Menü
Facebook Twitter Youtube Instagram
Anzeige
Menü
Anzeige

Ratgeber zur Datenschutzgrundverordnung in der Gastronomie und Hotellerie

Die Unternehmen in der Branche verarbeiten mit fortschreitender Digitalisierung des Betriebes eine Vielzahl personenbezogener Daten. Hieraus ergeben sich für die Geschäftsführung der Unternehmen persönliche Haftungsrisiken von Geldbußen bis zu Haftstrafen. Zur Minimierung des Unternehmensrisikos geben wir Tipps und Lösungsansätze für den optimalen Datenschutz.

mf-ggmKeine Bildrechte?

„Wir helfen dir, die Abmahnrisiken deiner Webseite zu prüfen und erstellen dir einen kostenlosen Webseiten-Scan mit Maßnahmenplan.“

Matti Fiedler,
TÜV-zertifizierter Datenschutzbeauftragter
TÜV-zertifizierter Nachhaltigkeitsmanager

Zum Klickberater

Betriebswirtschaftliche Grundlagen

DSGVO – Was genau bedeutet das?

Die Datenschutz-Grundverordnung (DSGVO) ist eine vom EU-Parlament, dem Rat der Europäischen Union und der EU Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen.

Konkrete Ziele sind:

  1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Sicherstellung, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.

Dieser Rechtsrahmen ersetzt die derzeitige EU-Datenschutzrichtlinie (95/46/EG) mit zusätzlichen bislang geltenden Anforderungen. Die neue EU-Datenschutzregelung erweitert den Geltungsbereich des EU-Datenschutzrechts auf alle Unternehmen auch außerhalb der EU, sobald diese Daten von EU-Bürgern verarbeiten.

Die DSGVO ist seit dem 25.05.2018 in Kraft. Bei Verstößen, bzw. Nichtanwendung drohen Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes.

Unterschiede B2B und B2C hinsichtlich der DSGVO

Die DSGVO gilt nach Art. 2 Abs. 1 sowohl für B2B, als auch für B2C, da sie dem Schutz natürlicher Personen gilt und diese beim Versand von Werbemitteln an B2B-Adressen in der Regel in Form von Funktionsträgern, bzw. konkreten Mitarbeitern, involviert sind.

Geltungsbereich der DSGVO

Die DSGVO gilt für für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten sowohl für Datenrechner und Datenverarbeiter, wie auch für Dritte, etwa Cloud-Provider.

Räumlicher Geltungsbereich der DSGVO – Welche Länder sind betroffen?

Gemäß Art. 3 der DSGVO gilt diese für alle 28 EU-Mitgliedsstaaten. Auch Unternehmen und Organisationen, die außerhalb der EU liegen sind betroffen, sofern die Datenverarbeitung EU-Bürgerinnen und Bürger betrifft. Dies gilt unabhängig davon, ob die betreffenden Personen sich nur kurz oder längerfristig in der EU aufhalten.

Digitaler Nachlass muss auch geregelt werden.ManuelSousa | iStockphoto.com

Fehlerquellen finden

Für Unternehmen des Gastgewerbes ist es zwingend erforderlich, die Unternehmensabläufe und somit die Datenschutzmaßnahmen an die DSGVO anzupassen. So vermeiden Sie klassische Fehler.

Zum Beitrag

Videoüberwachung – was ist erlaubt?

Videoüberwachung ist ein heikles Thema, bei dem der Datenschutz eine tragende Rolle spielt. Informieren Sie sich über die Rechte und Pflichten.

Zum Beitrag
siarhei-horbach-xJc--frJbuw-unsplashSiarhei Horbach, Unsplash

Strafen bei Verstößen gegen die DSGVO – Welche sind zu erwarten?

Datenschutzverstöße werden seit dem 25. Mai 2018 stärker bestraft. Die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung kann nach Art. 83 (5) DSGVO bis zu 20 Mio. €  oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem welcher Wert größer ist. Nach Art. 83 (4) DSGVO gibt es einen abgestuften Ansatz zu Geldstrafen. Ein Unternehmen kann z.B. zu 2 Prozent des jährlichen Weltumsatzes  verurteilt werden, wenn seine Aufzeichnungen nicht die richtige Reihenfolge aufweisen (Artikel 28), die Überwachungsbehörde nicht darüber benachrichtigt  und die Betroffenen nicht ausreichend über einen Verstoß informiert wurden, bzw. keine Folgenabschätzung durchgeführt wurde. Details zu den Strafen finden Sie in diesem Beitrag.

