Personenbezogene Daten werden nicht nur bei der Hotel-Buchung erfasst
Die Ferien in NRW sind an diesem Wochenende zu Ende gegangen – in vielen Bundesländern sind sie aber noch immer in vollem Gange. Der Tourismus boomt in diesem Jahr vor allem in Deutschland – immer mehr Menschen machen Urlaub in benachbarten Bundesländern – natürlich auch in NRW, Bayern, Hessen oder Rheinlandpfalz.
Nicht nur bei der Buchung, auch in anderen Bereichen werden die personenbezogenen Daten von Betroffenen erfasst. Worauf Hoteliers und Ferienwohnungbetreiber in NRW beim Datenschutz achten müssen, lesen Sie in unserem Datenschutz-Blog.
Personenbezogene Daten beim Buchen und Einchecken
Jeder weiß, dass man bei der Reservierung eines Urlaubs bestimmte Daten zur Buchung eingeben muss – spätestens beim Check-In geben wir unsere personenbezogenen Daten in einem gewissen Maße frei.
Hierbei müssen natürlich die unterschiedlichen Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) eingehalten werden.
Um den Datenschutz in Ihrem Tourismusbetrieb zu durchleuchten, müssen Sie sich verschiedene Fragen stellen. Die wichtigste Frage hierbei ist wohl erst einmal: Wo werden im Hotel, auf dem Campingplatz oder in der Ferienwohnung personenbezogene Daten verarbeitet? Und: Was sind personenbezogene Daten? Wie stelle ich sicher, dass die personenbezogenen Daten DS-GVO-konform aufbewahrt und gelöscht werden?
Welche Betroffenenrechte gibt es? Und welche Dinge muss ich im Datenschutz in Hotellerie und Tourismus in NRW beachten? Zu einigen Themen finden Sie bereits erste Antworten in unserem Fachblog zum Datenschutz. Klicken Sie dazu einfach den Link in den Fragen an.
Achtung Kundenverkehr! Technisch-organisatorische Maßnahmen (TOMs)
Neben der datenschutzkonformen Erfassung und Speicherung der Daten im Hotelbetrieb, ist es auch wichtig die Daten für andere unzugänglich aufzubewahren. Beim ständigen Kundenverkehr, der in touristischen Einrichtungen herrscht, sollte man die Daten gut sichern. Schützen Sie daher Ihren Rechner vor Zugriffen anderer. Sichere Kennwörter und eine gute Firewall bilden den Grundstein für die IT-Sicherheit im Tourismus.
Aber auch ganz einfache Dinge, wie ein Sichtschutz zum PC, der den Blick auf die Buchungen anderer Gäste versperrt, sollten zum Standard im Tourismus gehören. Oft wird unterschätzt, wie wichtig der Datenschutz ebenso bei der analogen Datenerfassung ist. Auch wenn wir immer digitaler arbeiten und viele den Datenschutz immer gleichsetzen mit dem Schutz der digitalen Daten, dürfen handschriftlich erfasste Daten nicht vergessen werden.
In vielen Fällen wird der sogenannte Fremdenverkehrsbeitrag, die Kurtaxe oder wie in der Stadt Köln die Kulturförderabgabe bei einem touristischen Aufenthalt fällig. Nicht selten gibt es auch hier noch Vordrucke, die beim Check-In durchaus handschriftlich ausgefüllt werden müssen. Auch diese Daten sind zu schützen und für Dritte unzugänglich aufzubewahren. Zudem muss auch ein Meldeschein DS-GVO-konform sein.
Schränke oder Büros müssen abschließbar sein und Unterlagen nicht sichtbar an der Rezeption liegen bleiben. Überhaupt sind Rezeption und Reservierung erst einmal Dreh- und Angelpunkt für den Datenschutz. Doch auch die Zimmerreinigung, das Restaurant oder der Wellnessbereich können personenbezogene Daten verarbeiten. Die Löschung und Vernichtung von Daten stellen ebenfalls eine Datenverarbeitung dar. Diese sollten bei einem Konzept für den Datenschutz durchleuchtet werden.
