Datenschutz Hotel: Alles was du dazu wissen musst!
Der Datenschutz im Hotel ist nach wie vor ein brisantes Thema. Abgesehen von Standardangaben wie Name und Wohnadresse , die jeder Gast im Hotel hinterlässt, hat man als Hotelier auch aufgrund diverser Gästevorlieben, vom Essen bis hin zu Freizeitaktivitäten, die Möglichkeit ein ziemlich umfangreiches Persönlichkeitsprofil von jedem Gast zu erstellen.
Obwohl die Datenschutzgrundverordnung (DSGVO) spätestens seit Mai 2018 in aller Munde ist, wirft die komplexe Verordnung noch immer die eine oder andere Frage auf. Datenschutz im Hotel ist ein sehr komplexes Thema, denn hier fallen besonders umfangreiche Datenmengen und mitunter auch sehr sensible Daten an. Wie damit umzugehen ist und was überhaupt alles an Daten gesammelt werden darf, sind berechtigte Fragen, die der Superhotelier in diesem Beitrag zu klären versucht.
Was ist die Datenschutzgrundverordnung?
Die DSGVO ist eine Verordnung der Europäischen Union, in der die Verarbeitung von personenbezogenen Daten durch private und öffentliche Datenverarbeiter, EU-weit geregelt und vereinheitlicht wird. Die Datenschutzbestimmungen in der DSGVO sollen dazu beitragen, die Nutzerdaten zu schützen und Angriffe auf diese Daten zu verhindern. Kurz gesagt, soll die DSGVO das Vertrauen in die zunehmend digitalisierte Welt stärken.
Was genau versteht man unter personenbezogenen Daten?
Der Begriff der personenbezogenen Daten ist sehr breit gefächert. Er reicht von direkten Daten wie Name, Adresse, E-Mail-, Telefon- oder Kreditkartennummer bis hin zu indirekten Daten, unter die auch die IP-Adresse deiner Gäste fallen kann.
Im Gegensatz zu anderen europäischen Ländern wie Österreich oder der Schweiz, fallen in Deutschland nur die Daten „natürlicher“ Personen unter das Datenschutzgesetz. Nicht aber die Daten von Vereinen, Gesellschaften oder anderen juristischen Personen.
Als Hotelier darfst du die personenbezogenen Daten deiner Gäste verarbeiten, sofern das für die Durchführung deines Beherbergungsvertrags im Rahmen der DSGVO notwendig ist. Dieser Vertrag erlischt in der Regel nach der Abreise des Gastes beziehungsweise mit der Begleichung aller offenen Rechnungen. Die Meldescheine, die beim Check-In im Hotel digital oder in Papierform hinterlegt werden und natürlich auch personenbezogene Daten enthalten, müssen ein Jahr lang aufbewahrt werden und danach (oder spätestens drei weitere Monate danach) vernichtet beziehungsweise gelöscht werden.
Die Dokumentationspflicht von personenbezogenen Daten
Für dich als Hotelier bedeutet die Dokumentationspflicht einen erheblichen bürokratischen Aufwand, um den Nachweis- und Rechenschaftspflichten nachzukommen. Als Hotelier bist du im Rahmen der DSGVO verpflichtet, dass du alle Maßnahmen ergriffen hast, um die von dir erhobenen personenbezogenen Daten rechtskonform zu bearbeiten.
Auch die Ausarbeitung eines sogenannten „Notfallplans“ im Falle von Datenmissbrauch gehört zu deinen Pflichten um den Datenschutz im Hotel zu gewährleisten. Hier wurde eine Meldepflicht bei Behörden innerhalb von 72 Stunden festgelegt.
Welche Gästedaten darfst du als Hotelier in deiner Kundendatenbank speichern?
Wie schon erwähnt erlischt nach Abreise des Gastes der Beherbergungsvertrag, der dir das Recht gibt, die personenbezogenen Daten zu speichern und weiterzuverarbeiten. Eine Speicherung von Gästedaten in einer Kundendatenbank kannst du nach der Abreise also nicht mehr mit dem einst abgeschlossenen Beherbergungsvertrag begründen.
