Datenschutzrecht

Die Datenschutzgrundverordnung (DSGVO) kommt und schwebt über den Köpfen der Hotellerie

Datenschutzrechtlich wird sie als „Paukenschlag“ bezeichnet: Denn mit Ihrer Geltung zum 25. Mai 2018 löst sie mit einem Schlag in allen 28 EU Ländern die dortigen bisherigen Datenschutzgesetze ab und nicht mehr diese sind maßgeblich, sondern nur noch die DSGVO als EU-Recht.

DSGVO
© typographyimages | Pixabay

Mit anderen Worten. Es gibt nicht mehr 28 Datenschutzgesetze, sondern nur noch 1 EU-weit geltendes Datenschutzrecht, das alle entgegenstehenden Datenschutzgesetze der EU Staaten verdrängt. Der Datenschutz wird damit europäisch. Doch nicht genug, die neue Datenschutzgrundverordnung beinhaltet eine Vielzahl von zusätzlichen Vorgaben.
Doch was bedeutet das für Eigentümer, Manager und Mitarbeiter, wenn am 25. Mai 2018 die zweijährige Übergangsfrist endet und die DSGVO „live“ geht?

Einen Standortvorteil haben deutsche Unternehmen, die sich schon bisher mit dem Thema Datenschutz intensiv befasst haben: Denn auch wenn die DSGVO vieles neu regelt und zahlreiche neue Pflichten beinhaltet, bleibt im Verhältnis zum bisherigen deutschen Recht doch auch vieles ähnlich oder fast gleich. Doch Hand aufs Herz, nur die wenigsten Hoteliers haben sich bisher wirklich nachhaltig um das Thema Datenschutz gekümmert.

Zudem ist zu trennen zwischen der sog. „Datensicherheit“ auf der einen Seite, die die technischen und organisatorischen Maßnahmen meint, und dem eigentlichen Datenschutz auf der anderen Seite, der Personen vor einer übermäßigen „Verdatung“ durch Unternehmen, dem Staat, etc. schützen will. Personen sind natürlich nicht nur Gäste, sondern auch Mitarbeiter, können aber auch Lieferanten oder sonstige Besucher sein.

Im Folgendensoll es aber primär um die eigentliche Geschäftsgrundlagen von Unternehmen gehen, also um deren Kunden und damit in der Hotellerie um deren Gäste. Es gibt gute Gründe, warum Unternehmer durchaus besorgt auf die DSGVO blicken sollten.

Hierzu zählen:
Die Strafen für Unternehmen wurden von gerade einmal bislang bis zu 300.000 € auf maximal 20 Millionen € angehoben bzw. auf bis zu 4% des Jahresumsatzes, je nachdem, was höher ist. Dazu ist anzumerken, dass der weltweite Jahresumsatz als Berechnungsbasis herangezogen wird. Für ausländische Konzerne mit Tochtergesellschaften innerhalb der EU also ein weiterer wichtiger Grund, sich der DSGVO anzunehmen. Dies gilt umso mehr, als dass diskutiert wird, dass es auf den weltweiten Konzern-Umsatz ankommen soll. Die persönliche Haftung der Geschäftsführer bleibt auch nach neuem Recht, gleiches gilt für eine persönliche Haftung der Mitarbeiter.

Zudem stärkt die DSGVO die Rolle der Betroffenen und gestattet noch im erweiterten Maße, dass etwa Abmahnvereine umfangreiche Datenschutzverstöße gegen die DSGVO verfolgen und Prozesse anstrengen können. Gerade dieser Punkt kann äußerst gefährlich werden, sollten die Prognosen zutreffen und sich dazu eine „Abmahn-Industrie“ entwickeln. Umsichtige Manager sind also gut beraten, sich diesem Thema spätestens jetzt anzunehmen.

Das Verfahrensverzeichnis

Die DSGVO beinhaltet sehr viele Vorgaben zur Datenschutz-Organisation, u.a. ist die Pflicht beinhaltet, ein Verzeichnis seiner Datenverarbeitungstätigkeiten führen zu müssen. In ein solches müssen alle Verfahren eines Unternehmens, die mit personenbezogenen Daten zu tun haben, aufgenommen und beschrieben werden. Zu den Pflichtangaben gehören etwa auch die Speicherdauer und damit die Löschfristen.

