Ob beim Check-In, der Wellnessmassage oder am Frühstücksbuffet – während eines Hotelaufenthalts geben Gäste bewusst oder unbewusst eine Vielzahl von Informationen über sich preis – neben den standardmäßig abgefragten Angaben zur Person, ließe sich anhand der Ess- und Schlafgewohnheiten, der Freizeitaktivitäten, der Begleitpersonen und der zusätzlich in Anspruch genommenen Hotelleistungen oftmals ein detailliertes Persönlichkeitsprofil über den Gast erstellen. Daher lohnt es sich der Frage nachzugehen, wie der Umgang mit Gästedaten im Hotel in der Datenschutz-Grundverordnung (DSGVO) geregelt ist.
Datenverarbeitung im Hotel – die Faustregel
Grundsätzlich dürfen Hotels personenbezogene Daten ihrer Gäste verarbeiten, sofern dies für die Durchführung des Beherbergungsvertrags gemäß Art. 6 Abs. 1 lit. b erforderlich ist. Für darüberhinausgehende Datenverarbeitungen müssen anderweitige Rechtsgrundlagen gefunden werden.
Anreicherung von Gästeprofilen
Manche Hotels möchten ihren Gast bereits vor Anreise näher kennenlernen und durchsuchen das Internet nach frei verfügbaren Informationen zu seiner Person. Hierfür werden spezielle Tools eingesetzt, die etwa Profile von Gästen in sozialen Medien finden können. Diese Art der Anreicherung von Kundenprofilen ist datenschutzrechtlich nicht unbedenklich, kann nach Art 6 Abs. 1 lit. f DSGVO jedoch unter Umständen als berechtigtes Interesse der verantwortlichen Stelle zulässig sein, wenn die Informationen für jedermann auffindbar waren und der Gast vernünftigerweise damit rechnen konnte, dass die öffentlich auffindbaren Informationen vom Hotel für diesen Zweck verarbeitet werden (z.B. bei Personen des öffentlichen Lebens). Bei dieser vorzunehmenden Interessenabwägung wird auch die Art der hinzugespeicherten Daten eine Rolle spielen. Ihr erster Ansprechpartner sollte in jedem Fall der betriebliche Datenschutzbeauftragte sein, der die erforderliche Prüfung vornehmen und Sie zu allen weiteren datenschutzrechtlichen Belangen kompetent beraten kann.
Datenerhebung beim Check-In
Hotels sind gesetzlich dazu verpflichtet, bestimmte personenbezogene Daten über den Gast im Rahmen des Meldescheins zu erfassen. § 30 Abs. 2 Bundesmeldegesetz gibt abschließend vor, welche Daten im Meldeschein erfasst werden müssen. Andererseits werden in Meldescheinen oft auch schriftliche Einwilligungen für Newsletter eingeholt, da sich nach dem Check-in-Prozess meistens keine Gelegenheit mehr bietet, schriftliche Erklärungen des Gastes einzuholen. Hier besteht jedoch die Herausforderung für Hotels, penibel auf die Trennung von melderechtlichen und darüberhinausgehenden Angaben (z.B. E-Mail-Adresse, Zimmernummer, Einwilligung zum Gästenewsletter) zu achten, da diese Daten zu unterschiedlichen Zwecken erhoben wurden und auch unterschiedlichen Aufbewahrungsfristen unterliegen. Während Meldescheine innerhalb eines Jahres nach Abreise des Gastes vernichtet werden müssen, sind Newslettereinwilligungen in der Regel auch darüber hinaus aufzubewahren.
Newsletter-Marketing
Erfolgt eine Datenverarbeitung auf der Grundlage einer Einwilligung (z.B. Versand von Newslettern), so hat die verantwortliche Stelle entsprechend der in der DSGVO statuierten „Rechenschaftspflicht“ den Nachweis zu erbringen, dass dafür eine wirksame Einwilligung des Betroffenen eingeholt wurde. Die DSGVO setzt zudem hohe Anforderungen an die Zulässigkeit einer Einwilligung des Betroffenen. Diese muss freiwillig, informiert und ausdrücklich erfolgen. Der Betroffene hat zudem das Recht, seine Einwilligung jederzeit zu widerrufen. Über dieses Recht muss er informiert werden. Soweit die Einwilligung elektronisch erteilt wird, ist auf eine entsprechende Protokollierung zu Nachweiszwecken zu achten. Zusätzliche Informationspflichten können sich bei Datenübermittlungen an Dritte ergeben (z.B. wenn der Newsletter von einem anderen Unternehmen versendet wird oder Newsletter-Tools von Anbietern mit Sitz außerhalb der EU genutzt werden). Erfüllen die bisher erteilten Einwilligungen von Gästen nicht die Anforderungen nach Art. 7 DSGVO, so sind sie unwirksam und müssen ggf. neu eingeholt werden. Hotels ist daher anzuraten, ihre bisher erteilten Einwilligungen zu überprüfen und bei Einholung neuer Einwilligungen im besonderen Maße auf Klarheit, Verständlichkeit und Transparenz des Einwilligungstextes zu achten.
