Hotel DSGVO und Hotel-Datenschutz-Beratung in Deutschland_ibc Hotel Datenschutz Management

Datenschutz-Beratung nach DSGVO für Hotels und Restaurants

Externe Hotel-und Restaurant Begleitung als Datenschutzberater

und Datenschutzbeauftragter nach DSGVO in Deutschland

sicher. konform. up to date.

Seit dem 25. Mai 2018 gelten die Richtlinien und Regelungen zur neuen europäischen Datenschutz-Grundverordnung (DSGVO) wie auch zum neuen Bundesdatenschutzgesetz (BDSG). Die Zeiten, wo Datenschutz zum Beispiel innerhalb eines Hotels oder Restaurants nicht aktiv betrieben wurden, sind seitdem vorbei.

Es reicht nicht mehr aus, nur irgendeine Datenschutzerklärung auf der Webseite abzubilden. Darüber hinaus haben sich mit der für alle 26 europäischen Mitgliedsländer bindenden Datenschutzgrundverordnung weitere einschneidende, gesetzliche Bestimmungen ergeben, die es zwingend umzusetzen und nachhaltig einzuhalten gilt, Denn wer ein empfindliches Bußgeld bei Nichteinhaltung der Datenschutzrichtlinien vermeiden möchte, sollte sich mit der Thematik Datenschutz und deren Dokumentationspflichten intensiv auseinandersetzen. 

Aber was muss im Zuge der neuen Datenschutzgrundverordnung umgesetzt werden und worauf ist im besonderen Maße zu achten? Und für wen ist die neue DSGVO überhaupt relevant?

Eine erste Einführung zu den Grundsätzen der Datenschutzrichtlinien geben die nachfolgenden Fragen und Antworten im Überblick: 

Ist sowohl die DSGVO wie auch das BDSG zu beachten?

Ja, beide Gesetze enthalten Regelungen zum Datenschutz in Unternehmen. Die grundlegenden Vorschriften befinden sich in der DSGVO. Konkretisierungen liefert das BDSG, beispielsweise zum betrieblichen Datenschutzbeauftragten oder zum Beschäftigtendatenschutz.

 

Für wen gilt überhaupt die DSGVO?

  • Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

  • Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen zusätzlich eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als 20 Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens zwanzig Personen beschäftigt sind.

  • Zudem gilt die neue Datenschutz-Grundverordnung für alle Unternehmen, die

 

 

eine nicht rein private Webseite und/oder einen Online-Shop betreiben,

eine Datenschutzerklärung auf ihrer Webseite veröffentlicht haben,

Newsletter verschicken,

einen gewerblichen Blog betreiben,

z.B. Google Dienste wie Google Analytics, Google Maps etc. nutzen.

rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png

Was sind personenbezogene Daten?

  • Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. Dazu zählen Name, Anschrift und Telefonnummer. Aber auch IP-Adresse, Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe etc. zählen als Beispiel dazu.

  • Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert. Hier gelten nochmals verschärfte Anforderungen an die DSGVO.

  • Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.

Beispiele für personenbezogene Daten können sein: Mitarbeiter-; Hotelgäste- oder Lieferantendaten.

Personenbezogene Daten in Hotels und Restaurants_ibc Hotel Management_Deutschland

Worauf ist beim Umgang mit personenbezogenen Daten gerade in Hotels und Restaurants zu achten?

Nach der DSGVO gelten zum Beispiel für Hotels und Betreiber von Hotel-Webseiten in der Europäischen Union folgende Grundsätze:

  • Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person bzw. Hotelgast eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das Telemediengesetz (TMG) oder durch einen Beherbergungsvertrag. Personenbezogene Daten von dem Meldeschein zu verwenden bzw. zu verarbeiten, ist nicht erlaubt! 

  • Zudem dürfen nur Daten gespeichert und verarbeitet werden, die tatsächlich zur Verarbeitung benötigt werden. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt detailliert die DSGVO fest. Hier gilt grundsätzlich das Prinzip der Datenminimierung.

  • Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben wurden.

