Daten­schutz für Hotels

Per­sön­li­che Daten von Hotel­gäs­ten fal­len regel­mä­ßig bei jedem Hotel­auf­ent­halt an. Vie­le Hotel­gast­da­ten sind zudem beson­ders per­sön­lich und sen­si­bel, denn der Kon­takt zwi­schen Gast und Hotel ist natur­ge­mäß eng.

Das Hotel lernt die  Ess­ge­wohn­hei­ten und –Vor­lie­ben des Gas­tes ken­nen, erfährt von sei­nen Frei­zeit­in­ter­es­sen, rei­nigt täg­lich sein Bad und das Zim­mer. Häu­fig hat das Hotel sogar Kennt­nis vom Gesund­heits­zu­stand des Gas­tes, von Krank­hei­ten, All­er­gien oder Diäten.

Der Hotel­be­trieb weiß, mit wem der Gast die Nacht  ver­bringt, wel­che Fern­seh­pro­gram­me bevor­zugt wer­den, wel­che Besu­cher er zusätz­lich emp­fängt, wel­che Zah­lungs­mit­tel ein­setzt und ggf. wel­ches nächs­te Rei­se­ziel ansteu­ert wird.

Der Hotel­be­trieb muss dafür sor­gen, dass die per­so­nen­be­zo­ge­nen Daten nach dem Daten­schutz­ge­setz abso­lut ver­trau­lich und fach­ge­recht ver­ar­bei­tet wer­den. Die Ent­täu­schung der Gäs­te bei Feh­lern ist gut nachvollziehbar.

Kaum ein Unter­neh­men bekommt einen so umfas­sen­den Ein­blick in die Per­sön­lich­keit des Kunden.

Dies ver­pflich­tet ihn in beson­de­rer Wei­se, das infor­ma­tio­nel­le Selbst­be­stim­mungs­recht sei­ner Gäs­te zu wahren.

In aller Regel ist eine Bestel­lung eines Daten­schutz­be­auf­trag­ten (DSB) durch­zu­füh­ren, wenn min­des­tens 2o  Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betraut werden.

„Stän­dig beschäf­tigt“ ist, wer z.B. per­ma­nent die Gäs­te­ver­wal­tung macht. Übli­cher­wei­se wer­den  dabei Rei­ni­gungs­kräf­te in den Zim­mern oder Per­so­nen, die im Restau­rant gele­gent­lich mit Namen von Kun­den umge­hen, nicht mitgezählt.

Die Auf­ga­ben des Daten­schutz­be­auf­trag­ten sind im Gesetz.  fest­ge­legt. Neben der Unter­rich­tung und Bera­tung des Unter­neh­mens muss er die Ein­hal­tung der rele­van­ten Daten­schutz­ge­set­ze  über­wa­chen. Er berät auch bei  Daten­schutz-Fol­gen­ab­schät­zun­gen und kom­mu­ni­ziert mit den betrof­fe­nen  Per­so­nen und den Aufsichtsbehörden.

Die Arbeit des Daten­schutz­be­auf­trag­ten ist sehr abwechs­lungs­reif. In die­sem sich noch ste­tig ver­än­der­ten  Rechts­ge­biet emp­fiehlt es sich, einen erfah­re­nen Daten­schutz­be­auf­trag­ten zu bestellen.

Ein inter­ner Daten­schutz­be­auf­trag­ter hat den gro­ßen Vor­teil, dass er die Pro­zes­se im Unter­neh­men und die Betei­lig­ten kennt. Er bekommt im Rah­men sei­ner täg­li­chen Arbeit deut­lich mehr Infor­ma­tio­nen am Ran­de mit. Jedoch ent­ste­hen jedoch hohe Kos­ten für die Aus­bil­dung und ste­ti­ge Weiterbildung.

Ein exter­ner DSB kann den Kos­ten­fak­tor deut­lich zu redu­zie­ren. Er küm­mert sich auch selbst­stän­dig um sei­ne Wei­ter­bil­dung und bekommt, wenn er für meh­re­re Unter­neh­men tätig ist, deut­lich mehr Umset­zungs­prak­ti­ken kennen.

Wenn Sie Dienst­leis­ter beauf­tra­gen und die­se per­so­nen­be­zo­ge­ne Daten im Kern ver­ar­bei­ten, dann müs­sen Sie diver­se Punk­te beach­ten. Neben dem Abschluss einer Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung  müs­sen Sie den Auf­trags­ver­ar­bei­ter auf Eig­nung vor­ab und dann regel­mä­ßig prü­fen. Dies müs­sen Sie gege­ben­über den Auf­sichts­be­hör­den auch nach­wei­sen kön­nen. Die­ses The­ma ist recht umfang­reich, wird aber ger­ne ver­nach­läs­sigt. Typi­sche Auf­trags­ver­ar­bei­ter im Hotel­be­trieb sind

• - Betrei­ber oder Lie­fe­rant der Hotel- oder CRM-Soft­ware (Fern­war­tung oder / und Hosting)
• - Exter­ne Per­so­nal­ver­wal­tung oder Lohnbuchhaltung
• - IT-Sup­port
• - Betrieb oder Sup­port Telekommunikationsanlage
• - Betrieb von Online-Buchungs­sys­te­men (Reser­vie­rung, Tisch, u. s. w.)
• - Hos­ting oder Betreu­ung der Online-Auftritte
• - E‑Mail-News­let­ter-Ser­vice
• - Online-Bewer­tun­gen
• - Sons­ti­ge Cloud-Diens­te (z. B. Office 365 von Microsoft)
• - Online­ba­sier­te Zeit- oder Ticket/Mängelerfassung
• - Call-Cen­ter
• - Sys­tem­war­tung (z. B. Video­über­wa­chungs­an­la­ge oder Türschließsysteme)
• - Daten­si­che­rung / Archivierung
• - Papier- oder Datenträgerentsorgung
• - Exter­ner Nachtdienst
• - Con­sul­ting
• - E‑Mail- oder Spamdienst
• -Online-Diens­te, z.B. Ana­ly­se­tools auf der Web­sei­te oder in der App

Mit mei­ner lang­jäh­ri­gen Erfah­rung brin­ge ich auch Ihr Hotel pra­xis­nah und wirt­schaft­lich in die­sen The­men vor­an. Mein typi­scher Auf­ga­ben­be­reich umfasst unter ande­rem fol­gen­de Bereiche:

• - Durch­füh­rung einer Bestands­auf­nah­me — Erstel­lung eines prio­ri­sier­ten Akti­ons­pla­nes für wei­te­re Aktivitäten
• - Prü­fung und ggf. Aktua­li­sie­rung Ihrer bis­her erar­bei­te­ten Unterlagen
• - Bera­tung in sämt­li­chen daten­schutz­re­le­van­ten Themengebieten
• - Unter­stüt­zung bei der Erstel­lung Ihrer Doku­men­ta­ti­on, wie z.B. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, Infor­ma­ti­ons­pflich­ten oder die Betrof­fe­nen­an­fra­gen
• - Erfül­lung der Rol­le des Daten­schutz­be­auf­trag­ten für ihr Hotel gem. Art. 39 DSGVO
• - Prü­fung und Doku­men­ta­ti­on Ihrer Auf­trags­ver­ar­bei­ter gem. Art. 28 DSGVO
• - Prü­fung Ihrer Online-Auf­trit­te auf Geset­zes­kon­for­mi­tät und Erstel­lung der Infor­ma­ti­ons­pflich­ten und Datenschutzhinweise
• - Erstel­lung von Richt­li­ni­en und Anwei­sun­gen zur Infor­ma­ti­ons­si­cher­heit und zum Datenschutz

Als Hote­lier dür­fen Sie nur jene Daten Ihrer Gäs­te ver­ar­bei­ten, die Sie für die Erfül­lung des Beher­ber­gungs­ver­trags benö­ti­gen. Dabei sind sowohl die Daten­schutz­grund­sät­ze Daten­mi­ni­mie­rung und Zweck­bin­dung zu beach­ten als auch die Spei­cher­be­gren­zung. Es darf eine Spei­che­rung nur so lan­ge erfol­gen, als dies zeit­lich erfor­der­lich ist
und der Zweck für die Ver­ar­bei­tung nicht ent­fal­len ist.

Das die Daten rich­tig und sicher ver­ar­bei­tet wer­den, ist selbstverständlich.

Bei der siche­ren Ver­ar­bei­tung sind ange­mes­se­ne und wirk­sa­me Mass­nah­men zu eta­blie­ren, die dem Stand der Tech­nik entsprechen.

