Personenbezogener Daten sind im Hotel allgegenwärtig

Datenschutz muss im Hotel operativ umgesetzt werden

Datenschutz im Hotel

Speziell in einem Hotel fallen in vielen unterschiedlichen Bereichen personenbeuzogene Daten an, die es zu schützen gilt. So beginnt jede Hotelbuchung eines Gastes mit der Erfassung, Verarbeitung und Speicherung personenbezogener Daten. Durch die relativ hohe Digitalisierung in der Hotellerie werden diese Daten in elektronischer Form erfasst, bearbeitet und gespeichert. In einem Hotel fallen neben Gastdaten eine Vielzahl personenbezogener Daten wie z.B. Mitarbeiterdaten, Bewerberdaten, Daten von Lieferanten an, die es zu schützen gilt. Der Schutz der Daten und die entsprechenden organisatorischen Daten sind die Verantwortung des Hoteliers.

Nicht erst seit der Einführung der Datenschutzgrundverordnung (DSGVO) ist der Schutz personenbezogener Daten eine wichtige Unternehmeraufgabe.

Seit Inkrafttreten der DSGVO sind die Strafen für Nichteinhaltung der Vorgaben saftig geworden.

Wie startet ein Hotelier, um die Vorgaben des Datenschutzes einzuhalten?

Der erste Schritt ist, zu prüfen, in welchen Bereichen überhaupt personenbezogene Daten erfasst, verarbeitet und gespeichert werden. In diesem Zusammenhang ist auch gleich zu prüfen, ob die Datenverarbeitung zulässig ist.

In der Folge ist ein Verzeichnis der Verarbeitungstätigkeit zu erstellen. In diesem Verzeichnis wird in einer Übersicht die Art der Verarbeitung, die Kategorie der personenbezogenen Daten und die Grundlage der Verarbeitung sowie die Dauer der Archivierung und das Löschkonzept festgeschrieben. In einem Hotel fallen relativ viele Verarbeitungstätigkeiten an. Idealerweise ist dieses Verzeichnis nach Bereichen strukturiert.

Im nächsten Schritt ist zu prüfen, ob eine Datenschutzfolgeabschätzung erforderlich ist. Eine Datenschutzfolgeabschätzung ist erforderlich, wenn besondere Risiken für die Betroffenen bestehen. Wenn die Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen darstellt, ist eine Datenschutzfolgeabschätzung durchzuführen. Dies kann in einem Hotel z.B. eine Videoüberwachung einer Tiefgarage oder ein Schließsystem mit der Möglichkeit der Speicherung und Zuordnung der Schließvorgänge. Eine Datenschutzfolgeabschätzung verfolgt immer einem risikobasierten Ansatz.

Weitere Meldungen:  Varonis auf der it-sa: Die DSGVO war erst der Anfang

Sofern personenbezogene Daten durch einen externen Dienstleister bzw. externe Unternehmen erfasst, verarbeitet oder gespeichert werden, ist mit diesen externen Dienstleistern eine gesonderte Vereinbarung zu treffen. In dieser Auftragsdatenverarbeitungsvereinbarung ist der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorie der Personen, etc. zu regeln.

Jedes Unternehmen definiert geeignete technisch-organisatorische Maßnahmen (sog. TOMs), um die personenbezogenen Daten ordnungsgemäß zu schützen. Dies sind individuell sehr unterschiedliche Maßnahmen wie z.B. Zugriffsregelungen, Datensicherungen, Zutrittskontrollen zu Servern, Anforderungen an Serverräume, Regelungen über Fernzugriff, etc..

Bei der Unternehmensleitung und den Mitarbeitern ist das Thema Datenschutz zu sensibilisieren und regelmäßig zu schulen. Der Verantwortliche muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung verarbeiten dürfen (Artikel 29 DSGVO). Diese Verpflichtung sollte sinnvollerweise schriftlich erfolgen. Darüber hinaus sollte die Verpflichtung nachvollziehbar dokumentiert werden.

Mindestens jährlich muss die Verantwortliche Stelle überprüfen, ob die gesetzlichen Anforderungen an den Datenschutz eingehalten werden. Wir empfehlen dringend, dieses in einem Rechenschaftsbericht schriftlich zu dokumentieren. In diesem Rechenschaftsbericht ist auch Stellung zu beziehen, ob es zu Datenpannen oder dergleichen gekommen ist. Ferner ist die Umsetzung des Löschkonzeptes zu bewerten.

Verantwortlich für die Einhaltung des Datenschutzes im Hotel ist der Hotelier oder Geschäftsführer des Unternehmens. Unter bestimmten Voraussetzungen muss das Unternehmen einen Datenschutzbeauftragten (intern oder extern) benennen.

Datenschutzpannen und -verstöße bzw. “Verletzungen des Schutzes personenbezogener Daten” sind in vielen Fällen den Datenschutzbehörden FRISTGERECHT zu melden! Die Fristen, wie auch die Fristen für die Beantwortung von Auskunftsbegehren sind sehr kurz.

Weitere Meldungen:  Cloud Computing Report Podcast: RA Christian Solmecke im Interview

Die active Hotelmanagement GmbH unterstützt Hoteliers und Unternehmen dabei, die Vorgaben des Datenschutzes operativ im Unternehmen umzusetzen. Dabei werden, aufbauend auf einer Erhebung der IST-Situation, die erforderlichen Maßnahmen erarbeitet, vorgeschlagen und im Betrieb umgesetzt.
Bei Bedarf kann ein externer Datenschutzbeauftragter gestellt werden. Durch die active Hotelmanagement GmbH und deren Mitarbeiter erfolgt keine Rechtsberatung.

Eine übersichtliche Darstellung mit 7 Schritten zum operativen Datenschutz im Hotel kann gratis unter https://klicke-hier.net/149179/286219 angefordert werden.

Die active Hotelmanagement GmbH hat sich als Unternehmensberatung darauf spezialisiert, Hoteliers und Gastronomen bei der Positionierung und Vermarktung ihrer Leistungen sowie im Bereich Datenschutz zu unterstützen. Die active Hotelmanagement GmbH wurde 1996 von Susanne und Martin Holzapfel gegründet und verfügt über langjährige operative Erfahrung im Tourismus.

Kontakt
active Hotelmanagement GmbH
Martin Holzapfel
Steingasse 30
83483 Bischofswiesen
+49 8652 985506
info@active-hotelmanagement.com
https://www.active-hotelmanagement.com