Was ist geblieben und was hat sich geändert?

Regeln – Welche gelten weiterhin?

Nicht alles hat sich unter der neuen EU-DSGVO verändert. Folgende Bestimmungen gelten auch weiterhin: 

  1. Die Grundrechte und Grundfreiheiten von natürlichen Person zu schützen, bleibt weiterhin als primäres Ziel bestehen. Das Recht auf informationelle Selbstbestimmung bleibt ebenfalls unberührt.
  2. Der zweite Grundsatz, dass keine personenbezogenen Daten erhoben oder verarbeitet werden dürfen, solange eine Rechtsvorschrift etwas Anderes bestimmt, bleibt in Kraft. Ausnahmen werden weiterhin streng reguliert.
  3. Die Verarbeitung von sensiblen personenbezogenen Daten unterliegen weiterhin strengen Voraussetzungen. Eine vorherige Einwilligung des Betroffenen bleibt ebenfalls Pflicht.
  4. Unternehmen, deren Hauptaktivität die Datenerhebung und Datenverarbeitung von natürlichen Personen ist, benötigen einen betrieblichen Datenschutzbeauftragten.
  5. Die jeweilige Zweckbestimmung ist für eine Weiterverarbeitung entscheidend und bedürfen einer entsprechenden Transparenz. Eine Zweckentfremdung von personenbezogene Daten bleibt verboten.

Was hat sich seit Einführung der DSGVO konkret geändert?

  1. Eindeutige Definition von personenbezogenen Daten: Dies sind sämtliche Daten, die der Identifizierung einer Person dienen
  2. Mehr Rechte für natürliche Personen

    a) Ausdrückliche Zustimmung erforderlich
    b) Recht auf Vergessen
    c) Information, welche Daten wo und seit wann gespeichert werden
    d) Anspruch auf Schadensersatz bei materiellem oder immateriellem Schaden durch DSGVO-Verstöße 

  3. Höhere Bußgelder bei Verstößen
  4. Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.
  5. Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass alle wirksamen Maßnahmen ergriffen werden.
  6. Mitteilungspflicht bei Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen darüber informieren.
  7. Konkretere Bestimmung, wann genau ein Datenschutzbeauftragter zu ernennen ist.

Brauche ich einen Datenschutzbeauftragten?

Nach Artikel 37 DSGVO ist ein Datenschutzbeauftragter zu ernennen, sofern

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte ausgenommen)
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht bei dem eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich ist oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Die Bestimmung einen Datenschutzbeauftragten zu ernennen, gilt für Datenverantwortliche als auch für Datenverarbeiter, unabhängig von ihrer Größe. 

Die Bestimmung einen Datenschutzbeauftragten zu ernennen, gilt für Datenverantwortliche als auch für Datenverarbeiter, unabhängig von ihrer Größe. 

Bei Nichteinhaltung der Verpflichtung können bis zu 2 Prozent des weltweiten Umsatzes oder 10 Mio. € erhoben werden, je nachdem, welcher Wert höher ist. Wenn ein Unternehmen beschließt, keinen Datenschutzbeauftragten zu ernennen, müssen die Gründe für diese Entscheidung aufgezeichnet werden.

Fehlerquellen beim Datenschutz in Gastronomie und Hotellerie

Die Branche rund um Gastronomie und Hotellerie ist in vielen Situationen mit der Datenverarbeitung konfrontiert, manche werden erst auf den zweiten Blick sichtbar. Für Reservierungen oder Buchungen werden eine Vielzahl personenbezogener Daten wie Name, Anschrift, Geburtsdatum und auch die Bankverbindung sowie einige mehr regelmäßig erfasst. Online-Aktivitäten wie Newsletter oder Werbemails, Facebookwerbung etc. verarbeiten sensible Daten, auch die Übermittlung von Kundendaten an Drittanbieter zählt dazu. Hierunter fallen beispielsweise Caterer, Softwarehersteller, Telefon- und Schließanlagentechniker, die alle direkt oder indirekt Zugriff auf personenbezogene Daten erhalten.

Wechselnde Mitarbeiter, Stress während der Stoßzeiten in der Lobby oder im Restaurant: Als Fehlerquellen bezüglich des Datenschutzes zeigen sich sehr häufig Unerfahrenheit oder Sorglosigkeit der Mitarbeiter. Um das Haftungsrisiko für den Verantwortlichen zu verringern, ist das Unternehmen auf die „DSGVO – Fehlerquellen im Unternehmen“ zu überprüfen.