Soweit nach bisherigem deutschem Datenschutzrecht schon ein solches Verzeichnis besteht, kann dieses oft durch wenige Anpassungen weiterverwendet werden, meist aber fehlt ein solches und dann ist der Aufwand zur Erstellung oft massiv. Wenn man etwa von ca. 150 Verfahren für ein typisches Unternehmen ausgeht und pro Verfahren einige Stunden Erstellungs- und Prüfaufwand ansetzt, wird die Größenordnung eines DSGVO Projekt schnell deutlich – und mit dem Verfahrensverzeichnis ist nur eines von Dutzenden Themen betroffen.

Das Verfahrensverzeichnis muss einem Dritten klar verdeutlichen, wo Daten anfallen und was mit ihnen gemacht wird. Gab es dazu bisher Kontrollen durch die Datenschutzaufsichtsbehörden, so waren diese meist mit Vorlauf angekündigt. Zeit genug, um gegebenenfalls noch zu reagieren und ein Verzeichnis zu erstellen. Ab Geltung der DSGVO zum 25. Mai 2018 kann die Behörde quasi jederzeit das Verzeichnis – und nur für Sie ist es gedacht – anfordern und es wird verschiedentlich überlegt, ob die Datenschutzbehörden sich quasi unmittelbar per Fernzugriff Einblick verlangen.

Selbst wenn die Frist einige Wochen beträgt, wird es kaum machbar sein, innerhalb dieser Zeit ein ordentliches Verzeichnis zu erstellen, zu hoch ist der nötige Input aller Fachabteilungen, von Legal, dem Datenschutzbeauftragten, der IT Security, etc. Es gibt also kaum noch Puffer, um noch auf die Schnelle etwas vorzubereiten. Die Unterlagen müssen quasi fertig in der Schublade liegen, will man nicht Gefahr laufen, sofort ein Bußgeld zu kassieren.

Auswirkungen der DSGVO auf die Hotelsoftware

Es ist zudem so, dass der „Besitzer“ der Daten (also etwa das Hotel –im Englischen „Controller“, im Deutschen „Verantwortlicher“) für die Datenverarbeitung durch seine Dienstleister, also i.d.R. durch die Softwareanbieter, haftet („Processor“). Für ein von einem deutschen Hotel etwa beauftragtes Softwareunternehmen in den USA oder China haftet das deutsche Hotel voll und muss kontrollieren, dass auch beim Dienstleister aller Vorgaben eingehalten werden. Allein an diesem Punkt werden die meisten Hoteliers innerhalb der EU scheitern, mit ggf. gravierenden Folgen.

Technologische Änderungen

Auch technologisch stellt die DSGVO die Branche vor große Herausforderungen. Selbst Einzelhotels haben heute in der Regel ca. 15 Softwaresysteme mit Gastdaten. Gäste haben nun ab dem 25. Mai 2018 den Anspruch, nicht nur per Auskunftsersuchen zu erfahren, welche Daten ein Unternehmen über sie gespeichert hat, sie haben auch einen weitgehenden Löschanspruch sowie – dies ist neu – einen Anspruch auf Herausgabe, der von ihnen dem Hotel bereitgestellten eigenen Daten an sich selbst, aber auch an einen Dritten, wie etwa eine Konkurrenzunternehmen. Zwar ist dies an bestimmte Voraussetzungen geknüpft, die bei Hotelgästen aber fast immer erfüllt sein werden.

Wie soll ein Unternehmen diesen Anforderungen umgehend nachkommen, wenn die IT Landschaft komplett heterogen ist? Dies ist faktisch kaum realisierbar! Ohne ein zentrales Daten Management (Central Data Management = CDM ), ein sogenanntes „Above Property System“, in das alle Datenquellen einlaufen, wird dies kaum sinnvoll und effizient machbar sein. In ein solches CDM mit seinem zentralen Gastprofil lässt sich auch gut ein Privacy Dashboard mit den vorgenannten Funktionen implementieren, wie es etwa von EU-Seite empfohlen wird. Doch was machen, wenn die eigenen Softwareanbieter in ihren Produkten die DSGVO Vorgaben nicht umsetzen?

Dann heißt es, wechseln und prüfen, ob man diese zivilrechtlich zur Kasse bitten kann, weil unter Umständen ein „Rechtsmangel“ vorliegt. Hoteliers haben einen Anspruch auf eine rechtskonforme Software, der Datenschutz ist in jeder Software schon konzeptionell zu berücksichtigen (Privacy by De sign). Es sollten nur Anbieter und Produkte eingesetzt werden, die eine rechtskonforme Software bieten können. Es ist davon auszugehen, dass EU Software-Unternehmen, die sich schon seit Jahren mit dem Thema Datenschutz befassen müssen, besser gerüstet sind als solche, für die die komplexe DSGVO völliges Neuland darstellt. Nie war es also wichtiger sich die richtigen Software-Partner ins Haus zu holen.

dailypoint.com

Download DSGVO-konformer Meldeschein

Das könnte Sie auch interessieren:

IHA-Roadshow geht in die Verlängerung Aufgrund der starken Resonanz bietet der Hotelverband IHA weitere Workshop-Termine in Saarbrücken, Stuttgart und Berlin zur Vorbereitung auf die am 25. Mai 2018 in Kraft tretende europäische Datenschutzgrundverordnung und die ab dem 1. Juli 2018 gültige Pauschalreise-Richtlinie an.
E-Mails 10 Jahre speichern Seit Jahresbeginn müssen alle Unternehmer alle geschäftlichen E-Mails speichern.
Meldeschein: DSGVO-konformes Muster zum kostenlose... Das Ausfüllen des Meldescheines beim Hotel-Check-in ist einer der Momente, dem Hoteliers im Rahmen der Datenschutzgrundverordnung (DSGVO) große Beachtung schenken und die bisherige Praxis einer Überprüfung unterziehen sollten. Der Hotelverband Deutschland (IHA) hat jetzt einen Muster-Meldeschein ent...
Aufgepasst: ABO-FALLE der Datenschutzauskunft-Zent... Viele Gastronomen und Hoteliers haben in den letzten Tagen ein Fax der Datenschutzauskunft-Zentrale (DAZ) aus Oranienburg bekommen, hier ist Vorsicht geboten!
HOGA im Überblick | Unsere ausgesuchte Sammlung der relevanten Links der letzten 7 Tage
rawpixel | Pixabay

HOGA im Überblick – FC Bayern Erlebniswelt, Lebensmittelampel gekippt und Promi-Werbung

Hotels stehen diese Woche im Mittelpunkt: Auf der einen Seite etablieren sich…
IHA Roadshow mit Workshopcharakter zu Reiserecht und DSGVO
geralt | Pixabay

IHA-Roadshow geht in die Verlängerung

Aufgrund der starken Resonanz bietet der Hotelverband IHA weitere Workshop-Termine in Saarbrücken,…
Unternehmensnachfolge clever regeln und Fehler vermeiden.
Lacheev | iStockphoto.com

Unternehmensverkauf frühzeitig vorbereiten und professionell durchführen

Immer mehr Hotels und Restaurants werden im Rahmen der Unternehmensnachfolge verkauft. Transaktionsberater…
Unternehmer können über ein Service-Portal ihre Rundfunkgebühren einsehen und Informationen abrufen.
MichaelGaida | Pixabay

Service-Portal für den Rundfunkbeitrag

Speziell für Unternehmer hat der Beitragsservice der Öffentlich-Rechtlichen einen eigenen Service geschaffen.…
Es kommt darauf an eine wirklich fachkundige Unternehmensbewertung zu setzen.
PeopleImages - iStockphoto.com

Auch der Unternehmer hat einen Wert

Eine nicht adäquate Unternehmensbewertung kann zu einer viel zu hohen Steuerbelastung bei…
Bei der Beschäftigung von Studenten und Schülern gibt es Regeln zu beachten.
StockSnap | Pixabay

Ferienjobber: Was jetzt zu beachten ist

Viele Schüler und Studenten nutzen die Ferienzeit im Sommer zum Jobben in…
Neue Gesetze für Gastronomie und Hotellerie
Natali_Mis | iStockphoto.com

2019 – diese neuen Vorschriften und Gesetze sollten Sie kennen!

Neben einem neuen Verpackungsgesetz, Änderungen im Umsatzsteuergesetz bei Gutscheinen und der Brückenteilzeit…
Geldspielgeräte sind für viele Gastronomen – neben dem Konsum der Gäste – eine wichtige Einnahmequelle.
Löwen Entertainment

Umsatzchance Geldspielgerät – Jugendschutzvorschriften müssen eingehalten werden

Die Aufstellung von Geldspielgeräten in der Gastronomie ist immer wieder in der…
lmfoto | iStockphoto

Gesetzlicher Mindestlohn in der Gastronomie

Der Mindestlohn und die damit verbundenen gesetzlichen Regelungen sind eine Herausforderung für…
Schwarzenarzisse | Pixabay

OLG Düsseldorf hält Expedia für zu unbedeutend, um wettbewerbswidrig handeln zu können

Das Oberlandesgericht Düsseldorf hat die Berufung des Hotelverbandes Deutschland (IHA) gegen ein…