DSGVO – Was ist zu tun als schneller Überblick
Sie haben noch keinen Überblick, was die EU-Datenschutz-Grundverordnung (DSGVO) für Sie als Hotelier bedeutet?
Hierfür sollten Sie sich Zeit nehmen:
Es wartet auf alle Hotels, die personenbezogene Daten speichern (das dürften wohl alle sein, es reicht, wenn Sie die Reservierungsbestätigung ausdrucken und ablegen), eine Menge Arbeit. Die EU-Datenschutz-Grundverordnung (DSGVO) soll den Datenschutz, also den Umgang mit personenbezogenen Daten durch öffentliche Stellen und private Unternehmen, vereinheitlichen. Im Wesentlichen ist genau zu analysieren wo personenbezogene Daten gespeichert werden. Dies betrifft nicht nur Kunden sondern auch Mitarbeiterdaten. Auf jeden Fall warten neue Dokumentationspflichten. Und zwar seit 25. Mai 2018.
Welche Bereiche müssen organisiert und (schriftlich) definiert werden:
- Verschaffen Sie sich einen Überblick, wo personenbezogene Daten erhoben und gespeichert werden. Und dokumentieren Sie alles in einem so genannten Verfahrensverzeichnis. Natürlich fallen Ihnen sofort Ihre Hotelsoftware ein und die Lohnbuchhaltung oder Personalabteilung. Wobei letztere in kleinen Hotels wahrscheinlich noch in Excel Listen oder Aktenordnern verwaltet werden.
Denken Sie auch an:
– Ihren Channel Manager und die Web Booking Engine
(die wahrscheinlich bis in alle Ewigkeiten die einmal vom Gast erhaltenen Daten speichern. Vergessen Sie die MICE Booking Engine nicht).
– Den Bewertungsassistenten, der über E-Maillisten oder Schnittstellen gefüttert wird.
– Ihr Tischreservierungssystem
– Ihr Newsletter Tool, dass ggf. direkt von der Webseite mit Anmeldungsformular gefüttert wird.
– Ihre Webseite, die vielleicht Daten aus Kontaktformularen oder Kommentaren oder Tracking Tools speichert.
– Den Gutscheinshop und vielleicht das Event Booking Tool.
– Den Fotografen für Ihre öffentlichen Veranstaltungen.
– Den externen Revenue Manager (Software oder Dienstleiter, der Einblick in Hotelsoftware oder Buchungsmaschine hat).
Überblick der Auftragsverarbeiter erstellen
Erstellen Sie auch eine Liste, der so genannten „Auftragsverarbeiter“, also Personen oder Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten. In der Regel dürften dies Ihre externe Lohnbuchhaltung oder Buchhaltung sein, Ihr Hotelsoftwareanbieter, der Anbieter Ihrer Buchungssysteme
- Legen Sie –falls noch nicht geschehen- interne Richtlinien fest, in denen Sie folgendes beschreiben:
Welche Rechtsgrundlage erlaubt uns Daten zu verarbeiten und zu speichern? (Z.B. Arbeitsvertrag, AGB, Beherbergungsvertrag, Erlaubnis des Gastes beim Abonnieren des Newsletters oder der Buchung oder des Check In…. ). Legen Sie fest, welche Daten, wo und wie lange gespeichert werden und wann sie gelöscht werden. (im nächsten Schritt muss überlegt werden, wie man die Löschung ggf. automatisieren kann).
- Beschreiben Sie ein transparentes System für die Arten von personenbezogenen Daten und alle Verarbeitungstätigkeiten. Benennen Sie einen Verantwortlichen. Eine rechtliche Pflicht zur Bestellung eines offiziellen Datenschutzbeauftragten besteht, wenn in Ihrem Unternehmen mehr als 10 Personen ständig personenbezogene Daten verarbeiten. Zählen Sie die Zahl der Mitarbeiter (auch Azubis und Teilzeitkräfte) am Empfang, in der Reservierung, in der Buchhaltung und der Personalabteilung sowie dem Verkauf. Übrigens hat der Datenschutzbeauftragte in Ihrer Datenschutzerklärung auf der Webseite genannt zu werden. Man erkennt also von außen sofort, ob Sie diese Rechtspflicht umsetzen.
