Datenschutzgrundverordnung – was Hoteliers tun müssen
Im Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Hoteliers müssen künftig detailliert darlegen, welche Daten ihrer Gäste von ihnen verarbeitet werden, wo diese liegen und wohin sie weitergeben werden. Generell sollten sich Unternehmen gut auf den Einführungstermin der Datenschutzverordnung vorbereiten, denn bei Verstößen drohen Strafen von bis zu 20 Millionen Euro (!) oder vier Prozent des Umsatzes.
Die Datenschutz-Grundverordnung regelt insbesondere den Umgang mit personenbezogenen Daten. Es wird darin auch vorgegeben, unter welchen Voraussetzungen Hoteliers die Daten der Gäste speichern und für Marketingaktivitäten verarbeiten dürfen. Mit der Datenschutzgrundverordnung (DSGVO) sind Touristiker somit in der Pflicht, im Umgang mit Gästedaten peinlichst genau vorzugehen.
Die wichtigsten Punkte betreffen folgende Bereiche:
- Aktive Einwilligung der Gäste erforderlich
In den Hotels werden persönliche Daten verarbeitet und die Gäste müssen sich künftig damit einverstanden erklären. Bisher genügte es, dass der Gast der Nutzung nicht aktiv widersprach. Das beutet nun, dass ein Newsletter-Versand oder ein Gästemailing nur mit ausdrücklicher Zustimmung des Gastes möglich ist. Bei dem Versuch zu interpretieren, dass eine Interaktion oder ein bloßes Interesse des Betroffenen eine unmissverständliche und schlüssige Zustimmung lt. DSGVO impliziert, ist jedenfalls Vorsicht geboten. Nur weil ein Betroffener bereits einmal im einem Hotel genächtigt hat oder einmal Interesse zeigte, z.B. durch eine Anfrage, heißt das allerdings nicht zwingend, dass er auch Mails von diesem Hotel erhalten möchte.Die Regelungen für reine Informationsmails sind weniger restriktiv. Die Notwendigkeit einer Zustimmungserklärung durch den Betroffenen muss hier nicht zwingend erforderlich sein, da von einem berechtigten Interesse des Gastes ausgegangen werden kann. Allerdings ist zu beachten, wo ein Informations-Mail endet und ein Werbemail oder Werbenewsletter beginnt: Ein Mail, in dem das Hotel z.B. über neue Öffnungszeiten informiert, ist wohl zulässig. Andererseits ist ein Mail, in dem über ein neues Angebot „informiert“ wird, wohl als Werbung zu betrachten.Beim Thema Postsendungen kann ein berechtigtes Interesse des Verantwortlichen jedenfalls durchaus als zulässig betrachtet werden. Für Kunden, deren E-Mail Adresse im Zusammenhang mit einem Kauf erhoben wurde, gibt es eine Ausnahmeregelung. Hier müssen allerdings mehrere, genau definierte Voraussetzungen erfüllt sein. Der Kunde darf beispielsweise der Verwendung der eigenen personenbezogenen Daten nicht widersprochen haben. Ebenso muss der Datenverarbeitende sowohl bei der Adresserhebung als auch in jeder E-Mail darauf hinweisen, dass der Kunde jederzeit Widerspruch einlegen kann. Ein Gast, der einmal im Hotel genächtigt hat, ist demnach als Kunde zu sehen, der seine E-Mail Adresse im Zusammenhang mit einem Kauf preisgibt. Ein Newsletter-Versand an ehemalige und bestehende Gäste, sofern diese nicht den Empfang widersprochen haben, ist somit ohne Bedenken möglich! - Dokumentationspflicht
Zu mehr bürokratischem Aufwand für die Hoteliers dürfte die Neureglung der Nachweis- und Rechenschaftspflichten führen. So müssen Hoteliers dokumentieren, dass sie alle geeigneten Maßnahmen ergreifen, um personenbezogene Daten rechtskonform zu bearbeiten. Das Hotel muss also beweisen, dass es alles richtiggemacht hat. - Ausarbeitung eines Notfallplans was bei Datenmissbrauch zu tun ist; der Gesetzgeber hat hier eine Meldepflicht bei der Behörde binnen 72 Stunden festgelegt.
Die Prodinger Beratungsgruppe und die Atricon-Croup unterstützen Hotelbetriebe bei der Umsetzung der neuen Anforderungen. Ein Quick-Check für eine erste Evaluierung im Hotel und eine Zusammenfassung zur Datenschutz-Grundverordnung inklusive Auswirkungen wurden erstellt und stehen der Hotellerie zur Verfügung.
Rückfragen und Kontakt:
Thomas Reisenzahn, t.reisenzahn@prodinger.at
Marco Riederer, m.riederer@prodinger.at