Neben der datenschutzkonformen Erfassung und Speicherung der Daten im Hotelbetrieb, ist es auch wichtig die Daten für andere unzugänglich aufzubewahren. Beim ständigen Kundenverkehr, der in touristischen Einrichtungen herrscht, sollte man die Daten gut und sicher aufbewahren. Schützen Sie daher Ihren Rechner vor Zugriffen anderer. Sichere Kennwörter und eine gute Firewall bilden den Grundstein für die IT-Sicherheit im Tourismus.

Aber auch ganz einfache Dinge, wie ein Sichtschutz zum PC, der den Blick auf die Buchungen anderer Gäste versperrt, sollten zum Standard im Tourismus gehören. Oft wird unterschätzt, wie wichtig der Datenschutz ebenso bei der analogen Datenerfassung ist. Auch wenn wir immer digitaler arbeiten und viele den Datenschutz immer gleichsetzen mit dem Schutz der digitalen Daten, dürfen handschriftlich erfasste Daten nicht vergessen werden.

In vielen Fällen wird der sogenannte Fremdenverkehrsbeitrag, die Kurtaxe oder wie in der Stadt Köln die Kulturförderabgabe bei einem touristischen Aufenthalt fällig. Nicht selten gibt es auch hier noch Vordrucke, die beim Check-In durchaus handschriftlich ausgefüllt werden müssen. Auch diese Daten sind zu schützen und für Dritte unzugänglich aufzubewahren. Zudem muss auch ein Meldeschein DS-GVO-konform sein.

Schränke oder Büros müssen abschließbar sein und Unterlagen nicht sichtbar an der Rezeption liegen bleiben. Überhaupt sind Rezeption und Reservierung erst einmal Dreh- und Angelpunkt für den Datenschutz. Doch auch die Zimmerreinigung, das Restaurant oder der Wellnessbereich können personenbezogene Daten verarbeiten. Die Löschung und Vernichtung von Daten stellen ebenfalls eine Datenverarbeitung dar. Diese sollten bei einem Konzept für den Datenschutz durchleuchtet werden.

Neben den Daten, die die Gäste bei einer Reservierung angeben, kann es auch sein, dass personenbezogene Daten der besonderen Kategorie erfasst werden. Als Beispiel sind dabei sicherlich Gesundheitsdaten zu nennen. Benötigt ein Gast einen barrierefreien Zugang, weil er zum Beispiel eine gesundheitliche Einschränkung hat, so wird er dies bei der Reservierung sicherlich angeben. Auch im Rahmen der besonderen Serviceleistungen kann man schnell in die Verarbeitung der Daten besonderer Kategorien gelangen wenn beispielsweise in den Daten des Gastes hinterlegt wird, dass er an Allergien leidet.

Wenn besondere Arten personenbezogenen Daten erfasst werden, dann sollte eine Risikoanalyse erfolgen. Diese hilft bei der Bewertung des bestehenden Risikos für den Betroffenen und seine Daten. In der Regel sollte auf eine Risiko- oder Schwellwertanalyse dann auch eine Datenschutzfolgeabschätzung erstellt werden.

Dabei wird dann noch einmal näher dokumentiert, welche Risiken es für die Daten des Betroffenen geben kann und welche Folgen daraus für den Verantwortlichen und dem Betroffenen im Hotel, auf dem Campingplatz oder auch der Ferienwohnung mit der Verarbeitung dieser Art von Daten entstehen können. Zudem sollte die Datenschutzfolgeabschätzung für Hotels, Campingplätze oder Ferienwohnungen in NRW auch festhalten, welche Vorgehensweisen zum Schutz der Daten und bei mögliche Datenpannen vorliegt.

Oft haben wir schon die sogenannten Betroffenenrechte in unserem Blog thematisiert, welche einen wichtigen Baustein der DS-GVO bilden. Sie bilden so zu sagen die Grundlage, um den Datenschutz für jeden Betroffenen zu gewährleisten.

Der Betroffene hat laut Datenschutzgrundverordnung unter anderem das Recht auf:

• Information bei der Datenerhebung
• Auskunft
• Berichtigung (Korrekturbegehren)
• Löschung (Löschungsbegehren)
• Vergessenwerden
• Datenübertragbarkeit
• Widerspruch, Widerruf.