  • Recht auf Vergessen: Der Hotelgast, über den Daten gespeichert wurden, muss auf ihre Daten zugreifen können, wenn er dies wünscht. Er hat auch ein Recht darauf, dass seine Daten auf seinen Wunsch hin umgehend gelöscht werden.

  • Hotel-Webseitenbetreiber und Hotelbetreiber müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie diese nicht mehr benötigen. Auch hierzu gibt es gesetzliche Vorgaben, ab wann Daten gelöscht bzw. vernichtet werden müssen. Wird dies ignoriert, können auch hier empfindliche Bußgelder drohen.

  • Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchstwirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall etc.).

 

Welche Dokumentationspflichten sind unter der DSGVO zu erfüllen?

In Art. 5 Abs. 2 DSGVO wird der Grundsatz der „Rechenschaftspflicht“ definiert. Hiernach gilt, dass Verantwortliche für die Einhaltung bestimmter Datenschutzgrundsätze (aus Art. 5 Abs.1 DSGVO) verantwortlich sind und deren Einhaltung nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass Verantwortliche in der Pflicht stehen, den Nachweis dafür zu erbringen, dass die Datenverarbeitung DSGVO-gemäß erfolgt.

Im Folgenden sind die wichtigsten Dokumentationspflichten aufgeführt, um die Rechtmäßigkeit der Verarbeitung gegenüber Betroffenen und Aufsichtsbehörden sicherstellen und nachweisen zu können. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, sondern soll eine Übersicht verschaffen, welche Dokumentationen unbedingt vorhanden und abrufbar sein sollten:             

rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png
rightarrow2_78502.png

Verarbeitungsverzeichnisse für das ganze Unternehmen

Aufstellung von technischen und organisatorischen Maßnahmen zur Sicherung der personenbezogenen Daten

Datenschutz-Folgenabschätzungen bzw. sonstige Risikoabschätzungen

Vertragsmanagement / Auftragsverarbeitung

Dokumentation von Datenpannen

Löschkonzept

Was passiert, wenn man die Regelungen missachtet?

Die Gesetzesanpassungen in den letzten Jahren hatten bzw. haben es in sich. EUGH-Entscheidungen zu den Themen Cookie-Regegelungen, Cookie-Banner auf Homepages, das gekippte Privacy-Shield Abkommen mit den USA - wer hier nicht die neuesten Entscheidungen im Blick hat, kann schnell ins Fadenkreuz der Datenschutz-Justiz kommen.

Die Datenschutzbehörden der EU-Mitgliedstaaten kontrollieren mittlerweile mehr denn je, ob die EU-DSGVO eingehalten wird. Entspricht die Verarbeitung der Daten in den Hotels oder Restaurants nicht der neuen DSGVO Verordnung, weil ein Hotelier beispielsweise keine Gast-Einwilligung eingeholt hat oder der Cookie-Pflicht nicht nachkommt, droht ein Bußgeld. Das kann jedoch sehr teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahres­umsatzes – je nachdem, was höher liegt.

Fazit: Seien Sie gut vorbereitet, um mögliche Strafgelder zu vermeiden

In einigen Hotels und Restaurants besteht immer noch dringender Handlungsbedarf in Sachen Datenschutz und deren Umsetzung. Falls Sie sich noch nicht intensiv mit dem Thema Datenschutz befasst haben, sollten Sie dies spätestens jetzt tun. Es ist nie zu spät dafür! Denn neben hohen Geldstrafen drohen zudem Reputationsverluste. Daher sollten Sie unbedingt Vorkehrungen treffen, um einem solchen wirtschaftlichen Schaden vorzubeugen.

Warum gelebter Datenschutz in der Hotellerie so wichtig ist

Datenschutz Konzept für Hotels und Restaurants_ibc Hotel Management_Deutschland

Fast in keinem anderen Unterneh­men bekommt man als Hotelier oder Gastronom einen so umfassen­den Einblick in die Persönlich­keit eines Gastes, wie in einem Hotel oder Restaurant. Während andere Branchen bzw. Unternehmen immer nur Ausschnit­te aus der Lebenswirk­lich­keit der Kunden erhalten, bekommt der Hotelier und Gastronom in vielen Fällen  Einblicke in das gesamte Lebensum­feld eines jeden Gastes.

Personenbezogene Daten von Hotelgäs­ten fallen regelmäßig bei jedem Hotelaufenthalt an. Das Hotel oder Restaurant kennt die Essgewohn­hei­ten und Wünsche des Gastes, erfährt von seinen persönlichen Vorlieben, reinigt täglich sein Bad und Toilette und richtet sein Bett. Nicht selten bekommt das Hotel sogar Kenntnis vom Gesundheits­zu­stand des Gastes, von Krankhei­ten, Allergien oder Diäten. Das Hotel weiß, welche Fernsehpro­gram­me der Gast bevorzugt, welche Besucher er empfängt, welche Zahlungs­mit­tel er einsetzt und welches nächste Reiseziel er ansteuert. Deshalb ist der Schutz der Gastdaten nach dem Datenschutz­ge­setz in einem Hotel oder Restaurant besonders sensibel und somit erst recht schützenswert.

Datenschutzkonforme Umsetzungsmaßnahmen für Hotels und Restaurants

Zur Umsetzung der gesetzlichen Datenschutz-Pflichten benötigen Inhaber von Hotels und Restaurants für ihren Gastbetrieb ein Datenschutzmanagement-System, um sicherzustellen und dokumentiert nachweisen zu können, dass sie ihren datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Gästedaten und externen Dienstleistern nachkommen.

Darüber hinaus sollten Hoteliers, die eine eigene Internetseite betreiben und/oder auf Buchungssysteme externer Anbieter zurückgreifen, diese unbedingt dahingehend prüfen, ob diese den speziellen Anforderungen der DSGVO entsprechen und ggf. Anpassungen vornehmen. Hier geht es speziell um die vertraglichen Vereinbarungen zur Datenverarbeitung von Dritten.

Erfolgreiche Hoteliers sind sich zwar bewusst, dass Diskretion eine unabdingbare Voraussetzung für Ihr Geschäft ist. Leider ist jedoch die Verunsicherung aufgrund der Vielzahl von gesetzlichen Anforderungen groß, weshalb bisher zum Hotelbetrieb gehörende Tätigkeiten teils eingeschränkt oder sogar vollständig aufgegeben werden.

Dabei ist dies gar nicht nötig: Oftmals reichen schon geringfügige Umstellungen, um einen Arbeitsprozess datenschutzkonform auszugestalten und gegenüber anderen Hoteliers und Aufsichtsbehörden auf der sicheren Seite zu sein. Nebenbei bietet die Umsetzung der datenschutzrechtlichen Vorgaben die Möglichkeit, bestehende Strukturen zu optimieren und den verantwortungsvollen Umgang mit personenbezogenen Daten von Gästen sowie der eigenen Mitarbeiter als Wettbewerbsvorteil zu nutzen.

Effektives und kosteneffizientes Datenschutz-Angebot für Hotels und Restaurants
Datenschutz-Angebot für Hotels und Restaurants_ibc Hotel Management_Deutschland

Als kompetenter Partner an Ihrer Seite unterstützen wir Sie und Ihr Hotel oder Restaurant bei der Umsetzung der EU-DSGVO. Hierzu haben wir als zertifizierte Datenschutzbeauftragte ein spezielles Angebot für Kleinstunternehmen, kleinere Betriebe sowie für mittlere Unternehmensgrößen ausgearbeitet: ibc Hotel Management bietet Ihnen eine einheitliche, überschaubare Lösung für die Einhaltung der neuen Rechtsnormen an – und das zu fairen Konditionen.

Für Kleinstunternehmen und kleinere Betriebe bieten wir Ihnen folgendes Datenschutz-Angebot an:

Kleinstunternehmen sind Betriebe, die weniger als 20 Personen beschäftigen, welche mit personenbezogenen Daten arbeiten. Diese Unternehmen haben keine Bestellpflicht eines Datenschutzbeauftragten!