Gesundheitsdaten bei barrierefreiem Zugang – Datenschutzfolgenabschätzung
Neben den Daten, die die Gäste bei einer Reservierung angeben, kann es auch sein, dass personenbezogene Daten der besonderen Kategorie erfasst werden. Als Beispiel sind dabei sicherlich Gesundheitsdaten zu nennen. Benötigt ein Gast einen barrierefreien Zugang, weil er zum Beispiel eine gesundheitliche Einschränkung hat, so wird er dies bei der Reservierung sicherlich angeben.
Wenn besondere Arten personenbezogenen Daten erfasst werden, dann sollte eine Risikoanalyse erfolgen. Diese hilft bei der Bewertung des bestehenden Risikos für den Betroffenen und seine Daten. In der Regel sollte auf eine Risiko- oder Schwellwertanalyse dann auch eine Datenschutzfolgenabschätzung erstellt werden.
Dabei wird dann noch einmal näher dokumentiert, welche Risiken es für die Daten des Betroffenen geben kann und welche Folgen daraus für den Verantwortlichen und dem Betroffenen im Hotel, auf dem Campingplatz oder auch der Ferienwohnung mit der Verarbeitung dieser Art von Daten entstehen können. Zudem sollte die Datenschutzfolgenabschätzung für Hotels, Campingplätze oder Ferienwohnungen in NRW auch festhalten, welche Vorgehensweisen zum Schutz der Daten und bei mögliche Datenpannen vorliegt.
Betroffenenrechte international – eine Herausforderung für Tourismus und Datenschutz
Oft haben wir schon die sogenannten Betroffenenrechte in unserem Blog thematisiert, welche einen wichtigen Baustein der DS-GVO bilden. Sie bilden so zu sagen die Grundlage, um den Datenschutz für jeden Betroffenen zu gewährleisten.
Der Betroffene hat laut Datenschutzgrundverordnung unter anderem das Recht auf:
- Information bei der Datenerhebung
- Auskunft
- Berichtigung (Korrekturbegehren)
- Löschung (Löschungsbegehren)
- auf Vergessenwerden
- Datenübertragbarkeit
- Widerspruch, Widerruf.
Der Verantwortliche muss die Umsetzung des Datenschutzes – egal wie groß das Unternehmen ist – dokumentieren. Dazu gehört auch eine Mitteilungspflicht an den Betroffenen. Der Informationspflicht muss er zum Beispiel bei der Erhebung der Daten nachkommen. Wenn der Kunde eine Auskunft verlangt, dann muss er diese entsprechend erteilen und wenn der Kunde ein Löschbegehren ausspricht und danach dann Kundendaten gelöscht werden, muss er diesen ebenfalls darüber informieren, welche Daten zu welchem Zeitpunkt gelöscht wurden.
Bei der Umsetzung des Datenschutzes unterscheidet sich der Tourismus in NRW erst einmal nicht von allen anderen Geschäftsbereichen, Vereinen, Schulen oder anderen Branchen. Eine Besonderheit haben international handelnde Unternehmen, wie zum Beispiel Hotels: Da der Datenschutz für jeden Betroffenen verständlich sein muss, stellt das unter Umständen eine Herausforderung dar. Wer also mit einem internationalen Publikum zu tun hat, der sollte prüfen, ob zum Beispiel Informationspflichten und Datenschutzerklärung in verschiedenen Sprachen vorliegen müssen. Nur so kann sichergestellt werden, dass jeder Betroffene (in einem zumutbaren Maße) seine Rechte im Datenschutz wahrnehmen und die Verarbeitung seiner Daten nachvollziehen kann.
Personenbezogene Daten bei der Online-Buchung und der Datenübermittlung
Der Datenschutz greift natürlich auch bei Online-Plattformen. Hierbei gibt es ebenfalls Besonderheiten zu beachten. Wenn die Buchung über eine externe Buchungs-Plattform erfolgt, dann muss auf jeden Fall geprüft werden, inwieweit ein Vertrag für die Auftragsdatenverarbeitung (ADV-Vertrag) notwendig ist.
