,,Die 5 Kernfragen’’
Auf was Ihr alles Achten müsst…….
Der Stichtag rückt näher: Am Freitag, dem 25. Mai, bricht datenschutzrechtlich ein neues Zeitalter an. Dann tritt – nach zweijähriger Übergangsfrist – endgültig die neue Datenschutzgrundverordnung (DSGVO) in der gesamten EU in Kraft.
Kein Problem, könnte man einwenden, die DSGVO orientiert sich in vielen Bereichen doch an dem schon länger gültigen deutschen Datenschutzgesetz (BDSG).
Die gravierenden Änderungen
Richtig, und doch gibt es einige gravierende Änderungen:
Die umfassenden Dokumentationspflichten und die deutlich höheren Strafen, die bei Zuwiderhandlung drohen
– bis zu 20 Mio. Euro oder 4 Prozent des Jahresgewinns.
„Die Hotellerie steht vor einer großen Herausforderung und der Hotelverband Deutschland (IHA) unterstützt die Branche bei der Umsetzung“, so der Vorsitzende des Verbands, Otto Lindner. Die IHA hat am Jahresanfang den Leitfaden „Das neue Datenschutzrecht“ herausgegeben und in den vergangenen Wochen in zehn Städten bundesweit Schulungen zur Umsetzung der neuen Anforderungen durchgeführt. Denn darauf zu hoffen, dass schon keiner eventuelle Verstöße bemerken wird, ist sicher nicht ratsam. „Die große Gefahr aus meiner Sicht sind die Abmahnvereine“, warnte Datenfachmann Michael Toedt, CEO von Toedt, Selk & Coll., im AHGZ-Interview vom 14. April. „Hier wartet laut Experten eine ganze Industrie auf den Startschuss.“
Datenschutz ist Teamarbeit
Doch was haben Hoteliers und Gastronomen, die noch nicht für die neue Herausforderung gerüstet sind, jetzt konkret zu tun? Antworten darauf bietet der genannte IHA-Leitfaden, in dem neben praxisnahen Checklisten der Hotellerie die wichtigsten Informationen zum neuen Datenschutzzur Verfügung gestellt werden. Auf dieses Werk stützen sich die nun folgenden Ausführungen.
Grundsätzlich gilt:
Der neue Datenschutz ist ein Teamprojekt, an dem; Geschäftsführung, Rechtsabteilung, IT-Sicherheit, Personalabteilung und Betriebsrat zusammen arbeiten
soweit diese Abteilungen im Betrieb vorhanden sind.
Ansonsten bleibt natürlich viel am Chef hängen.
Und der ist ab 25. Mai schließlich auch in der Beweislast,
dass in seinem Unternehmen der aktuelle Datenschutz eingehalten wird.
Das bedeutet wiederum, dass die Dokumentation aller Aktivitäten rund um dieses Thema jetzt in den Vordergrund rückt.
Die Fünf wichtigsten Kernfragen
Dazu müssen Inhaber sich selbst, aber auch einer prüfenden Behörde gegenüber, die folgenden Fragen beantworten können:
Welche Daten werden innerhalb des Hotels oder Restaurants verarbeitet?
Wo werden die Daten gespeichert?
Aufgrund welcher Rechtsgrundlagen werden Daten verarbeitet?
Dürfen Daten an Dritte weitergegeben werden?
Wie lange werden Daten aufbewahrt beziehungsweise wann gelöscht und warum?
Um nichts zu übersehen, kommen Hoteliers und Gastronomen nicht darum herum, eine systematische Dokumentation einzurichten und ein Datenschutzkonzept zu erstellen.
Ob ein (interner oder externer) Datenschutzbeauftragter zu bestellen ist, hängt davon ab, wie viele Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Ab zehn solcher Mitarbeiter gilt diese Pflicht.
Zudem müssen alle bisher verwendeten Formulare, Verträge und Vertragsklauseln, Einwilligungserklärungen oder auch die Webseite überprüft und gegebenenfalls an die neuen Anforderungen angepasst werden. Auch das Schulen der Mitarbeiter gehört dazu.
Der Begriff „Daten“ ist recht abstrakt.
Um welche Art von Daten geht es denn bei der DSGVO genau?
Nun, das Gesetz regelt nur personenbezogene Daten. Anonyme Angaben, die keinen Rückschluss auf bestimmte Personen zulassen, sind nicht betroffen. Typische personenbezogene Daten sind etwa Name, Geburtsdatum, Adresse, Beruf oder Zahlungsinformationen. Besonders sensibel sind Angaben zur Religionszugehörigkeit, zur sexuellen Orientierung oder Gesundheitsdaten.
Für die Verarbeitung personenbezogener Daten steht der Hotellerie eine Vielzahl an Rechtsgrundlagen zur Verfügung: Selbstverständlich dürfen Hotels auch weiter alle Daten erheben, die sie für den Beherbergungsvertrag benötigen oder zu deren Erhebung sie nach dem Bundesmeldegesetz (Meldeschein) verpflichtet sind.
Einwilligung des Gastes
In manchen Fällen setzt die Verarbeitung von personenbezogenen Daten eine ausdrückliche Zustimmung voraus: Für den Versand von Werbung für das Hotel oder Restaurant kann eine gesonderte Einwilligung notwendig sein. Der Leitfaden empfiehlt, „sich die Einwilligung des Gastes stets schriftlich geben zu lassen oder anderweitig zu dokumentieren“, um auf der sicheren Seite zu sein.
Hoteliers und Gastronomen muss klar sein:
Der Gast ist der Herr seiner Daten. Das bedeutet, dass er auch jederzeit verlangen kann, dass seine persönlichen Angaben gelöscht werden. Ist dies rechtlich nicht möglich, müssen sie zumindest für eine weitere kommerzielle Nutzung gesperrt werden. Ein Löschkonzept hingegen regelt die Löschfristen für Daten, unabhängig von der Frage, ob der Betroffene der Nutzung seiner Daten widersprochen hat.
So viel zu den Gästedaten. Ein Kapitel für sich ist der Schutz der Arbeitnehmerdaten. Wie ist mit Daten aus Bewerbungsverfahren umzugehen? Dürfen Videokameras zur Überwachung der Mitarbeiter eingesetzt werden? Welche Stellung haben Betriebsräte?
Die DSGVO ist komplex
und stellt eine große Herausforderung für die Branche dar. Dieser Beitrag kann die verschiedenen Regelungen und Aufgaben nur anreißen. Hoteliers, die mit den Vorbereitungen auf den 25. Mai noch am Anfang stehen, sollten den Rat von IHA-Justiziarin Laura-Sophie Franze beherzigen: „Die Webseiten der meisten Hotels sind unbedingt zeitnah zu überarbeiten. Die Einwilligungserklärungen für den hoteleigenen Newsletter müssen auf das Widerspruchsrecht gegen die Datennutzung hinweisen. Die Datenschutzbestimmungen müssen Angaben zum Datenschutzbeauftragten und Hinweise auf die Verbraucherschutzrechte enthalten“, so die Expertin und Verfasserin des Leitfadens. „Soweit Eingabefelder für personenbezogene Daten vorhanden sind, ist die Webseite mit einem Sicherheitszertifikat auszustatten.“
Wir hoffen, es gefällt und hilft euch weiter!
Falls ihr Fragen oder Anregungen habt, dann meldet euch doch einfach ….
Wir freuen uns!
Euer Team von PASTE-IT
? : 030 2579 7545
✉ : info@paste-it.de
? : www.paste-it.de