt oder eventuell auch noch ob diese weitergegeben werden.

Die wichtigsten Punkte betreffen folgende Bereiche:

• Mitarbeiter: Die Wahrung des Datenschutzes ist auf Anforderung der Datenschutzbehörde jederzeit nachzuweisen. Ein solcher Nachweis kann über zur Kenntnis gebrachte Regeln & Richtlinien für Mitarbeiter erbracht werden.
• Bewerbungsunterlagen: Grundsätzlich ist die Verarbeitung von personenbezogenen Daten während und im Zuge einer Stellenbesetzung vom Datenschutzrecht gedeckt und auch zulässig. Nach Besetzung der ausgeschriebenen Stelle erlischt allerdings der Verwendungszweck zur weiteren Verarbeitung der Bewerbungsunterlagen und sämtliche Bewerbungsunterlagen wären unverzüglich und unwiederbringlich zu vernichten.
• Umgang mit Gästedaten: In allen Hotels werden persönliche Daten verarbeitet und Gäste müssen sich grundsätzlich damit einverstanden erklären. Das bedeutet auch, dass ein Newsletter-Versand in der Regel nur mit ausdrücklicher Zustimmung des künftigen Empfängers möglich ist und gleichzeitig auch über den jederzeit möglichen Widerspruch aufgeklärt wurde.
• Videoüberwachung: Anlagen sind nur dann datenschutzrelevant, wenn Daten aufgezeichnet werden. Reine Live Bilder ohne Aufzeichnung sind (meist) nicht vom Datenschutzgesetz betroffen.
• Datenschutzerklärungen: Eine Datenschutzerklärung erfüllt einen Teil der Informationspflicht für Betroffene und wird immer dann benötigt, wenn ein Unternehmen über ein Onlinemedium in die „Öffentlichkeit“ tritt. Traditionell geschieht das bei Webseiten oder beim Versand von Newslettern. Die Datenschutzerklärung hat zu beschreiben, welche personenbezogenen Daten das Unternehmen bzw. die Webseite verarbeitet.
  Die Prodinger Tourismusberatung hat gemeinsam mit den Datenschutz-Spezialisten der Atricon-Group einen kurzen Leitfaden sowie eine Checkliste erarbeitet, mit Hilfe derer man im Selbsttest überprüfen kann, welche Bereiche im Hotelbetrieb überhaupt von Relevanz sind.

Dokumentationspflichten laut Datenschutz

Es geht in einem ersten Schritt darum, alle Vorgänge zu dokumentieren, die personenbezogene Daten verarbeiten. Neben der verpflichtenden Erstellung eines Verfahrens- oder Verarbeitungsverzeichnisses (in welches neben den internen Verarbeitungen eben auch die Datenweitergaben einzutragen sind), sind folgende Schritte empfehlenswert:

• Überprüfung / Aktualisierung der Datenschutzerklärung
• Überprüfung / Aktualisierung der Zustimmungserklärung(en)
  • Zustimmung zum Newsletter-Empfang
  • Zustimmung zur Verwendung / Veröffentlichung der Fotos (Mitarbeiter)
  • Zustimmung zur eventuell längeren Evidenz von Bewerbungen
• Interne Regeln & Richtlinien, um nachzuweisen, dass ich im Betrieb alles getan habe, um den Datenschutz einzuhalten
  • Verpflichtung von Mitarbeitern zum Datenschutz
  • Zugangsbeschränkungen
• Überprüfung der vorhandenen Daten und Datenverarbeiter
  • Eventuelle Löschung nicht gebrauchter Daten (Zweckbindungs- und Sparsamkeitsgrundsatz)
  • Eventuelle Auftragsverarbeiter-Vereinbarungen mit Dienstleistern (Lohnverrechnung, Cloud-Dienste, externer Newsletter-Versand,…)

Mit diesen Arbeiten hat man bereits erste, wichtige Schritte gesetzt, um der Datenschutzbehörde gegebenenfalls (meist auf Nachfrage) darlegen zu können, wie man sich um die Einhaltung der Richtlinien laut EU-DSGVO bemüht hat.

Verfahrensverzeichnis

Für die Erstellung eines Verfahrensverzeichnisses (Darin sind alle „Verfahren“, in denen personenbezogene Daten verarbeitet werden, zu beschreiben) gibt es keine Formvorschriften. Dieses kann beispielsweise in Excel geführt werden und pro Zeile einen Prozess enthalten.

Zustimmungserklärung

Eine Zustimmungserklärung hat jedenfalls freiwillig zu erfolgen und ist nur bei völliger Kenntnis der Sachlage beim Betroffenen rechtsgültig. Daher ist der Betroffene vor Einholung der Zustimmung in vollem Umfang von der Verarbeitung dieser zusätzlichen Daten zu informieren, sodass er in der Lage ist, diese Verarbeitung zu beurteilen und dabei eventuelle Risiken für sich selbst zu bewerten. Der volle Informationsumfang ist erfüllt, wenn die Zustimmungserklärung die auch im Verfahrensverzeichnis bzw. in einer Datenschutzerklärung geforderten Inhalte enthält.

Weitere Infos und Links

Wir haben bereits eine Vorlage für eine datenschutzkonforme Zustimmungserklärung sowie eine Vorlage einer Vereinbarung zum Datenschutz für Mitarbeiter erstellt.

• Gesamte Rechtsvorschrift für Datenschutzgesetz, Fassung vom 21.04.2021
• Datenschutz-Checkliste der Prodinger Tourismusberatung
• Beispiel eines Verfahrensverzeichnisses
• Prodinger-Vorlage: Verpflichtung zum Datenschutz für Mitarbeiter
• Prodinger-Vorlage: Zustimmungserklärung