Datenschutz im Hotel

Wir unterstützen Hotels dabei DSGVO-Anforderungen einfach & sicher umzusetzen. Wir kümmern uns um Ihren Datenschutz während Sie sich um Ihre Gäste kümmern.

Datenschutz im Hotel - Gäste und Daten sicher im Griff

Ihr Hotel ist mehr als nur ein Zimmer mit einem Bett zum Übernachten – es ist ein Ort der Erholung und Entspannung, an dem Gäste einzigartige Erfahrungen und herausragenden Service erwarten. In einer zunehmend digitalen Welt, in der Reservierungen online getätigt und Informationen ausgetauscht werden, sind Datenschutz im Hotel und die Einhaltung der Datenschutzgrundverordnung (DSGVO) von höchster Bedeutung. Die Hotellerie steht vor einzigartigen Herausforderungen, da eine Fülle sensibler Gästedaten erfasst und verarbeitet wird.

Datenschutz im Hotel: Eine komplexe Herausforderung

Die Datenschutzgrundverordnung (DSGVO) legt klare Vorgaben fest, um die Sicherheit personenbezogener Daten zu gewährleisten.

Die Hotellerie ist stärker von den Anforderungen der DSGVO betroffen als viele andere Branchen, da sie eine umfangreiche Menge sensibler Kundendaten verarbeitet. Beim Check-In werden jede Menge personenbezogener Daten erhoben. Der Meldeschein beispielsweise enthält sensible Informationen, angefangen bei den Kontaktdaten Ihrer Gäste bis hin zur Nummer eines Passes oder Personalausweises.

Diese Daten sind für Cyberkriminelle äußerst interessant und können schwerwiegende Konsequenzen für die betroffenen Personen und Ihr Hotel haben, wenn sie nicht angemessen geschützt sind und gestohlen werden.

Auf der einen Seiten sind Sie verpflichtet verschiedene Daten loszuwerden (Stichwort Löschkonzept), auf der anderen Seite will natürlich will kein Hotel auf wertvolle Gästedaten und mitgeteilte Vorlieben verzichten, denn sie können vielfältig für weitere Marketingaktivitäten eingesetzt werden. Beispielsweise für Geburtstagsgrüße oder um den Service eines wiederkehrenden Gastes noch optimaler zu gestalten.

Was aber, wenn alle Daten in ein zentrales System überführt werden und gar nicht oder nur mit übermäßigem Aufwand einzeln gelöscht werden können? Bei vielen unserer Kunden aus der Hotellerie ist das ein großes Problem.

Unsere Datenschutzdienstleistungen für Hotels

Analyse von Prozessen mit personenbezogenen Daten

Beratung zu individuellen Datenschutzfragen

Erstellung der Datenschutzdokumentation (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzkonzept, Löschkonzept) uvm.

Beratung im Falle einer Datenpanne

Erstellung notwendiger Richtlinien (Umgang mit Betroffenenrechten, Datenpannen…)

Auskunftspflicht gegenüber Behörden und Betroffenen

Datenerhebung und Verarbeitung im Hotel – Was gilt es zu beachten?

Was sind personenbezogene Daten im Hotel?

Der Begriff "personenbezogene Daten" erstreckt sich von grundlegenden Angaben wie Namen und Adressen bis hin zu indirekten Informationen, einschließlich IP-Adressen der Gäste.

Als Hotelier ist es erlaubt, personenbezogene Daten im Rahmen der DSGVO zu verarbeiten, sofern dies zur Erfüllung des Beherbergungsvertrags erforderlich ist. Dieser Vertrag erlischt in der Regel nach der Abreise des Gastes oder bei Begleichung aller offenen Rechnungen. Meldeformulare, die personenbezogene Daten enthalten, müssen gemäß der DSGVO ein Jahr lang aufbewahrt und danach vernichtet oder gelöscht werden.

Was sind typische Prozesse mit personenbezogenen Daten im Hotel?

In einem Hotel gibt es verschiedene Prozesse, bei denen personenbezogene Daten verarbeitet werden. Zu den Hauptprozessen gehören:

  • Reservierung und Buchung

    Dieser Prozess umfasst die Erfassung von Gästeinformationen wie Name, Kontaktdaten, Kreditkarteninformationen und besondere Anforderungen. Diese Daten werden verwendet, um Buchungen zu bestätigen und den Check-In-Prozess vorzubereiten.