Der Verantwortliche muss die Umsetzung des Datenschutzes – egal wie groß das Unternehmen ist – dokumentieren. Dazu gehört auch eine Mitteilungspflicht an den Betroffenen. Der Informationspflicht muss er zum Beispiel bei der Erhebung der Daten nachkommen. Wenn der Kunde eine Auskunft verlangt, dann muss er diese entsprechend erteilen und wenn der Kunde ein Löschbegehren ausspricht und danach dann Kundendaten gelöscht werden, muss er diesen ebenfalls darüber informieren, welche Daten zu welchem Zeitpunkt gelöscht wurden.

Bei der Umsetzung des Datenschutzes unterscheidet sich der Tourismus erst einmal nicht von allen anderen Geschäftsbereichen, Vereinen, Schulen oder anderen Branchen. Eine Besonderheit haben international handelnde Unternehmen, wie zum Beispiel Hotels: Da der Datenschutz für jeden Betroffenen verständlich sein muss, stellt das unter Umständen eine Herausforderung dar. Wer also mit einem internationalen Publikum zu tun hat, der sollte prüfen, ob zum Beispiel Informationspflichten und Datenschutzerklärung in verschiedenen Sprachen vorliegen müssen. Nur so kann sichergestellt werden, dass jeder Betroffene (in einem zumutbaren Maße) seine Rechte im Datenschutz wahrnehmen und die Verarbeitung seiner Daten nachvollziehen kann.

Der Datenschutz greift natürlich auch bei Online-Plattformen. Hierbei gibt es ebenfalls Besonderheiten zu beachten. Wenn die Buchung über eine externe Buchungs-Plattform erfolgt, dann muss auf jeden Fall geprüft werden, inwieweit ein Vertrag für die Auftragsdatenverarbeitung (ADV-Vertrag) notwendig ist.

Prüfen Sie in diesem Zusammenhang auch die Datenübermittlung an die zuständigen Behörden. Übersenden Sie die Daten nur über sichere und verschlüsselte Zugänge.

Aber es geht bei der Verarbeitung von personenbezogenen Daten nicht nur um den Reservierungsvorgang oder eine Anfrage. Jede Erfassung von beispielsweise der IP-Adresse eines Interessenten, jede Cookie-Einstellung und die damit einhergehende Datenverarbeitung bildet eine Erhebung personenbezogener Daten, die dem Datenschutz unterliegt.

Jedes Hotel, das eine Homepage betreibt, sollte daher auf eine DS-GVO-konforme Nutzung dieser Seite achten.

Bei der Geschäftsreise, die über die Firma gebucht wird, könnte man denken, dass es sich nicht unbedingt um die Erhebung personenbezogener Daten handelt. Immerhin wurden doch nur die Firmenkontaktdaten angegeben. Leider ist dies nur bedingt richtig. Mal ganz abgesehen davon, dass es in den meisten Fällen zumindest notwendig ist, Vor- und Nachname des betroffenen Mitarbeiters anzugeben – sind auch Firmen-E-Mail und Telefonnummer, sofern einer bestimmten Person zuordenbar, personenbezogene Daten.

Erfolgt also die Buchung nicht vollkommen anonym, greifen hier die Vorgaben des Datenschutzes.

Wie schon erwähnt werden nicht ausschließlich bei der Reservierung und beim Check-In eines Hotels oder einer Ferienwohnung personenbezogene Daten verarbeitet. Ein klassisches Beispiel für eine weitere Datenerhebung stellt die Videoüberwachung dar.

Bilder können ebenfalls personenbezogene Daten darstellen, wenn der Betroffene auf dem Bild eindeutig erkennbar ist. Achten Sie daher auch hier auf eine DS-GVO-konforme Erhebung der Daten. Worauf Sie bei der Nutzung von Überwachungskameras achten sollten, lesen Sie hier.

Das Thema Datenschutz stellt für viele Unternehmen eine Herausforderung dar. Dabei bilden Hotels, Ferienwohnungen, Campingplätze und so weiter keine Ausnahme. Wer den Datenschutz nach DS-GVO und BDSG daher umsetzen will, muss sich sehr genau mit den komplexen Anforderungen befassen. Unter bestimmten Voraussetzungen muss dann auch ein (externer) Datenschutzbeauftragter berufen werden.