- Überprüfen Sie Ihre aktuellen Verträge, Regelungen, Formulare, Betriebsvereinbarungen, AGB und Datenschutzpolicies sowie Ihre operativen Abläufe auf Konformität mit der aktuellen Rechtslage. Dazu gehören auch die Verträge mit den Auftragsverarbeitern.
- Im nächsten Schritt müssen Schulungen erfolgen, damit Ihre Mitarbeiter den deutlich sensibleren Umgang mit persönlichen Daten verstehen und in der betrieblichen Praxis umsetzen. Besprechen Sie mit Ihren Auftragsverarbeitern die technische Umsetzung der Regelungen, z.B. automatisierte Löschprozesse, wenn keine anderslautenden Genehmigungen vorliegen.
Beispiele für personenbezogene Daten:
- Name, Anschrift, Geburtsdatum, Telefonnummer, Staatsangehörigkeit, URL soziale Netzwerke, E-Mail-Adresse, IP-Adresse, Familienstand
- Kontoinformationen, Kreditkartennummern, Sozialversicherungsnummer
- Geschlecht, Alter, Körpergröße
- Beruf, Position, Autokennzeichen
Leider ist zu erwarten, dass Aufsichtsbehörden auch Kontrollen durchführen. Diese Punkte zeigen sofort, ob Handlungsbedarf bei Ihnen besteht:
- Eine fehlende oder nicht aktuelle Datenschutzerklärung auf Ihrer Webseite. Es muss ein eigener Navigationseinstieg sein, der von allen Seiten Ihrer Webseite sichtbar ist.
- Bei mehr als 10 Mitarbeitern, die automatisiert personenbezogene Daten verarbeiten, muss ein Datenschutzbeauftragter in der Datenschutzerklärung genannt werden.
- Einwilligung und Information der Widerrufsmöglichkei des Users, bei Bestellung eines Newsletter Dienstes.
- Bei Direkterhebung von Daten (z.B. bei Tischreservierung oder Buchung über Booking Engine) muss über Zwecke und Rechtsgrundlage, Speicherdauer etc. informiert werden.
- Verschlüsselte Übermittelung der persönlichen Daten.
Und auch wichtig für das Verständnis und die Maßnahmenplanung:
- Aus den persönlichen Daten, die Sie in Maßnahme 1 und 2 zusammengestellt haben ist festzulegen, welche Daten, die der Gast Ihnen freiwillig überlassen hat, werden über den Aufenthalt hinaus, gespeichert, warum und wie lange.
- Besprechen Sie mit Ihren Softwareanbietern, die diese Daten für Sie hosten (oder zumindest speichern), wie Sie Ihre Speicher und Löschmaßnahmen künftig automatisieren. Vertragsdaten behalten Sie natürlich schon aus Handels- und Steuerrechtgünden 10 Jahre. Daten von reinen Anfragern müssen nach einigen Monaten gelöscht werden, wenn keine anderslautende Einwilligung vorliegt.
- Planen Sie konkret, wie Sie doppelte Datenhaltung vermeiden. Jede ausgedruckte Reservierungsbestätigung vergrößert Ihre Herausforderungen unnötig, da sie garantiert auch digital existiert. Von der unnötigen Arbeit des Ausdruckens und „Ablegens“ ganz zu schweigen. Leider wird oft noch wie vor 40 Jahren gearbeitet, obwohl 70% der Gäste selbst und digital buchen…
- Prüfen Sie, wer für Ihre IT – Sicherheit verantwortlich ist und ob es einen aktuellen und prüfbaren Maßnahmenplan gibt – auch für alle Mitarbeiter- zu Fragen wie: Umgang mit Viren = Mailanhängen, Firewall und Internetschutz, Passwortregelung, Benutzerrechten, mobilen Geräten und Datenträgern. Erstellen Sie eine IT-Sicherheitsrichtline und lassen Sie IHre Mitarbeiter mit PC-Zugang den Erhalt bestätigen.
- Stellen Sie sicher, dass keine Auskunft über andere Gäste (Aufenthaltszeitraum, Anwesenheit, Zimmernummer etc.) telefonisch oder persönlich erteilt werden darf.
Den Leitfaden des Hotelverbandes „Das neue Datenschutzrecht“ (der stolze 100 Seiten umfasst), finden Sie hier. Verbandsmitglieder erhalten ihn umsonst, der Rest zahlt 45 €.
Lesen Sie auch diese passenden Artikel:
