Foto: Dehoga
Der Deutsche Hotel- und Gaststätten-verband
bietet den Leitfaden „Das neue
➘
Datenschutzrecht – Was in der Gastronomie
künftig beachtet werden muss“ inklusive Mus-ter-
VVT sowie Erläuterungen zum Download
(für Mitglieder kostenlos) und als Printversion
an. Bei Fragen zur DSGVO hilft der Verband
Mitgliedern ebenfalls weiter (info@dehoga.de).
www.dehoga-shop.de
1. Rechtmäßigkeit und Transpa-renz:
Die Daten müssen auf
rechtmäßige Weise und in einer
für die betroffene Person nach-vollziehbaren
Weise verarbeitet
werden.
2. Zweckbindung: Die Daten
dürfen nur für festgelegte, ein-deutige
und legitime Zwecke
erhoben werden. Nicht erlaubt
ist es, sie in einer mit diesen
Zwecken nicht zu vereinbaren-den
Weise weiterzuverarbeiten.
3. Datenminimierung: Die Da-ten
müssen auf das Maß be-schränkt
sein, das für die Zwe-cke
der Verarbeitung notwen-dig
ist.
4. Richtigkeit: Die Daten müssen
sachlich richtig und auf dem
neuesten Stand sein.
5. Speicherbegrenzung: Die Da-ten
müssen derart gespeichert
werden, dass die Identifizie-rung
der betroffenen Person
nur so lange möglich ist, wie es
für die Zwecke erforderlich ist,
für die sie verarbeitet werden.
Die Speicherfristen haben die
Betriebsverantwortlichen
selbst
festzulegen.
6. Integrität und Vertraulichkeit:
Die Daten müssen so verar-beitet
werden, dass sie vor unbefugter
Verarbeitung, Verlust
oder Vernichtung geschützt
sind.
Was bedeutet rechtmäßig?
Damit GV-Verantwortliche perso-nenbezogene
Daten rechtmäßig
verarbeiten, müssen bestimmte
Bedingungen erfüllt sein. Dazu
zählt, dass die betroffene Person
in die Verarbeitung dieser einwil-ligen
muss und die Einwilligung
auch jederzeit widerrufen kann.
Im Fall von z. B. einer Tischre-servierung
im Gästebereich der
Betriebsgastronomie, für deren
Verarbeitung der Name erforder-lich
ist, ist keine Einwilligung nö-tig.
Rechtmäßig bedeutet auch,
dass das berechtigte Interesse des
Unternehmers gewahrt werden
muss, sofern die Interessen der
betroffenen Person nicht über-wiegen.
Ein berechtigtes Interesse
liegt z. B. vor, wenn es sich um
dauerhafte Geschäftsbeziehungen
zu Lieferanten
handelt. Eine wei-tere
Bedingung ist, dass die Ver-arbeitung
erforderlich ist, um
eine rechtliche Verpflichtung zu
erfüllem. Dazu zählt die Aufbe-wahrung
von steuerlichen und
geschäftsrelevanten Unterlagen
gemäß Handelsgesetzbuch.
Welche Maßnahmen sind
wichtig?
Ob gastronomische Betriebe z. B.
neue Computersysteme brau-chen,
hängt vom Umfang und
dem Zweck der Verarbeitung
personenbezogener Daten ab. Im
Vergleich zu Unternehmen wie
Onlinehändlern oder Kranken-häusern
ist das Risiko, den Schutz
beim Umgang mit personenbe-zogenen
Daten zu verletzen zwar
geringer, weil gastronomische
Betriebe in der Regel mit weniger
sensiblen Daten agieren. Doch
folgende Standardmaßnahmen
sind mindestens
einzuhalten:
1. Regelmäßige Updates des ver-wendeten
Computersystems
und des Anti-Virenprogramms
durchführen sowie Back-Ups.
2. Aktenschränke, welche Doku-mentenordner
mit personen-bezogenen
Daten enthalten,
sollten stets verschlossen ge-halten
werden.
3. Das Reservierungsbuch ist vor
dem Zugriff von Unbefugten
zu schützen.
4. Wer Informationen über Aller-
gien notiert, sollte vermeiden,
die Namen der betroffenen
Personen niederzuschreiben.
5. Wer Kreditkartendaten telefo-nisch
abfragt, sollte sie vernich-ten,
sobald diese nicht mehr
benötigt werden. Unbefugte
sollten darauf keinen Zugriff
haben.
6. Es ist sicherzustellen, dass Mit-arbeiter
nur auf Dateien zugrei-fen
können, die für die jeweils
entsprechende Tätigkeit nötig
sind.
7. Mitarbeiter sollen hinsichtlich
der neuen Regelungen sensibi-lisiert
und geschult werden.
Rechte und Pflichten
Der Unternehmer hat eine Infor-mationspflicht.
Das bedeutet, er
muss zum Zeitpunkt der Erhe-bung
von personenbezogenen
Daten der entsprechenden Per-son
die Kontaktdaten des Verant-wortlichen
mitteilen und diese
über den Zweck und Umfang der
Datenverarbeitung informieren.
Auch ein Widerrufsrecht muss
eingeräumt werden. Als Rechts-grundlage
sollte stets Artikel 6
DSGVO genannt werden. Tragen
Gäste ihre Daten z. B. in ein Reser-vierungsformular
ein, bietet sich
eine Bestätigung mit den aufge-führten
Informationen an sowie
ein Link zur DSGVO-konformen
Datenschutzerklärung.
Was passiert bei Kontrollen?
Im Falle einer Kontrolle sollte das
betroffene Unternehmen eine
Mindestdokumentation über die
Verarbeitungstätigkeiten der per-
sonenbezogenen
Daten vorwei-sen
können. Grundsätzlich ist
jedes
Unternehmen dazu ver-pflichtet,
ein Verzeichnis aller
Verarbeitungstätigkeiten (VVT) zu
führen. In Betrieben, die weniger
als 250 Mitarbeiter beschäftigen,
muss kein VVT geführt werden,
sofern die Verarbeitung perso-nenbezogener
Daten nur gele-gentlich
erfolgt. Auch wenn für
solche Unternehmen keine Pflicht
zur Führung eines VVT besteht, ist
es für diese Unternehmen nicht
ratsam, darauf zu verzichten.
Denn im Falle einer Kontrolle
muss das Unternehmen der Auf-sichtsbehörde
generell nachwei-sen
können, dass die Vorgaben
Datenschutz
der DSGVO und des BDSG-neu
eingehalten werden.
Wie sieht das Verzeichnis
aus?
Folgende Angaben sollten im Ver-zeichnis
aller Verarbeitungstätig-keiten
(VVT) enthalten sein:
1. Name und Kontaktdaten des
Verantwortlichen sowie des
Vertreters und evtl. des Daten-schutzbeauftragten
2. Zwecke der Verarbeitung perso-nenbezogener
Daten
3. Beschreibung der Kategorien be-
troffener Personen und perso-nenbezogener
Daten (z. B. Be-schäftigte,
Kunden, Lieferanten)
4. Kategorien von Empfängern,
gegenüber denen personenbe-zogene
Daten offengelegt wor-den
sind oder noch offengelegt
werden
5. Übermittlungen von personen-bezogenen
Daten an ein Dritt-land
6. Selbst festgelegte Fristen für das
Löschen verschiedener Daten-kategorien
7. Beschreibung der technischen
und organisatorischen Maßnah-men
ash
GASTROIINFO PORTAL GP NEU
Informieren Sie sich
in einer der größten
Datenbanken des
Außer-Haus-Marktes
gastroinfoportal.rein!
de
mal selbst Sie Schauen www.