  • Zimmerreinigung und -service

    Hierbei werden Informationen über den Aufenthaltsstatus der Gäste erfasst, um sicherzustellen, dass Zimmer gereinigt und für neue Gäste vorbereitet werden. Diese Daten können auch dazu dienen, den Service für wiederkehrende Gäste zu personalisieren.

  • Sicherheitsüberwachung

    Videoüberwachung und Zugangskontrollsysteme erfordern die Erfassung und Speicherung von Bildern und Daten, um die Sicherheit der Gäste und des Hotels zu gewährleisten.

  • Marketing und Gästebindung

    Die Erstellung von Marketingkampagnen und die Verwaltung von Treueprogrammen erfordern die Verarbeitung von Kontaktdaten und Präferenzen der Gäste.

  • Datenschutz und Datensicherheit

    Die Verarbeitung personenbezogener Daten zur Einhaltung der Datenschutzbestimmungen und -sicherheit ist ein kontinuierlicher Prozess, der sowohl die Dokumentation von Daten als auch Sicherheitsmaßnahmen umfasst.

  • Check-In und Check-Out:

    Beim Check-In werden die Gästedaten erneut erfasst, darunter auch Ausweisinformationen wie Reisepassnummern. Beim Check-Out werden Rechnungen erstellt und die Gästedaten erneut verwendet.

  • Restaurant- und Bar-Service

    Bei Bestellungen von Speisen und Getränken werden oft Tischnummern oder Namen erfasst. Dies ermöglicht die Verfolgung von Bestellungen und die Abrechnung.

  • Kundendienst und Beschwerdemanagement

    Gästebeschwerden und Anfragen erfordern die Verarbeitung von Kontaktdaten und Beschreibung des Anliegens. Dies hilft dem Hotel, angemessen zu reagieren und Lösungen anzubieten.

  • Verwaltung und Buchführung

    Die Buchhaltung und Verwaltung von Zahlungen erfordern die Verarbeitung von Kreditkartendaten und Rechnungsinformationen.

Diese und jede Menge weiterer Prozesse erfordern eine umfassende Datenschutzstrategie und die Einhaltung der DSGVO, um sicherzustellen, dass die personenbezogenen Daten der Gäste angemessen geschützt und rechtmäßig verarbeitet werden.

Und das ist noch längst nicht alles! Haben Sie Angestellte müssen Sie sich mit dem Thema Beschäftigtendatenschutz und den einzelnen Prozessen beschäftigen.

Dokumentationspflicht für personenbezogene Daten und Prozesse

Die Dokumentation personenbezogener Daten erfordert erheblichen bürokratischen Aufwand, um den Nachweis und die Rechenschaftspflicht gemäß der DSGVO zu erbringen. Als Hotelier sind Sie dazu verpflichtet, die Einhaltung der Datenschutzvorschriften sicherzustellen und zu dokumentieren, um im Falle von Prüfungen oder Datenschutzverletzungen nachweisen zu können, dass angemessene Maßnahmen ergriffen wurden. Hier sind die Schritte und Elemente, die ein Hotel beachten sollte, um seine DSGVO-Dokumentationspflichten zu erfüllen:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)

    Ein zentrales Dokument, in dem alle Datenverarbeitungsaktivitäten des Hotels erfasst werden. Dieses Verzeichnis sollte Angaben zu den Zwecken der Verarbeitung, den verarbeiteten Kategorien personenbezogener Daten, den betroffenen Personen, den Empfängern der Daten und den Löschfristen enthalten.

  • Einwilligungserklärungen

    Wenn das Hotel personenbezogene Daten für bestimmte Zwecke verarbeitet, für die eine Einwilligung erforderlich ist, sollte es entsprechende Einwilligungserklärungen von den Gästen einholen und aufbewahren.

  • Datenschutz-Folgenabschätzung (DSFA)

    Falls die Datenverarbeitung voraussichtlich ein hohes Datenschutzrisiko für die betroffenen Personen mit sich bringt, sollte das Hotel DSFAs durchführen, um diese Risiken zu bewerten und zu minimieren.

  • Meldepflicht bei Datenschutzverletzungen

    Im Falle einer Datenschutzverletzung, bei der personenbezogene Daten gefährdet sind, sollte das Hotel die zuständige Datenschutzbehörde und die betroffenen Personen benachrichtigen und den Vorfall dokumentieren.

  • Sicherheitsmaßnahmen

    Das Hotel sollte technische und organisatorische Maßnahmen (TOM) ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten, und diese Maßnahmen dokumentieren.

  • Audit- und Überwachungsprotokolle

    Das Hotel sollte Protokolle über Datenschutzprüfungen und Überwachungsaktivitäten führen, um die Einhaltung der DSGVO nachzuweisen.

  • Datenschutzerklärung

    Das Hotel sollte eine Datenschutzerklärung bereitstellen, in der es seine Gäste über die Datenverarbeitungszwecke, die Rechtsgrundlage für die Verarbeitung, die Speicherdauer und ihre Datenschutzrechte informiert.

  • Risikobewertungen

    Das Hotel sollte Risikobewertungen für seine Datenverarbeitungsaktivitäten durchführen, um potenzielle Datenschutzrisiken zu identifizieren und angemessene Schutzmaßnahmen zu ergreifen.

  • Datenschutzvereinbarungen mit Dritten

    Wenn das Hotel Dienstleister oder Subunternehmer für die Datenverarbeitung einsetzt, sollte es Datenschutzvereinbarungen abschließen, um sicherzustellen, dass auch diese Dritten die Datenschutzvorschriften einhalten.

  • Datenschutzbeauftragter

    Wenn das Hotel dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sollte es dies tun und dessen Kontaktdaten in der Datenschutzdokumentation führen.

  • Schulungen und Sensibilisierung

    Die Mitarbeiter des Hotels sollten regelmäßig in Datenschutzfragen geschult werden, und diese Schulungen sollten dokumentiert werden.

  • Auftragsverarbeitungsverträge

    Falls das Hotel personenbezogene Daten im Auftrag eines Dritten verarbeitet, sollte es Auftragsverarbeitungsverträge abschließen und dokumentieren.

Die genaue Umsetzung und Dokumentation kann je nach Größe des Hotels und Umfang der Datenverarbeitung variieren. Es ist ratsam, einen Datenschutzbeauftragten zu konsultieren und sich gegebenenfalls rechtlichen Rat einzuholen, um sicherzustellen, dass alle DSGVO-Dokumentationspflichten erfüllt werden.

Ein digitales Datenschutzmanagementsystem mittels einer Software (Bspw. www.dsm-online.eu) könnte ebenfalls hilfreich sein.

Welche Gästedaten dürfen verarbeitet und in der Kundendatenbank gespeichert werden?

Sie dürfen personenbezogenen Daten Ihrer Gäste verarbeiten, sofern das für die Durchführung des Beherbergungsvertrags im Rahmen der DSGVO notwendig ist.

Der Beherbergungsvertrag erlaubt die Speicherung und Verarbeitung personenbezogener Daten nur für die Dauer des Aufenthalts.  Nach der Abreise erlischt allerdings der Beherbergungsvertrag. Die Speicherung können Sie in der Kundendatenbank in dem Fall mit dem Beherbergungsvertrag leider nicht mehr begründen.

Beim Check-In sind Hotels verpflichtet, bestimmte personenbezogene Daten nach dem Bundesmeldegesetz mithilfe eines Meldescheins zu erfassen, darunter:

  • Ankunftsdatum
  • Familiennamen
  • Geburtsdatum
  • Staatsangehörigkeit
  • Anschrift
  • Zahl der Mitreisenden und deren Staatsangehörigkeit
  • Seriennummer des Passes, Personalausweises oder Passersatzpapiers bei ausländischen Personen

Diese Daten müssen für ein Jahr aufbewahrt und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist vernichtet werden. Die Erhebung zusätzlicher Daten, die über die gesetzlichen Anforderungen hinausgehen, ist nur mit ausdrücklicher und aktiver Einwilligung des Gastes möglich.

Denn Gästedaten sind wie bereits erwähnt, wertvoll und können für personalisiertes Marketing und verbesserten Service genutzt werden.

Die Einwilligungserklärung

Um personenbezogene Daten der Gäste in der eigenen Kundendatenbank zu speichern und für gezielte Marketingaktivitäten zu nutzen, ist also eine aktive Zustimmung erforderlich. Bevor Sie einen Newsletter und ähnliche Informationen an die Gäste senden, müssen ihre ausdrückliche Einwilligung in einem speziellen Einwilligungsformular abgegeben haben.

