Datenschutzgrundverordnung – Was ist zu tun?
Die EU-DSGVO – Was ist zu tun?
Mit 25. Mai 2018 trat die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Hotels müssen so wie alle anderen Unternehmer seither detailliert darlegen, welche personenbezogenen Daten von ihnen verarbeitet werden, wo diese liegen und wohin sie weitergegeben werden.
Zu mehr bürokratischem Aufwand dürfte die Neuregelung der Nachweis- und Rechenschaftspflichten führen. So muss dokumentiert werden, dass alle geeigneten Maßnahmen ergriffen wurden, um personenbezogene Daten rechtskonform zu bearbeiten. Der Betrieb muss also beweisen, dass er alles richtig gemacht hat.
Um die notwendigen Maßnahmen treffen zu können, ist die Erhebung über den Status Quo der derzeitigen Datenverarbeitungen erforderlich. Zu erheben ist im Wesentlichen, welche Daten verarbeitet, wie diese gesammelt und wie lange diese aufbewahrt oder eventuell auch noch ob diese weitergegeben werden.
Die wichtigsten Punkte betreffen folgende Bereiche:
- Mitarbeiter: Die Wahrung des Datenschutzes ist auf Anforderung der Datenschutzbehörde jederzeit nachzuweisen. Ein solcher Nachweis kann über zur Kenntnis gebrachte Regeln & Richtlinien für Mitarbeiter erbracht werden.
- Bewerbungsunterlagen: Grundsätzlich ist die Verarbeitung von personenbezogenen Daten während und im Zuge einer Stellenbesetzung vom Datenschutzrecht gedeckt und auch zulässig. Nach Besetzung der ausgeschriebenen Stelle erlischt allerdings der Verwendungszweck zur weiteren Verarbeitung der Bewerbungsunterlagen und sämtliche Bewerbungsunterlagen wären unverzüglich und unwiederbringlich zu vernichten.
- Umgang mit Gästedaten: In allen Hotels werden persönliche Daten verarbeitet und Gäste müssen sich grundsätzlich damit einverstanden erklären. Das bedeutet auch, dass ein Newsletter-Versand in der Regel nur mit ausdrücklicher Zustimmung des künftigen Empfängers möglich ist und gleichzeitig auch über den jederzeit möglichen Widerspruch aufgeklärt wurde.
- Videoüberwachung: Anlagen sind nur dann datenschutzrelevant, wenn Daten aufgezeichnet werden. Reine Live Bilder ohne Aufzeichnung sind (meist) nicht vom Datenschutzgesetz betroffen.
- Datenschutzerklärungen: Eine Datenschutzerklärung erfüllt einen Teil der Informationspflicht für Betroffene und wird immer dann benötigt, wenn ein Unternehmen über ein Onlinemedium in die „Öffentlichkeit“ tritt. Traditionell geschieht das bei Webseiten oder beim Versand von Newslettern. Die Datenschutzerklärung hat zu beschreiben, welche personenbezogenen Daten das Unternehmen bzw. die Webseite verarbeitet.
Die Prodinger Tourismusberatung hat gemeinsam mit Datenschutz-Spezialisten einen kurzen Leitfaden sowie eine Checkliste erarbeitet, mit Hilfe derer man im Selbsttest überprüfen kann, welche Bereiche im Hotelbetrieb überhaupt von Relevanz sind.
Es geht in einem ersten Schritt darum, alle Vorgänge zu dokumentieren, die personenbezogene Daten verarbeiten. Neben der verpflichtenden Erstellung eines Verfahrens- oder Verarbeitungsverzeichnisses (in welches neben den internen Verarbeitungen eben auch die Datenweitergaben einzutragen sind) empfehlen wir folgende Schritte:
- Überprüfung / Aktualisierung der Datenschutzerklärung
- Überprüfung / Aktualisierung der Zustimmungserklärung(en)
- Zustimmung zum Newsletter-Empfang
- Zustimmung zur Verwendung / Veröffentlichung der Fotos (Mitarbeiter)
- Zustimmung zur eventuell längeren Evidenz von Bewerbungen
- Interne Regeln & Richtlinien, um nachzuweisen, dass ich im Betrieb alles getan habe, um den Datenschutz einzuhalten
- Verpflichtung von Mitarbeitern zum Datenschutz
- Zugangsbeschränkungen
- Überprüfung der vorhandenen Daten und Datenverarbeiter
- Eventuelle Löschung nicht gebrauchter Daten (Zweckbindungs- und Sparsamkeitsgrundsatz)
- Eventuelle Auftragsverarbeiter-Vereinbarungen mit Dienstleistern (Lohnverrechnung, Cloud-Dienste, externer Newsletter-Versand,…)
Mit diesen Arbeiten hat man bereits erste, wichtige Schritte gesetzt, um der Datenschutzbehörde gegebenenfalls darlegen zu können, wie man sich um die Einhaltung der Richtlinien laut EU-DSGVO bemüht hat.
Für die Erstellung eines Verfahrensverzeichnisses (Darin sind alle „Verfahren“, in denen personenbezogene Daten verarbeitet werden, zu beschreiben) gibt es keine Formvorschriften. Dieses kann beispielsweise in Excel geführt werden und pro Zeile einen Prozess enthalten.
Eine Zustimmungserklärung hat jedenfalls freiwillig zu erfolgen und ist nur bei völliger Kenntnis der Sachlage beim Betroffenen rechtsgültig. Daher ist der Betroffene vor Einholung der Zustimmung in vollem Umfang von der Verarbeitung dieser zusätzlichen Daten zu informieren, sodass er in der Lage ist, diese Verarbeitung zu beurteilen und dabei eventuelle Risiken für sich selbst zu bewerten. Der volle Informationsumfang ist erfüllt, wenn die Zustimmungserklärung die auch im Verfahrensverzeichnis bzw. in einer Datenschutzerklärung geforderten Inhalte enthält.
Wir haben unter anderem eine Vorlage für eine datenschutzkonforme Zustimmungserklärung sowie eine Vorlage einer Vereinbarung zum Datenschutz für Mitarbeiter erstellt.
Gerne stehen wir für weitere Fragen rund um die EU-DSGVO zur Verfügung.
Die Infografik wurde erstellt von Sage.