Datenschutz im Hotel
Ob beim Check-in im Hotel, einer Wellnessbehandlung oder am Buffet – während eines Hotelaufenthalts geben die Gäste unbewusst oder bewusst eine Vielzahl von Informationen über die eigene Person preis – außer den standardmäßig erfragten Angaben zur Person, lässt sich anhand der Schlaf- und Essgewohnheiten, der Begleitpersonen, der Freizeitaktivitäten sowie der zusätzlich in Anspruch genommenen Leistungen des Hotels oftmals ein genaues Persönlichkeitsprofil über die Gäste erstellen. Deshalb lohnt es sich jener Frage nachzugehen, wie der Umgang mit den Daten der Gäste im Hotel in der Datenschutz-Grundverordnung geregelt ist.
Der Datenschutz in den Hotels ist nach wie vor ein brennendes Thema. Abgesehen von den normalen Standardangaben wie Name und Adresse, welche jeder Gast in dem Hotel hinterlässt, hat der Hotelier aufgrund verschiedener Gästevorlieben die Möglichkeit ein umfangreiches Profil von den Gästen zu erstellen.
Die Erhebung der Daten im Hotel beim Check-in
Hotels sind generell per Gesetz dazu verpflichtet, verschiedene personenbezogene Daten über den Gast in Form eines speziellen Meldescheins zu erfassen und bereitzustellen. § 30 Abs. 2 des Bundesmeldegesetzes gibt dazu vor, welche Daten in diesem Meldeschein erfasst werden dürfen und müssen. Zugleich werden in den Meldescheinen oftmals eine schriftliche Einwilligung für die Newsletter des Hotels eingeholt, weil sich nach dem Check-in meist keine Gelegenheit mehr dazu bietet, die schriftlichen Erklärungen des Gastes zu holen. Hier besteht allerdings die Herausforderung für Hotels, genau auf die Trennung von melderechtlichen und den zusätzlichen Angaben (zum Beispiel Zimmernummer, E-Mail-Adresse, Einwilligung in die Zusendung des Newsletters) zu achten, weil solche Daten zu verschiedenen Zwecken erhoben werden und auch verschiedenen Aufbewahrungsfristen unterliegen. Während die Scheine zur Meldung innerhalb eines Jahres nach der Abreise der Gäste vernichtet werden müssen, sind Einwilligungen für den Newsletter – je nach Ausgestaltung – zudem aufzubewahren.
Das Melderecht gestattet, dass der Hotelbetreiber die Meldedaten der Gäste bei deren Ankunft abfragt. Hierbei sollen mithilfe des Meldescheins Informationen über den Anreisetag sowie der Abreisetag, Vor- und Nachname, Anschrift, Staatsangehörigkeit und das Geburtsdatum erhoben werden. Mitreisende Partner müssen keinen separaten Meldeschein ausfüllen, sondern können in dem Dokument außerdem vermerkt werden. Bei mitreisenden Kindern ist nur die Anzahl zu notieren und ausländische Gäste müssen sich mit einem speziellen Dokument zur Identität ausweisen.
Die Meldescheine sind gesichert aufzubewahren und sie müssen in der Zeit vor einer Einsicht durch Widerrechtliche geschützt und nach Ablauf eines Jahres innerhalb von drei Monaten vernichtet werden. Der Betreiber des Hotels ist verpflichtet, die Informationen zu erheben – das geltende Meldegesetz rechtfertigt jedoch nicht, dass mehr als die notwendigen Daten erfragt werden. Ein Hotelier muss daher die Datenschutzrechte der Gäste beachten. Dies bedeutet, dass das Grundprinzip der Datensparsamkeit zu befolgen ist.
Der Betreiber des Hotels muss den Gast auf die Absichten sowie die Rechtsgrundlage der Erhebung der Daten hinweisen. Eine Pflicht zur Prüfung besteht nur für die Daten lediglich von ausländischen Gästen. Wenn die Gäste angeben, deutsche Staatsbürger zu sein, kann die Vorlage des Ausweisdokumentes nicht verlangt werden. Das Kopieren von Personalausweisen deutscher Gäste ist nur in bestimmten Ausnahmen nach § 20 PAuswG zulässig und kann eine Ordnungswidrigkeit sein.
