Datenschutz im Hotel
Wir unterstützen Hotels dabei DSGVO-Anforderungen einfach & sicher umzusetzen. Wir kümmern uns um Ihren Datenschutz während Sie sich um Ihre Gäste kümmern.
Datenschutz im Hotel - Gäste und Daten sicher im Griff
Ihr Hotel ist mehr als nur ein Zimmer mit einem Bett zum Übernachten – es ist ein Ort der Erholung und Entspannung, an dem Gäste einzigartige Erfahrungen und herausragenden Service erwarten. In einer zunehmend digitalen Welt, in der Reservierungen online getätigt und Informationen ausgetauscht werden, sind Datenschutz im Hotel und die Einhaltung der Datenschutzgrundverordnung (DSGVO) von höchster Bedeutung. Die Hotellerie steht vor einzigartigen Herausforderungen, da eine Fülle sensibler Gästedaten erfasst und verarbeitet wird.
Datenschutz im Hotel: Eine komplexe Herausforderung
Die Datenschutzgrundverordnung (DSGVO) legt klare Vorgaben fest, um die Sicherheit personenbezogener Daten zu gewährleisten.
Die Hotellerie ist stärker von den Anforderungen der DSGVO betroffen als viele andere Branchen, da sie eine umfangreiche Menge sensibler Kundendaten verarbeitet. Beim Check-In werden jede Menge personenbezogener Daten erhoben. Der Meldeschein beispielsweise enthält sensible Informationen, angefangen bei den Kontaktdaten Ihrer Gäste bis hin zur Nummer eines Passes oder Personalausweises.
Diese Daten sind für Cyberkriminelle äußerst interessant und können schwerwiegende Konsequenzen für die betroffenen Personen und Ihr Hotel haben, wenn sie nicht angemessen geschützt sind und gestohlen werden.
Auf der einen Seiten sind Sie verpflichtet verschiedene Daten loszuwerden (Stichwort Löschkonzept), auf der anderen Seite will natürlich will kein Hotel auf wertvolle Gästedaten und mitgeteilte Vorlieben verzichten, denn sie können vielfältig für weitere Marketingaktivitäten eingesetzt werden. Beispielsweise für Geburtstagsgrüße oder um den Service eines wiederkehrenden Gastes noch optimaler zu gestalten.
Was aber, wenn alle Daten in ein zentrales System überführt werden und gar nicht oder nur mit übermäßigem Aufwand einzeln gelöscht werden können? Bei vielen unserer Kunden aus der Hotellerie ist das ein großes Problem.
Unsere Datenschutzdienstleistungen für Hotels
Analyse von Prozessen mit personenbezogenen Daten
Beratung zu individuellen Datenschutzfragen
Erstellung der Datenschutzdokumentation (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzkonzept, Löschkonzept) uvm.
Beratung im Falle einer Datenpanne
Erstellung notwendiger Richtlinien (Umgang mit Betroffenenrechten, Datenpannen…)
Auskunftspflicht gegenüber Behörden und Betroffenen
Datenerhebung und Verarbeitung im Hotel – Was gilt es zu beachten?
Was sind personenbezogene Daten im Hotel?
Der Begriff "personenbezogene Daten" erstreckt sich von grundlegenden Angaben wie Namen und Adressen bis hin zu indirekten Informationen, einschließlich IP-Adressen der Gäste.
Als Hotelier ist es erlaubt, personenbezogene Daten im Rahmen der DSGVO zu verarbeiten, sofern dies zur Erfüllung des Beherbergungsvertrags erforderlich ist. Dieser Vertrag erlischt in der Regel nach der Abreise des Gastes oder bei Begleichung aller offenen Rechnungen. Meldeformulare, die personenbezogene Daten enthalten, müssen gemäß der DSGVO ein Jahr lang aufbewahrt und danach vernichtet oder gelöscht werden.
Was sind typische Prozesse mit personenbezogenen Daten im Hotel?