Prüfen Sie in diesem Zusammenhang auch die Datenübermittlung an die zuständigen Behörden. Übersenden Sie die Daten nur über sichere und verschlüsselte Zugänge.
Aber es geht bei der Verarbeitung von personenbezogenen Daten nicht nur um den Reservierungsvorgang oder eine Anfrage. Jede Erfassung von beispielsweise der IP-Adresse eines Interessenten, jede Cookie-Einstellung und die damit einhergehende Datenverarbeitung bildet eine Erhebung personenbezogener Daten, die dem Datenschutz unterliegt.
Jedes Hotel, das eine Homepage betreibt, sollte daher auf eine DS-GVO-konforme Nutzung dieser Seite achten.
Ausnahme: Geschäftsreise und Datenschutz?
Bei der Geschäftsreise, die über die Firma gebucht wird, könnte man denken, dass es sich nicht unbedingt um die Erhebung personenbezogener Daten handelt. Immerhin wurden doch nur die Firmenkontaktdaten angegeben. Leider ist dies nur bedingt richtig. Mal ganz abgesehen davon, dass es in den meisten Fällen zumindest notwendig ist, Vor- und Nachname des betroffenen Mitarbeiters anzugeben – sind auch Firmen-E-Mail und Telefonnummer, sofern einer bestimmten Person zuordenbar, personenbezogene Daten.
Erfolgt also die Buchung nicht vollkommen anonym, greifen hier die Vorgaben des Datenschutzes.
Kameraüberwachung in Hotel und Datenschutz für NRW
Wie schon erwähnt werden nicht ausschließlich bei der Reservierung und beim Check-In eines Hotels oder einer Ferienwohnung personenbezogene Daten verarbeitet. Ein klassisches Beispiel für eine weitere Datenerhebung stellt die Videoüberwachung dar.
Bilder können ebenfalls personenbezogene Daten darstellen, wenn der Betroffene auf dem Bild eindeutig erkennbar ist. Achten Sie daher auch hier auf eine DS-GVO-konforme Erhebung der Daten. Worauf Sie bei der Nutzung von Überwachungskameras achten sollten, lesen Sie hier.
Was bedeuten Datenschutz und DS-GVO für den Tourismus in NRW?
Das Thema Datenschutz stellt für viele Unternehmen eine Herausforderung dar. Dabei bilden Hotels, Ferienwohnungen, Campingplätze und so weiter keine Ausnahme. Wer den Datenschutz nach DS-GVO und BDSG daher umsetzen will, muss sich sehr genau mit den komplexen Anforderungen befassen. Unter bestimmten Voraussetzungen muss dann auch ein (externer) Datenschutzbeauftragter berufen werden.
Der (externe) Datenschutzbeauftragte kann dem Verantwortlichen bei der Umsetzung des Datenschutzes im Hotel, auf dem Campingplatz oder der Ferienwohnungsvermietung in NRW helfen. Aber auch Unternehmen, die aufgrund der gesetzlichen Vorgaben keine (externen) Datenschutzbeauftragten stellen müssen, sind verpflichtet die gesetzlichen Vorgaben im gleichen Maße umzusetzen. Ein (externer) Datenschutzbeauftragter oder ein Datenschutzberater können dabei eine gute Unterstützung sein.
Das Team von Datenschutzberater.NRW hilft Ihnen gerne bei der Umsetzung des Datenschutzes in Ihrem Hotel, Campingplatz oder der Ferienwohnung in NRW. Wir bieten Ihnen neben einer projektbezogenen Beratung folgende Leistungen für Köln, Bonn, Düsseldorf, Siegen und ganz NRW an:
- Wir stellen einen externen Datenschutzbeauftragten (TÜV) für Unternehmen in NRW
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Sicherheit
- IT-Audit
- Website-Scan für eine datenschutzkonforme Internetseite
- GoBD-Beratung (Verfahrensdokumentation)
Wenn Sie unsere Unterstützung bei der Umsetzung Ihres Datenschutzes benötigen, kontaktieren Sie uns gerne. Wir erstellen Ihnen ein unverbindliches und praxisorientiertes Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in Ihrem touristischen Unternehmen? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.