 

Auszug aus dem Leistungskatalog des Datenschutz-Pakets für Kleinstunternehmen:

  • Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten - Vorlagenerstellung & Beratungsleistung

  • Einführung in die Dokumentation der Technischen und Organisatorischen Maßnahmen - Vorlagenerstellung & Beratungsleistung

  • Kleines datenschutzrechtliches Website-Audit inklusive Erstellung eines Impressums und einer Datenschutz-erklärung

  • Auftragsverarbeitungsvertrag mit Dienstleistern - Vorlagenerstellung & Beratungsleistung

  • Datenschutzschulung Kompakt nach DSGVO für alle Mitarbeiter ( 1 Stunde)

  • Mitarbeiterverpflichtung auf Datenschutz als Anlage zum Arbeitsvertrag - Vorlage

  • Kontingent Datenschutzberatung für weitere Datenschutzfragen ( 1 Stunde)

 

Angebot Datenschutz-Paket für Kleinstunternehmen und kleinere Betriebe:

  • einmalige Aufwendungen

  • Weitere unterstützende, zusätzliche Leistungen buchbar

  • individuelles Angebot, zugeschnitten auf Ihre Bedürfnisse

 

Für mittlere Unternehmensgrößen aus Hotellerie, Gastronomie und anderen Branchen, inklusive Stellung eines externen Datenschutzbeauftragten, bietet ibc Hotel Management folgendes Datenschutz-Angebot an:

 

Auszug aus dem Leistungskatalog:

  • Gewährleistung des externen und internen Datenschutzes im Unternehmen

  • Aufbau, Kontrolle und Prüfung der Datensicherheit und Datenverarbeitung im Unternehmen

  • Management von Reputation und Auftreten des Unternehmens im Datenschutz

  • Gewährleistung der Unternehmenssicherheit (z.B. Vorabkontrolle)

  • Hinweis der Mitarbeiter auf das Datengeheimnis sowie die Bereitstellung von Arbeitshilfen

  • Beratung zur Auftragsdatenverarbeitung

  • Erstellung, Prüfung und Anpassung des Verfahrensverzeichnisses in regelmäßigen Abständen

  • Erfassung von Kernprozessen und Verarbeitungen

  • Aufbau und Organisation von datenschutzkonformen IT-Strukturen

  • Schulung und Unterweisung der Unternehmensmitarbeiter im Datenschutz

  • Hinweise zur automatisierten Datenverarbeitung

  • Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten

  • Folgeabschätzung zu datenschutzrechtlichen Prozessen

  • Zusammenarbeit mit datenschutzrechtlichen Kontrollbehörden im Auftrag des Unternehmens

  • Datenschutzberatung sowie Datenschutzorganisation im fortlaufenden Tagesgeschäft

  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz (Verarbeitungen personenbezogener Daten)

  • Beratung zu Arbeitnehmerdatenschutz sowie Arbeitgeberdatenschutz

  • Vorort-Termin entsprechend der nachfolgenden Vereinbarung

Gegenstand der vertraglichen Zusammenarbeit ist die allgemeine betriebswirtschaftliche und organisatorische Beratung des Auftraggebers zur Realisierung des Datenschutzes und der Datensicherheit gemäß Bundesdatenschutzgesetz (Bundesdatenschutzgesetz) und EU DGVO (EU Datenschutz Grundverordnung).

Angebot Datenschutz-Paket für mittlere Unternehmensgrößen aus Hotellerie, Gastronomie

und anderen Branchen:

  • einmaliger Erstaufwand inklusive der Grundmaßnahmen aus dem Leistungskatalog

  • Persönliche, monatliche Vor-Ort Betreuung bzw. nach Absprache

  • Mindestvertragslaufzeit: Monatliche Kündigungsfrist

  • individuelles Angebot, zugeschnitten auf Ihre Bedürfnisse

Ein gutes Datenschutzkonzept ist ein Qualitätsmerkmal Ihres Hotel und/oder Restaurants und schafft Vertrauen bei Ihren Gästen.

 

Wie können wir Sie bei der DSGVO Umsetzung in Ihrem Unternehmen unterstützen? Sprechen Sie uns an und vereinbaren einen unverbindlichen Telefontermin mit uns.