Natürlich will kein Hotel auf wertvolle Gästedaten verzichten, denn sie können vielfältig eingesetzt werden:
- für das personalisierte Marketing in der Post-Stay-Phase (Geburtstags- und Weihnachtsgrüße) oder
- um den nächsten Aufenthalt eines wiederkehrenden Gastes noch serviceoptimierter zu gestalten
Um die personenbezogenen Daten deiner Gäste in deiner Kundendatenbank speichern und für weiterführende Marketingaktivitäten verwenden zu dürfen, ist die aktive Einwilligung durch deine Gäste erforderlich. Bevor du Newsletter und ähnliches an deine Gäste versendest, müssen diese zuvor ihr Einverständnis in einem Einwilligungsformular kundtun. Vor der Einführung der Datenschutzverordnung im Mai 2018 genügte es, dass der Gast dem Erhalt von Newslettern & Co nicht aktiv widersprach.
Die Einwilligungserklärung zur Speicherung von Kundendaten
Willigt dein Gast dazu ein, musst du darauf achten, dass deine Einwilligungserklärung rechtssicher formuliert ist. Das bedeutet, sie muss verständlich und in einfacher Sprache zur Sache kommen, sodass jeder Gast genauestens Bescheid weiß, wie, in welchem Umfang und zu welchem Zwecke seine personenbezogenen Daten von dir gespeichert und verwendet werden.
Deine Pflicht zur Sicherheit der Datenverarbeitung
Um deine Daten nicht nur vor Hackerangriffen sondern generell zu schützen, bist du laut DSGVO verpflichtet, für entsprechende Schutzmaßnahmen zu sorgen. Die sogenannten TOM-Maßnahmen (technisch-organisatorische Maßnahmen) dienen der Sicherung der gesamten IT und schützen deine personenbezogenen Daten vor rechtswidriger Verarbeitung, Beschädigung oder Entsorgung.
Zum Schutz deiner eingesetzten EDV-Systeme (Zahlungsterminals oder cloudbasierte Anwendungen) und auch, um dich selbst vor empfindlichen Bußgeldern zu schützen, solltest du in nur wirklich effiziente Schutzmaßnahmen investieren. Auch eine ausreichende Schulung deiner Mitarbeiter in Bezug auf die personenbezogene Datenverarbeitung und Datensicherung ist ein Muss für dich als Hotelier. Wende dich diesbezüglich an einen Datenschutzbeauftragten, sofern du nicht ohnehin dazu verpflichtet bist, einen Datenschutzbeauftragten zu bestellen. So kannst du zu 100 % sicher sein, dass du alle Regelungen der vielfältigen Datenschutzgrundverordnung rechtskonform umgesetzt hast.
Deine Pflicht zur Bestellung eines Datenschutzbeauftragten
Hier gibt es seit November 2019 eine Änderung durch eine Novelle der DSGVO. Aufgrund dieser Novelle besteht jetzt nur mehr für Unternehmen ab 20 Mitarbeitern die Pflicht zur Bestellung eines Datenschutzbeauftragten. Vor der Novelle mussten bereits Unternehmen ab 10 Mitarbeitern einen solchen Beauftragten ernennen.
Das Superhotelier-Fazit
Datenschutz Hotel: Die DSGVO kennt kein Pardon, wenn es um Verfehlungen geht. In diesem Sinne genießt der Datenschutz im Hotel einen besonders hohen Stellenwert. Die Voraussetzungen unter welchen Bedingungen du die personenbezogenen Gästedaten speichern und weiterverarbeiten darfst, solltest du deshalb sehr genau einhalten. Denn Verstöße gegen die Datenschutzgrundverordnung können sehr kostspielig ausfallen. Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes sind als Bußgeld bei einem Verstoß vorgesehen.
Um die Einhaltung der Datenschutzgrundsätze gewährleisten zu können, ist es am sinnvollsten, einen Datenschutzbeauftragten in deinem Unternehmen zu ernennen. Unabhängig davon, ob dein Hotel dazu verpflichtet ist oder nicht. Denn ein Angriff auf deine Gästedaten kann auch den Ruf deines Hauses beschädigen und das Vertrauen deiner Gäste in dein Hotel sinken lassen. Dazu kannst du einen externen Datenschutzbeauftragten ebenso beauftragen wie einen deiner Mitarbeiter. Denn es besteht keine gesetzliche Pflicht, dass ein Datenschutzbeauftragter eine Ausbildung oder eine diesbezügliche Zertifizierung haben muss. Dein beauftragter Datenschützer muss in Streitfällen lediglich nachweisen können, dass er über die notwendigen Fachkenntnisse verfügt. Wenn du mehr zu diesem wichtigen Thema wissen möchtest: Der Superhotelier hat auch in Sachen Datenschutz den richtigen Experten für dich zur Hand.