Die Einwilligungserklärung muss rechtlich korrekt und verständlich formuliert sein. Der Gast muss genau verstehen können, wie, in welchem Umfang und zu welchem Zweck seine personenbezogenen Daten gespeichert und genutzt werden.

Die Einwilligung muss aber jederzeit widerrufen werden können. Der Widerruf muss genauso einfach erfolgen können wie die Erteilung der Einwilligung.

Datenschutzsicherheit: die Pflicht zur sicheren Datenverarbeitung

Die DSGVO legt nicht nur fest, wie Daten verarbeitet werden sollen, sondern fordert auch Schutzmaßnahmen. Technisch-organisatorische Maßnahmen (TOM) sind notwendig, um personenbezogene Daten zu schützen. Es ist sozusagen das verwendete Konzept der technischen und organisatorischen Maßnahmen über alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Datenschutzexperte ituso 400 x 500

Externer Datenschutzbeauftragter für Hotels

Wenn regelmäßig 20 Mitarbeiter personenbezogene Daten verarbeiten benötigen Sie einen Datenschutzbeauftragten. Wenn nicht, muss sich trotzdem jemand um die Umsetzung der DSGVO kümmern. Wir machen das für Sie!

  • externer Datenschutzbeauftragter als Profi, der sich um Ihren Datenschutz kümmert
  • Ansprechpartner zum Thema Datenschutz in ihrem Unternehmen für Mitarbeiter, Kunden, Dienstleiter & Behörden
  • Wir überwachen Ihren Datenschutz und sorgen dafür, dass Ihnen Ärger erspart bleibt

Schulung & Sensibilisierung der Mitarbeiter

Nur geschultes und sensibilisiertes Personal kann Datenschutzfallen umgehen und Datenschutzpannen im Umgang mit personenbezogenen Daten verhindern.

  • regelmäßige Schulung und Auffrischung des Datenschutzes bei Ihren Mitarbeitern
  • Fragen und individuelle Problemstellungen und Unsicherheiten können direkt in der Schulung erörtet werden
  • persönlich oder online möglich
teamerfolg
Mirko_Tasch_ (0966)_q_lr

„Wenn Sie einen Datenschutz-Experten suchen, der sowohl Ihre Bedrüfnisse und Wünsche im berücksichtigt als auch kalkulierbar ist? Dann sind Sie bei uns richtig. Mit unserer Expertise im Datenschutz und in der Hotelbranche unterstützen wir Sie, sodass Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.“

—Mirko Tasch
Geschäftsführer

Ihr Ansprechpartner für Ihr Hotel

Mirko Tasch, zert. Datenschutzbeauftragter und zert. Datenschutzauditor

Als Experte für den Datenschutz betreue ich Unternehmen deutschlandweit bei allen datenschutzrechtlichen Anliegen. Unser Team unterstützt zahlreiche Hotels und andere Unternehmen aus der Touristikbranche dabei, die Herausforderungen der DSGVO sicher umzusetzen. Im Fokus stehen bei uns stets Lösungen, die zu Ihrem Unternehmen passen, verständlich und gut umsetzbar sind und sich vor allem auch an Ihren Prozessen orientieren.

Mein Tipp: Viele verschwenden unnötig Energie, indem sie ständig über dieses doch komplexe Gesetzthema stolpern. Es ist oft effizienter, sich einmalig gründlich damit auseinanderzusetzen und dann mit einem beruhigten Gewissen dem Tagesgeschäft zu widmen. Ich unterstütze Sie gerne dabei.

Kontaktieren Sie mich. Ich freue mich auf ein Gespräch oder E-Mail von Ihnen.

Mirko_Tasch_420x324-300x233

So erreichen Sie mich:

Mirko Tasch
Geschäftsführer ituso GmbH

Telefon: +49 8142 42050 20
E-Mail: mirko.tasch@ituso.de

Warum wir glauben, dass wir der richtige Partner für Sie sind

Unsere zertifizierten Datenschutzbeauftragten unterstützen bereits seit Jahren erfolgreich Kunden aus der Touristik-Branche.

Wir verstehen Ihre Herausforderungen und bieten maßgeschneiderte Lösungen für optimalen Datenschutz.