Einsatz von Kameras im Hotel
Beim Einsatz Videoüberwachungstechniken sollte stets eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO durchgeführt und dokumentiert werden. Im Rahmen dieser Prüfung werden die Interessen des Hotels an dem Einsatz von Videoüberwachung (z.B. zur Aufklärung einer Straftat oder Verhinderung von weiteren Diebstählen) mit den Rechten und Grundfreiheiten der Gäste und Beschäftigten abgewogen. In besonders sensiblen Bereichen oder Rückzugsorten von Gästen und Beschäftigten sollte Videoüberwachung grundsätzlich nicht zum Einsatz kommen (z.B. Toiletten, Wellnessanlagen, Restaurant). Bei der Überwachung von Außenbereichen (z.B. Parkplätzen) ist darauf zu achten, dass die Kamera keine Passanten (z.B. vom angrenzenden Bürgersteig) erfasst. Bei der Videoüberwachung am Empfang sind die schutzwürdigen Belange der Beschäftigten im besonderen Maße zu berücksichtigen, da die Kamera hier zu einem hohen Überwachungsdruck führen könnte. Die Durchführung der Datenschutzfolgeabschätzung und die entsprechende Dokumentation obliegt in der Regel dem betrieblichen Datenschutzbeauftragten.
Speicherung von Gästedaten nach Abreise
Nach Abreise des Gastes und Begleichung aller im Zusammenhang mit dem Aufenthalt stehenden Rechnungen, gilt der Beherbergungsvertrag als erfüllt. Eine darüber hinausgehende Speicherung von Gästedaten (z.B. in Kundendatenbanken) kann nun nicht mehr auf Grundlage der Vertragsdurchführung gemäß Art. 6 Abs. 1 lit. b DSGVO erfolgen. Viele Hotels möchten ihre Gästedaten aber auch langfristig in Kundendatenbanken speichern, um den Aufenthalt von wiederkehrenden Gästen unter Serviceaspekten zu optimieren. Dieses Interesse des Hotels kann zwar grundsätzlich die Haltung einer Kundendatenbank über den Aufenthalt des Gastes hinaus rechtfertigen, darf aber nicht als Freibrief für jegliche Formen der Datenverarbeitung verstanden werden. Neben der Durchführung einer Interessenabwägung sind vor Einführung einer Kundendatenbank auch die jeweils zulässigen Datenkategorien, der Kreis der zugriffsberechtigten Personen sowie gewisse Löschfristen festzulegen und zu dokumentieren.
Zudem erfreuen sich auch in der Hotellerie Treueprogramme großer Beliebtheit. Hier hat das Hotel die Möglichkeit im Rahmen des Registrierungsprozesses vom Gast eine Einwilligung (Art. 6 Abs. 1 lit. a, 7 DSGVO) in die Speicherung seiner personenbezogenen Daten in eine Kundendatenbank oder in den Empfang von Newslettern und Sonderangeboten einzuholen. Die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist jedoch nur dann rechtssicher, wenn sie verständlich und in einfacher Sprache formuliert ist und klar über Art, Umfang und Zweck der Datenverarbeitung sowie etwaige Empfänger der Daten informiert. Zudem birgt die Einwilligung das Risiko, dass sie vom Gast jederzeit widerrufen werden kann. Aus diesem Grund sollten Hotels die Rechtsgrundlage für den Aufbau einer Kundendatenbank sorgfältig prüfen und vorab festlegen. Auch diese Prüfung sollte durch den betrieblichen Datenschutzbeauftragten dokumentiert werden.
Sicherheit der Verarbeitung
Durch die zunehmende Digitalisierung werden auch Hotels immer abhängiger von funktionierenden informationstechnischen Systemen. Wird die elektronischen Schließanlage im Hotel durch Hackerangriffe zur Hochsaison lahmgelegt, ist der Hotelier den erpresserischen Forderungen der Hacker meistens schutzlos ausgeliefert. Art. 32 DSGVO verpflichtet jede Stelle, die personenbezogene Daten verarbeitet, dazu, Maßnahmen zur Sicherheit der Datenverarbeitung zu treffen.
Um daher Umsatzeinbußen, empfindliche Ordnungsgelder und Schadensersatzansprüche zu verhindern, lohnt es sich, in Maßnahmen zum Schutz der eingesetzten EDV-Systeme (Keycards, Zahlungsterminals, cloudbasierte Anwendungen) zu investieren. Schulungen von Mitarbeitern, die sorgfältige Auswahl von Auftragsverarbeitern und ggf. auch eine Cybersecurity-Versicherungen sichern Hotels zusätzlich für den Ernstfall ab.
Fazit
Hoteliers stehen vor keiner leichten Aufgabe: Zum einen möchte man die individuellen Erwartungen eines jeden Gastes erfüllen, zum anderen ist man an strenge und ab Mai 2018 zum Teil auch neue datenschutzrechtliche Vorgaben gebunden. Für die Hotellerie ist es aufgrund des täglichen Kontakts mit personenbezogenen Daten umso wichtiger, die neuen Regelungen der Datenschutz-Grundverordnung zu kennen und umzusetzen. Auch wenn nicht für alle Betriebe eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, empfiehlt es sich grundsätzlich einen Datenschutzbeauftragten zu bestellen, der das Hotel bei Umsetzung der vielfältigen neuen Regelungen auf diesem Gebiet unterstützen und bei datenschutzrechtlichen Fragestellungen schnell Klarheit schaffen kann.
Weitere Fachbeiträge rund um Datenshcutz, IS-Sicherheit und Datenschutz-Compliance finden Sie auf unserem Blog unter: https://www.isico-datenschutz.de/blog/category/themen-trends/