Big Brother is watching you

Videoüberwachung ist seit jeher ein heikles Thema, die Datenschutz-Grundverordnung hat die Gesetzeslage noch einmal verschärft. Wir haben für Sie die Rechte und Pflichten rund um die Videoüberwachung zusammengestellt.

Datenschutz in der Corona-Pandemie

Die COVID-19 Pandemie hat das Gastgewerbe hart getroffen. Lockdowns und lange Schließungszeiten haben trotz der staatlichen Unterstützung das Aus für zahlreiche Betriebe bedeutet. Wer weiterhin Gäste empfangen darf, musste neue Einschränkungen und Auflagen akezptieren. Während 2020 im Zeichen der Gästedaten-Erfassung stand, folgte 2021 die Auflagen der 3G, 2G oder 2G+ Kontrollen. Ob Gästendaten oder Impf- und Testnachweiskontrollen – der Datenschutz muss trotzdem jederzeit gewährleistet werden. Die offen ausliegenden Listen haben im vergangenen Jahr vielerorts zu Bußgeldern geführt, doch dank digitaler Lösungen wie dem Hygiene-Ranger konnten diese nachhaltig ersetzt werden.

Seit dem 20. April müssen Unternehmen ihren Mitarbeitern mindestens einmal pro Woche die Möglichkeit zur Durchführung eines Schnelltests bieten – ob in einer externen Teststation, intern im Unternehmen oder als Selbsttest ist egal. Was Arbeitgeber bezüglich des Datenschutzes beachten müssen, lesen Sie hier.

Weitere Artikel aus der Kategorie „Datenschutz“

  • Datenschutz

Videos datenschutzkonform auf der Webseite einbinden

Nordwood-Themes, Unsplash
Viele Webseiten-Betreiber nutzen Videos, um ihre Dienstleistungen zu bewerben oder Mitarbeiter vorzustellen. Das bewegte Bild beeindruckt die virtuellen Besucher und lässt den Internetauftritt lebendig werden. Doch gilt es, einige Regeln zur datenschutzkonformen Einbindung zu beachten.[...]

Nach noyb Abmahnwelle: Taskforce legt Mindestanforderungen an Cookie Banner fest

XPS, Unsplash
Fast ein Jahr nach der von noyb gestarteten Abmahnwelle gegen mutmaßlich nicht datenschutzkonforme Cookie Banner gibt es nun einen Berichtsentwurf mit Mindestanforderungen. [...]
  • Kostenloser Datenschutz-Check

7 Abmahngründe für den Internetauftritt – von Google Fonts bis Serverstandort

Firmbee.com, Unsplash
Die eigene Webseite soll vor allem eines: Kunden und Gäste informieren und vom eigenen Betrieb überzeugen. Doch gibt es einige Aspekte beim Handling der Internetseite zu beachten, um nicht Empfänger eines Mahnschreibens zu werden. In[...]
  • Datenschutz

Mehr Schutz für Whistleblower – mit dem Hinweisgeberschutzgesetz

Icons8 Team, Unsplash
Wer im Unternehmen einen Verstoß erkennt oder Informationen zu einem Verstoß erhält und diesen meldet, soll mit dem Hinweisgeberschutzgesetz sichergehen können, dass die Meldungen keine Benachteiligungen nach sich ziehen. Auch wenn das Gesetz bislang noch[...]
  • Datenschutz

Lösch- kontra Aufbewahrungspflicht – so sollte zu Jahresbeginn gehandelt werden

Keine Bildrechte?
Mit jedem Jahreswechsel sollten in der Geschäftsbuchhaltung die Unterlagen überprüft werden: Was kann weg und was muss aufbewahrt werden? Gar nicht so einfach, widersprechen sich doch bei manchen Dokumenten bei näherem Hinsehen Aufbewahrungs- und Löschfrist[...]
  • Management

Chaos vorprogrammiert: Neues Gesetz zur Verwaltung der digitalen AU

Ridofranz, iStockphoto
Nach einem Jahr Übergangsfrist soll es ab dem 1. Januar 2023 nur noch die elektronische Arbeitsunfähigkeitsbescheinigung, die eAU, geben. Während der Arbeitnehmer entlastet wird, steht nun der Arbeitgeber hinsichtlich des Abrufes und der Weiterverarbeitung [...]
Mehr laden

Unsere Ratgeber

Unsere Themen

Unser Service

In Kooperation mit

Folgen Sie uns:

Facebook Twitter Instagram Pinterest Rss
Copyright © 2022 Inproma GmbH
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.