Verstöße gegen das Datenschutzgesetz galten lange Zeit als Kavaliersdelikt und wurden als lässliche Sünde abgetan. Das ist nun Vergangenheit: Verletzt ein Unternehmen bei der Datenverarbeitung das Datenschutzrecht, kann die Behörde eine Bestrafung von vier Prozent seines Umsatzes als Sanktion festsetzen. Da auch Unternehmen der Gastronomie und Hotellerie ständig mit persönlichen Daten von Kunden und Lieferanten in Berührung kommen, stellen sich folgende Fragen:

Um welche Daten geht es überhaupt und was bedeutet Datenverarbeitung?
Die DSGVO gilt für personenbezogene Daten, d. h. für solche Informationen, die zur Identifikation einer Person geeignet sind. Dazu gehören Name, Alter, Geschlecht, Adresse, Steuernummer, IP-Adresse usw. Als Datenverarbeitung gilt bereits die bloße Speicherung von persönlichen Daten; das heißt: Gibt ein Hotel oder gastronomischer Betrieb persönliche Daten in sein EDV-System ein, greift das Datenschutzrecht.

Ist die Dateneingabe zulässig oder bewege ich mich schon in einer Grauzone?
Es gilt der Grundsatz, dass jede Form von Datenverarbeitung zulässig ist, wenn hierfür berechtigte Gründe bestehen. Die persönlichen Daten, die für ein Hotel notwendig sind, um seinen Beherbergungsvertrag mit dem Kunden zu erfüllen (z. B. Meldeauflagen), dürfen demnach ohne Zweifel verarbeitet werden.
Muss es aber auch beispielsweise den Familienstand oder das Autokennzeichen eines Gastes kennen und EDV-mäßig erfassen? Das könnte zweifelhaft sein; verfügt das Hotel hingegen über einen eigenen Parkplatz, besteht ein berechtigtes Interesse daran zu wissen, wer dort parkt.
Problematisch könnte es aber bei solchen Daten sein, die für zukünftige Werbemaßnahmen eines Betriebes von Interesse sind. Im Einzelfall ist also genau abzuwägen, ob die Daten routinemäßig abgefragt und gespeichert werden. Klar ist aber auch: Daten, die ein Gast dem Hotel freiwillig zur Verfügung stellt, dürfen im zulässigen Umfang verarbeitet und genutzt werden.

Was muss ich tun, um datenschutzkonform zu sein?
Unbedingt erforderlich ist, ein Verfahrensverzeichnis für seinen Betrieb zu erstellen. In diesem Verzeichnis müssen die betrieblichen Vorgänge aufgelistet sein, bei denen persönliche Daten verarbeitet werden. Verfügt also das Hotel über eine EDV-basierte Kundendatei, muss dies im Rahmen eines Verfahrensverzeichnisses im Einzelnen dargestellt werden (Wer hat Zugang? Wie wird kontrolliert? Welche Schutzmechanismen gibt es? Welche IT kommt zum Einsatz etc.). Je detaillierter die Maßnahmen dargestellt sind, desto besser ist es. Das gilt aber auch für die EDV-Systeme, in denen Mitarbeiter- oder Lieferantendaten aufgenommen sind. Auch hier muss ein Verfahrensverzeichnis errichtet werden.
Weiter ist es erforderlich, dass die Mitarbeiter eines Unternehmens, die mit persönlichen Kundendaten in Kontakt kommen, auf den Datenschutz verpflichtet werden, was durch geeignete Verpflichtungserklärungen geschieht. Sinnvoll ist es, Mitarbeiter regelmäßig zu schulen. Verletzt ein Mitarbeiter die Regeln des Datenschutzes, kann dies zu einer Abmahnung oder berechtigten Kündigung führen.
Ab einer bestimmten Unternehmensgröße ist auch die Bestellung eines Datenschutzbeauftragten gesetzliche Pflicht. Diese Funktion kann ein Mitarbeiter übernehmen, der allerdings nicht weisungsgebunden sein darf. Häufig bestellen Unternehmen daher auch externe Datenschutzbeauftragte.
Fazit: Datenschutz ist machbar! Mehr noch: Er ist ein Asset, mit dem Unternehmen sich Alleinstellungsmerkmale erarbeiten können.
> Professor Dr. Ulf Vormbrock

Zum Autor:
Der Verfasser ist Fachanwalt für Marken-, Lizenz- und Wettbewerbsrecht in Düsseldorf. Er arbeitet auch als Professor für IT-Recht und Datenschutzbeauftragter. Nähere Informationen finden Sie unter www.vormbrock.net