In einem Hotel gibt es verschiedene Prozesse, bei denen personenbezogene Daten verarbeitet werden. Zu den Hauptprozessen gehören:
-
Reservierung und Buchung
Dieser Prozess umfasst die Erfassung von Gästeinformationen wie Name, Kontaktdaten, Kreditkarteninformationen und besondere Anforderungen. Diese Daten werden verwendet, um Buchungen zu bestätigen und den Check-In-Prozess vorzubereiten.
-
Zimmerreinigung und -service
Hierbei werden Informationen über den Aufenthaltsstatus der Gäste erfasst, um sicherzustellen, dass Zimmer gereinigt und für neue Gäste vorbereitet werden. Diese Daten können auch dazu dienen, den Service für wiederkehrende Gäste zu personalisieren.
-
Sicherheitsüberwachung
Videoüberwachung und Zugangskontrollsysteme erfordern die Erfassung und Speicherung von Bildern und Daten, um die Sicherheit der Gäste und des Hotels zu gewährleisten.
-
Marketing und Gästebindung
Die Erstellung von Marketingkampagnen und die Verwaltung von Treueprogrammen erfordern die Verarbeitung von Kontaktdaten und Präferenzen der Gäste.
-
Datenschutz und Datensicherheit
Die Verarbeitung personenbezogener Daten zur Einhaltung der Datenschutzbestimmungen und -sicherheit ist ein kontinuierlicher Prozess, der sowohl die Dokumentation von Daten als auch Sicherheitsmaßnahmen umfasst.
-
Check-In und Check-Out:
Beim Check-In werden die Gästedaten erneut erfasst, darunter auch Ausweisinformationen wie Reisepassnummern. Beim Check-Out werden Rechnungen erstellt und die Gästedaten erneut verwendet.
-
Restaurant- und Bar-Service
Bei Bestellungen von Speisen und Getränken werden oft Tischnummern oder Namen erfasst. Dies ermöglicht die Verfolgung von Bestellungen und die Abrechnung.
-
Kundendienst und Beschwerdemanagement
Gästebeschwerden und Anfragen erfordern die Verarbeitung von Kontaktdaten und Beschreibung des Anliegens. Dies hilft dem Hotel, angemessen zu reagieren und Lösungen anzubieten.
-
Verwaltung und Buchführung
Die Buchhaltung und Verwaltung von Zahlungen erfordern die Verarbeitung von Kreditkartendaten und Rechnungsinformationen.
Diese und jede Menge weiterer Prozesse erfordern eine umfassende Datenschutzstrategie und die Einhaltung der DSGVO, um sicherzustellen, dass die personenbezogenen Daten der Gäste angemessen geschützt und rechtmäßig verarbeitet werden.
Und das ist noch längst nicht alles! Haben Sie Angestellte müssen Sie sich mit dem Thema Beschäftigtendatenschutz und den einzelnen Prozessen beschäftigen.
Dokumentationspflicht für personenbezogene Daten und Prozesse
Die Dokumentation personenbezogener Daten erfordert erheblichen bürokratischen Aufwand, um den Nachweis und die Rechenschaftspflicht gemäß der DSGVO zu erbringen. Als Hotelier sind Sie dazu verpflichtet, die Einhaltung der Datenschutzvorschriften sicherzustellen und zu dokumentieren, um im Falle von Prüfungen oder Datenschutzverletzungen nachweisen zu können, dass angemessene Maßnahmen ergriffen wurden. Hier sind die Schritte und Elemente, die ein Hotel beachten sollte, um seine DSGVO-Dokumentationspflichten zu erfüllen:
-
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Ein zentrales Dokument, in dem alle Datenverarbeitungsaktivitäten des Hotels erfasst werden. Dieses Verzeichnis sollte Angaben zu den Zwecken der Verarbeitung, den verarbeiteten Kategorien personenbezogener Daten, den betroffenen Personen, den Empfängern der Daten und den Löschfristen enthalten.
-
Einwilligungserklärungen
Wenn das Hotel personenbezogene Daten für bestimmte Zwecke verarbeitet, für die eine Einwilligung erforderlich ist, sollte es entsprechende Einwilligungserklärungen von den Gästen einholen und aufbewahren.
