Gästedaten sind sensibel. Du solltest sie nicht nur sorgsam schützen, Du musst es sogar. Andernfalls drohen saftige Bußgelder.
Knall auf Fall kann es passieren: Jemand von der Aufsichtsbehörde steht vor der Tür und will prüfen, wie genau Du es mit dem Datenschutz nimmst. Seit gut einem Jahr, genauer gesagt dem 25. Mai 2018, ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Seitdem musst Du noch sorgfältiger mit personenbezogenen Daten umgehen und sie nach gewissen Regeln schützen.
Hier einige wichtige Punkte um zu prüfen, ob in Deinem Haus alles datenschutzkonform abläuft:
Zustimmung einholen
Egal, ob Gäste, Mitarbeiter oder Lieferanten: In der Gastronomie und Hotellerie wimmelt es nur so von personenbezogenen Daten. Sie tauchen in Buchungssystemen, Zeiterfassungsmodulen, Lieferantendateien oder im E-Mail- beziehungsweise Social-Media-Marketing auf. Wenn Du solche personenbezogenen Daten nutzt, benötigst Du dafür eine Zustimmung des anderen.
Beispiele:
- Du versendest einen Newsletter Deines Hauses per E-Mail. Die E-Mail-Adresse darfst Du nutzen, wenn der Gast eindeutig zugestimmt hat. Du musst dem Gast verständlich und eindeutig mitteilen, welche Daten Du über ihn erhoben hast und für welche Zwecke Du sie verwendest. Ob die Einwilligung mündlich, schriftlich oder elektronisch erfolgt, ist egal.
- Du hast eine Facebook-Seite oder eine Homepage im Internet. Darauf zeigst Du Fotos Deiner Mitarbeiter. Dem muss jedoch jeder einzelne in Deinem Team zustimmen. Bei Beendigung des Arbeitsverhältnisses sind die gesetzlichen Aufbewahrungs- und Löschfristen zu beachten.
Auf Widerruf hinweisen
Ein Widerruf ist jederzeit möglich – auf diese Option musst Du Deine Gäste generell hinweisen, wenn sie eingewilligt haben, dass Du ihre personenbezogenen Daten nutzen darfst. Der Widerruf muss ebenso einfach möglich sein wie die Einwilligung.
Dokumentationspflicht beachten
Jeden Vorgang, bei dem Du personenbezogene Daten aufnimmst, speicherst und verwendest, musst Du in einem sogenannten Verarbeitungsverzeichnis auflisten. Jede Datenverarbeitung muss rechtlich begründet sein. Es dürfen nur solche Daten erhoben werden, die für den Zweck der Verarbeitung wirklich notwendig sind. Gibt beispielsweise der Gast sein Okay dafür, dass Du ihn über „günstige Wochenend-Specials“ per Mail informierst, dann darf die E-Mail-Adresse des Gastes nur für diesen Zweck genutzt werden.
Nachweispflicht im Auge haben
Kommt es tatsächlich zu einem Kontrollbesuch durch die Aufsichtsbehörde, musst Du nachweisen können, dass zum Beispiel Gäste, Lieferanten oder Mitarbeiter der Verarbeitung ihrer Daten zugestimmt haben. Fragt ein Gast, welche Daten über ihn verarbeitet wurden, musst Du ihm Auskunft geben.
Keine Chance für Unbefugte
Du bist verpflichtet dafür zu sorgen, dass Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen haben. Dabei helfen etwa Sicherheitsschlösser und Schlüsselsysteme. Achte in IT-Systemen auf Sicherheitssoftware und sichere Passwörter.
Homepage anpassen
Alles datenschutzkonform auf Deiner Webseite? Du weißt ja: Die Allgemeinen Geschäftsbedingungen (AGB) sowie die Datenschutzerklärung müssen von jeder Seite aus zugänglich sein. Wenn Du mehrere Web-Adressen hast, müssen auf jeder Seite die AGB und die Datenschutzerklärung zu finden sein. Es reicht nicht aus, auf eine andere Seite zu verlinken.
Mitarbeiter schulen
Wichtig ist auch, dass neben Dir auch Deine Mitarbeiter darin geschult sind, wie mit den Daten von Gästen, aber etwa auch Lieferanten und Kollegen, datenschutzkonform umzugehen ist. Übrigens: Ab zehn Mitarbeitern, die permanent automatisierte Daten verarbeiten, musst Du einen hausinternen Datenschutzbeauftragten haben. Er prüft zum Beispiel neue Software und kümmert sich um die IT-Sicherheit.
Du willst Dich noch einmal vertieft mit dem Thema Datenschutz befassen? Broschüren mit Praxistipps sind beim Hotelverband Deutschland (IHA) und im Dehoga-Shop erhältlich.