In den fol­gen­den Berei­chen wer­den immer wie­der Feh­ler in den Hotel­be­trie­ben gemacht, die zu Abmah­nun­gen oder Beschwer­den führen:

• - Reser­vie­rungs­pro­zess
• - Check-In und Gästeverzeichnisblatt
• - Kre­dit­kar­ten­da­ten
• - Auf­ent­halt und Ver­wen­dung von Daten für wei­te­re Zwe­cke, wie z. B. dau­er­haf­te Spei­che­rung von kos­ten­pflich­ti­ger Dienste
• - Video­über­wa­chungs­an­la­gen, ins­be­son­de­re in Ruhebereichen
• - Elek­tro­ni­sche Tür­schließ­sys­te­me für Gäs­te und Beschäf­tig­te (Pro­to­kol­lie­rung und Nut­zung für Leis­tungs- und Verhaltenskontrolle)
• - Inter­net­nut­zung
• - Auf­nah­me von Gast­wün­schen und Infor­ma­tio­nen in der Hotel-Software
• - Check-Out-Pro­zess, wie z. B. nach­ge­la­ger­te Zufriedenheitsumfragen
• - Kopie von Per­so­nal­do­ku­men­ten (z. B. Per­so­nal­aus­weis oder Reisepass)
• - Pro­zes­se zur Gel­tend­ma­chung von Betrof­fe­nen­rech­ten (z. B. Aus­kunft, Berich­ti­gung oder Löschung)

Der Betrieb einer Video­über­wa­chungs­an­la­ge muss auch im Daten­schutz fach­ge­recht geplant und eta­bliert wer­den. Erfolgt dies nicht, kann eine Unter­sa­gung erfol­gen oder hohe Buß­gel­der fol­gen. Die Höhe der Stra­fe hängt vom Ein­zel­fall ab

Was ist schon bei der Pla­nung zu beachten?

• - Für jede ein­zel­ne Kame­ra müs­sen Sie fest­le­gen, wel­cher Zweck erfüllt wer­den soll.
• - Wer­den öffent­lich zugäng­li­che Berei­chen — wie Hotel­lob­by, Fahr­stuhl, Restau­rants oder Well­ness­be­reich – ist ein Betrieb grund­sätz­lich mög­lich, muss aber gut begrün­det wer­den (Mein Tipp: Erstel­len Sie eine drei­stu­fi­ge Inter­es­sen­ab­wä­gung)
• - Je nach Ein­satz­ort ist ggf. auch vor­ab eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren. Dies ist ein Pro­zess zur Beschrei­bung, Bewer­tung und Ein­däm­mung von Risiken.
• - In pri­va­ten Berei­chen, wie z. B. Hotel­zim­mer, Toi­let­ten­be­reich, Umklei­de­räu­me — ist eine Video­über­wa­chung auf­grund des Ein­griffs in das Per­sön­lich­keits­recht nicht rechts­kon­form möglich.
• - Sie müs­sen auf die Video­über­wa­chung durch sicht­ba­re Hin­weis­schil­dern hinweisen.
• - Pro­zes­se zum ope­ra­ti­ven Betrieb (Zugang, Zugriff, Her­aus­ga­be, War­tung, Sup­port und Löschung) müs­sen doku­men­tiert werden.
• - Ange­mes­se­ne TOMs (Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) sind zu doku­men­tie­ren und regel­mä­ßig und Wirk­sam­keit zu prüfen.
• - Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten ist zu erstellen.

Das Bun­des­mel­de­ge­setz ver­pflich­tet Hotels, mit­hil­fe eines Mel­de­scheins die fol­gen­den per­so­nen­be­zo­ge­nen Daten über den Gast schrift­lich zu erfas­sen. Dazu gehören:

• - Datum der Ankunft
• - Fami­li­en­na­men
• - Vor­na­men
• - Geburts­da­tum
• - Staats­an­ge­hö­rig­keit
• - Anschrift
• - Zahl der Mit­rei­sen­den und ihre Staats­an­ge­hö­rig­keit in den Fäl­len des § 29 Absatz 2 Satz 2 und 3 sowie
• - Seri­en­num­mer des aner­kann­ten und gül­ti­gen Pas­ses oder Pass­ersatz­pa­piers bei aus­län­di­schen Personen.
• ggf. wei­te­re Daten je Bun­des­land (z. B. Frem­den­ver­kehrs- und Kurbeiträge)

Der aus­ge­füll­te Mel­de­schein ist vom Tag der Anrei­se der beher­berg­ten Per­son für ein Jahr auf­zu­be­wah­ren und inner­halb von drei Mona­ten nach Ablauf der Auf­be­wah­rungs­frist fach­ge­recht zu ver­nich­ten (z. B. Schred­der oder Auftragsverarbeiter).

Wei­te­re Anga­ben des Gas­tes erfol­gen nicht mehr auf der Grund­la­ge des Mel­de­ge­set­zes. Die­se Daten dür­fen daher nur erho­ben wer­den, wenn der Hotel­gast hier­zu frei­wil­lig ein­wil­ligt. Bei der Erstel­lung einer Ein­wil­li­gung sind diver­se Punk­te zu beach­ten, wie z. B. die Mög­lich­keit des Widerrufs.