-
Datenschutz-Folgenabschätzung (DSFA)
Falls die Datenverarbeitung voraussichtlich ein hohes Datenschutzrisiko für die betroffenen Personen mit sich bringt, sollte das Hotel DSFAs durchführen, um diese Risiken zu bewerten und zu minimieren.
-
Meldepflicht bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, bei der personenbezogene Daten gefährdet sind, sollte das Hotel die zuständige Datenschutzbehörde und die betroffenen Personen benachrichtigen und den Vorfall dokumentieren.
-
Sicherheitsmaßnahmen
Das Hotel sollte technische und organisatorische Maßnahmen (TOM) ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten, und diese Maßnahmen dokumentieren.
-
Audit- und Überwachungsprotokolle
Das Hotel sollte Protokolle über Datenschutzprüfungen und Überwachungsaktivitäten führen, um die Einhaltung der DSGVO nachzuweisen.
-
Datenschutzerklärung
Das Hotel sollte eine Datenschutzerklärung bereitstellen, in der es seine Gäste über die Datenverarbeitungszwecke, die Rechtsgrundlage für die Verarbeitung, die Speicherdauer und ihre Datenschutzrechte informiert.
-
Risikobewertungen
Das Hotel sollte Risikobewertungen für seine Datenverarbeitungsaktivitäten durchführen, um potenzielle Datenschutzrisiken zu identifizieren und angemessene Schutzmaßnahmen zu ergreifen.
-
Datenschutzvereinbarungen mit Dritten
Wenn das Hotel Dienstleister oder Subunternehmer für die Datenverarbeitung einsetzt, sollte es Datenschutzvereinbarungen abschließen, um sicherzustellen, dass auch diese Dritten die Datenschutzvorschriften einhalten.
-
Datenschutzbeauftragter
Wenn das Hotel dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sollte es dies tun und dessen Kontaktdaten in der Datenschutzdokumentation führen.
-
Schulungen und Sensibilisierung
Die Mitarbeiter des Hotels sollten regelmäßig in Datenschutzfragen geschult werden, und diese Schulungen sollten dokumentiert werden.
-
Auftragsverarbeitungsverträge
Falls das Hotel personenbezogene Daten im Auftrag eines Dritten verarbeitet, sollte es Auftragsverarbeitungsverträge abschließen und dokumentieren.
Die genaue Umsetzung und Dokumentation kann je nach Größe des Hotels und Umfang der Datenverarbeitung variieren. Es ist ratsam, einen Datenschutzbeauftragten zu konsultieren und sich gegebenenfalls rechtlichen Rat einzuholen, um sicherzustellen, dass alle DSGVO-Dokumentationspflichten erfüllt werden.
Ein digitales Datenschutzmanagementsystem mittels einer Software (Bspw. www.dsm-online.eu) könnte ebenfalls hilfreich sein.
Welche Gästedaten dürfen verarbeitet und in der Kundendatenbank gespeichert werden?
Sie dürfen personenbezogenen Daten Ihrer Gäste verarbeiten, sofern das für die Durchführung des Beherbergungsvertrags im Rahmen der DSGVO notwendig ist.
Der Beherbergungsvertrag erlaubt die Speicherung und Verarbeitung personenbezogener Daten nur für die Dauer des Aufenthalts. Nach der Abreise erlischt allerdings der Beherbergungsvertrag. Die Speicherung können Sie in der Kundendatenbank in dem Fall mit dem Beherbergungsvertrag leider nicht mehr begründen.
Beim Check-In sind Hotels verpflichtet, bestimmte personenbezogene Daten nach dem Bundesmeldegesetz mithilfe eines Meldescheins zu erfassen, darunter:
- Ankunftsdatum
- Familiennamen
- Geburtsdatum
- Staatsangehörigkeit
- Anschrift
- Zahl der Mitreisenden und deren Staatsangehörigkeit
- Seriennummer des Passes, Personalausweises oder Passersatzpapiers bei ausländischen Personen
Diese Daten müssen für ein Jahr aufbewahrt und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist vernichtet werden. Die Erhebung zusätzlicher Daten, die über die gesetzlichen Anforderungen hinausgehen, ist nur mit ausdrücklicher und aktiver Einwilligung des Gastes möglich.
