x
Neues Datenschutzgesetz DSGVO

Neues Datenschutzrecht: Was wichtig ist

Datum: 21.06.2018Quelle: Gastroinfoportal | Foto: @ sdecoret – Fotolia.com | Ort: München

Ursprünglich zielte das neue Datenschutzrecht auf Großkonzerne wie Google, Facebook und Amazon ab, jetzt trifft es seit dem 25. Mai 2018 kleine und mittelständische Betriebe: das neue Datenschutzrecht der Europäischen Union, kurz DSGVO. Betroffen davon sind alle Unternehmen, die personenbezogene Daten wie Telefonnummer oder E-Mail-Adresse verarbeiten – sei es mit Computern oder Smartphones. Die neuen Regelungen können aber auch relevant sein, wenn sie händisch aufgezeichnet werden. Also sind auch Hoteliers und Gastronomen betroffen, die z.B. mit Reservierungsbüchern arbeiten. Wer sich mit dem Thema nicht auseinandersetzt, für den kann es teuer werden. Bei Verstößen drohen Geldbußen bis 20 Mio. € oder bis zu 4 % des erzielten Jahresumsatzes.
Wer Arbeitnehmer beschäftigt, muss zudem die neuen datenschutzrechtlichen Regelungen zum Arbeitnehmerdatenschutz beachten, die in der DSGVO und dem Bundesdatenschutzgesetzes geregelt sind.

 

Das müssen Hoteliers beachten

Folgende Grundsätze gelten für die Verarbeitung personenbezogener Daten:

  1. Rechtmäßigkeit und Transparenz: Die Daten müssen auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  2. Zweckbindung: Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
  3. Datenminimierung: Die Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
  4. Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  5. Speicherbegrenzung: Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden.
  6. Integrität und Vertraulichkeit: Die Daten müssen so verarbeitet werden, dass sie vor unbefugter Verarbeitung, vor Verlust oder Vernichtung geschützt sind.

Damit Hoteliers und Gastronomen personenbezogene Daten rechtmäßig verarbeiten, müssen bestimmte Bedingungen erfüllt sein. Dazu zählt, dass die betroffene Person ihre Einwilligung zu der Verarbeitung geben muss und diese auch jederzeit widerrufen kann. Im Fall einer Hotel- und Restaurantreservierung, die vom Gast gewünscht ist, ist keine Einwilligung nötig. Rechtmäßig bedeutet auch, dass das berechtigte Interesse des Unternehmers gewahrt werden muss, sofern die Interessen der betroffenen Person nicht überwiegen. Ein berechtigtes Interesse liegt z. B. vor, wenn es sich um dauerhafte Geschäftsbeziehungen zu Lieferanten handelt.
Eine weitere Bedingung ist, dass die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dazu zählt die Aufbewahrung von steuerlichen und geschäftsrelevanten Unterlagen gemäß Handelsgesetzbuch.

Wichtige Maßnahmen

  1. Regelmäßige Updates des Computersystems und des Anti-Virenprogramms sowie Back-ups durchführen.
  2. Aktenschränke, welche Dokumentenordner mit personenbezogenen Daten enthalten, stets verschlossen halten.
  3. Das Reservierungsbuch vor dem Zugriff von Unbefugten schützen.
  4. Wer Informationen über Allergien notiert, sollte vermeiden, die Namen der betroffenen Personen niederzuschreiben.
  5. Wer Kreditkartendaten telefonisch abfragt, sollte diese vernichten, sobald sie nicht mehr benötigt werden. Unbefugte sollten darauf keinen Zugriff haben.
  6. Sicherstellen, dass Mitarbeiter nur auf Dateien zugreifen können, die für die jeweils entsprechende Tätigkeit nötig sind.
  7. Mitarbeiter hinsichtlich der neuen Regelungen sensibilisieren und schulen.

Rechte und Pflichten

Hoteliers und Gastronomen besitzen eine Informationspflicht. Das bedeutet, sie müssen zum Zeitpunkt der Erhebung von personenbezogenen Daten der entsprechenden Person die Kontaktdaten des Verantwortlichen mitteilen und ihn über den Zweck und Umfang der Datenverarbeitung informieren. Auch ein Widerrufsrecht muss eingeräumt werden. Als Rechtsgrundlage sollte stets „Artikel 6 DSGVO“ genannt werden. Tragen Gäste ihre Daten z. B. in einem Reservierungsformular ein, bietet sich eine Bestätigung mit den aufgeführten Informationen an sowie ein Link zur DSGVO-konformen Datenschutzerklärung. 

Was passiert bei Kontrollen?

Im Falle einer Kontrolle sollte das betroffene Unternehmen in der

Lage sein, eine Mindestdokumentation über die Verarbeitungstätigkeiten von personenbezogenen Daten vorweisen zu können. Grundsätzlich ist jedes Unternehmen dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten (VVT) zu führen. In Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, muss kein VVT geführt werden, sofern die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Auch wenn für solche Unternehmen keine Pflicht zur Führung eines VVT besteht, ist es für diese Unternehmen nicht ratsam darauf zu verzichten. Denn im Falle einer Kontrolle muss das Unternehmen der Aufsichtsbehörde generell nachweisen können, dass die Vorgaben der DSGVO und des BDSG-neu eingehalten werden.

Wie sieht das Verzeichnis aus?

Folgende Angaben sollten im Verzeichnis aller Verarbeitungstätigkeiten (VVT) enthalten sein:

  1. Name und Kontaktdaten des Verantwortlichen sowie des Vertreters und evtl. des Datenschutzbeauftragten
  2. Zwecke der Verarbeitung personenbezogener Daten
  3. Beschreibung der Kategorien betroffener Personen und personenbezogener Daten (Beschäftigte, Kunden, Lieferanten…)
  4. Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden
  5. Übermittlungen von personenbezogenen Daten an ein Drittland
  6. Selbst festgelegte Fristen für das Löschen verschiedener Datenkategorien
  7. Beschreibung der technischen und organisatorischen Maßnahmen

Der Deutsche Hotel- und Gaststättenverband (DEHOGA Bundesverband) bietet unter www.dehoga-shop.de den Leitfaden „Das neue Datenschutzrecht – Was in der Gastronomie künftig beachtet werden muss“ inklusive Muster-VVT sowie Erläuterungen zur Verwendung des Verzeichnisses zum Download und als Printversion an (Download für DEHOGA-Mitglieder kostenlos). Bei Fragen zum Thema DSGVO können sich Verbandsmitglieder direkt an den DEHOGA Bundesverband wenden (info@dehoga.de). www.dehoga-bundesverband.de

Anja Schuchardt / Gastroinfoportal

Diese Artikel könnten Sie auch interessieren

DSGVO: Dehoga fordert Abmahnungen für Abmahner Der Dehoga Nordrhein-Westfalen fordert, dass Befugnisse für Abmahnungen genauer geprüft werden und die Bürokratie für kleine Betriebe verringt wird. ...
DSGVO-konformes Meldeschein-Muster Der Hotelverband entwickelte für seine Mitglieder ein Meldeschein-Muster zur DSGVO. Das Formular gibt es in deutscher sowie englischer Sprache und kan...
Artikel mit Bildern drucken Artikel ohne Bilder drucken

Newsletter

Immer die aktuellsten Informationen. Melden Sie sich hier für unseren Newsletter an.
Zum Datenschutz

Send this to friend