Denn Gästedaten sind wie bereits erwähnt, wertvoll und können für personalisiertes Marketing und verbesserten Service genutzt werden.
Die Einwilligungserklärung
Um personenbezogene Daten der Gäste in der eigenen Kundendatenbank zu speichern und für gezielte Marketingaktivitäten zu nutzen, ist also eine aktive Zustimmung erforderlich. Bevor Sie einen Newsletter und ähnliche Informationen an die Gäste senden, müssen ihre ausdrückliche Einwilligung in einem speziellen Einwilligungsformular abgegeben haben.
Die Einwilligungserklärung muss rechtlich korrekt und verständlich formuliert sein. Der Gast muss genau verstehen können, wie, in welchem Umfang und zu welchem Zweck seine personenbezogenen Daten gespeichert und genutzt werden.
Die Einwilligung muss aber jederzeit widerrufen werden können. Der Widerruf muss genauso einfach erfolgen können wie die Erteilung der Einwilligung.
Datenschutzsicherheit: die Pflicht zur sicheren Datenverarbeitung
Die DSGVO legt nicht nur fest, wie Daten verarbeitet werden sollen, sondern fordert auch Schutzmaßnahmen. Technisch-organisatorische Maßnahmen (TOM) sind notwendig, um personenbezogene Daten zu schützen. Es ist sozusagen das verwendete Konzept der technischen und organisatorischen Maßnahmen über alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
Externer Datenschutzbeauftragter für Hotels
Wenn regelmäßig 20 Mitarbeiter personenbezogene Daten verarbeiten benötigen Sie einen Datenschutzbeauftragten. Wenn nicht, muss sich trotzdem jemand um die Umsetzung der DSGVO kümmern. Wir machen das für Sie!
Schulung & Sensibilisierung der Mitarbeiter
Nur geschultes und sensibilisiertes Personal kann Datenschutzfallen umgehen und Datenschutzpannen im Umgang mit personenbezogenen Daten verhindern.
„Wenn Sie einen Datenschutz-Experten suchen, der sowohl Ihre Bedrüfnisse und Wünsche im berücksichtigt als auch kalkulierbar ist? Dann sind Sie bei uns richtig. Mit unserer Expertise im Datenschutz und in der Hotelbranche unterstützen wir Sie, sodass Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.“
—Mirko Tasch
Geschäftsführer
Ihr Ansprechpartner für Ihr Hotel
Mirko Tasch, zert. Datenschutzbeauftragter und zert. Datenschutzauditor
Als Experte für den Datenschutz betreue ich Unternehmen deutschlandweit bei allen datenschutzrechtlichen Anliegen. Unser Team unterstützt zahlreiche Hotels und andere Unternehmen aus der Touristikbranche dabei, die Herausforderungen der DSGVO sicher umzusetzen. Im Fokus stehen bei uns stets Lösungen, die zu Ihrem Unternehmen passen, verständlich und gut umsetzbar sind und sich vor allem auch an Ihren Prozessen orientieren.
Mein Tipp: Viele verschwenden unnötig Energie, indem sie ständig über dieses doch komplexe Gesetzthema stolpern. Es ist oft effizienter, sich einmalig gründlich damit auseinanderzusetzen und dann mit einem beruhigten Gewissen dem Tagesgeschäft zu widmen. Ich unterstütze Sie gerne dabei.
Kontaktieren Sie mich. Ich freue mich auf ein Gespräch oder E-Mail von Ihnen.
So erreichen Sie mich:
Mirko Tasch
Geschäftsführer ituso GmbH
Telefon: +49 8142 42050 20
E-Mail: mirko.tasch@ituso.de
Warum wir glauben, dass wir der richtige Partner für Sie sind
Unsere zertifizierten Datenschutzbeauftragten unterstützen bereits seit Jahren erfolgreich Kunden aus der Touristik-Branche.
Wir verstehen Ihre Herausforderungen und bieten maßgeschneiderte Lösungen für optimalen Datenschutz.