Allgemeine Datenschutzpflichten der Hotels
Für die Verarbeitung der personenbezogenen Daten gilt das generelle Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass Informationen, die den Personen zuordenbar sind, generell nicht erhoben, gespeichert oder verarbeitet werden dürfen, wenn nicht eine der im Gesetzestext vorgesehenen Berücksichtigten vorliegt, welche das erlaubt. Die Ausnahmen sind teils im Gesetz enthalten oder verharren, wenn die jeweiligen Personen die Einwilligung dazu erteilt. Hierbei ist zu beachten, dass die gespeicherten Daten für keinen weiteren Zweck benutzt werden dürfen, als jenen, der die Erhebung anfänglich rechtfertigte.
Die Einwilligung in eine Nutzung der personenbezogenen Daten ist nur dann anerkannt, wenn die jeweilige Person vollständig hierüber aufgeklärt wurde, was mit den eigenen Daten passieren soll, und das Einverständnis freiwillig erfolgte. Durch die Datenschutzgrundverordnung sind neben jenen Informationen, welche zur Grundlage der Einwilligung getätigt werden, andere Hinweispflichten eingetreten, welche beachtet werden müssen. So muss der Hotelier nachweisen können, dass er die eigenen Mitarbeiter dazu anhält, sorgfältig mit den personenbezogenen Daten der Gäste umgeht.
Wenn externe Dienstleistungsunternehmen eingesetzt werden, ist ein Hotelbetreiber dazu verpflichtet, zu kontrollieren, wie diese mit den anvertrauten Daten umgehen.
Den Betroffenen ist nach Anfrage Auskunft über alle zu der Person abgespeicherten Daten zu erteilen. Wenn die personenbezogenem Daten einmal abhandenkommen, ist die Leitung des Hotels dazu verpflichtet, alle Betroffenen und die berechtigte Aufsichtsbehörde zu informieren.
Wenn mehr als neun Beschäftigte des Hotels mit den personenbezogenen Daten umgehen, muss ein spezieller Datenschutzbeauftragter beauftragt werden. Dies kann ein Mitarbeiter als externer oder ein interner Experte als Datenschutzbeauftragter sein.
Zugleich sind den Hotelbetreibern bei der Erhebung der Daten zugleich Grenzen gesetzt. Generell dürfen nach jener ab Mai 2018 geltenden Datenschutz-Grundverordnung personenbezogene Daten der Hotelgäste nur dann verarbeitet werden, wenn es für die Realisierung des Beherbergungsvertrags nach Art. 6 Abs. 1 lit. b DSGVO notwendig ist.
Hierzu gehören zum Beispiel Abrechnungsdaten über Getränke und Speisen oder über Telefongespräche, welche vom Zimmer aus ausgeführt worden sind. Der Datenschtutz Gastronomie muss daher beachtet werden. Manche Hotels drucken für die Abrechnung aller Telefonate lediglich die Vorwahl sowie eine verkürzte Nummer aus.
Wenn es um die Erhebung der Daten im Rahmen des Hotelbesuchs geht, kann sich der Gast immer die Frage stellen, ob diese Erhebung tatsächlich nötig ist, damit die vertragliche Leistung des Hotels wie das Zimmer, Internet, Telefon, Wellness und andere Angebote herausbracht werden können.
Finden außerdem weitere Datenerhebungen statt, so bedarf es einer separaten Rechtsgrundlage. Scheinbar ist hierbei die Einwilligung des Gastes zur Erhebung der personenbezogenen Daten nach Art. 7 DSGVO von Bedeutung.
Zum Beispiel wird teilweise gleichzeitig mit einem Meldeschein die Einwilligung zur Versendung von Informationen oder Newslettern getroffen. Für einen solchen Zweck wird die E-Mail-Adresse, die eine personenbezogene Information darstellt, erhoben. Hierbei ist, ohne eine ausdrückliche Einwilligung, die Speicherung der Adresse generell unzulässig. Genauso kann das Hotel ein Interesse daran haben, Datenbanken über die Kunden anzulegen, wofür ebenfalls Einwilligungen zu holen sind. Diese Daten bleiben selbst nach Abreise des Gastes weiterhin bestehen.
Bei Einwilligungen sind in jedem Fall die gesetzlichen Voraussetzungen zu beachten. Wichtig ist ebenfalls der Datenschtutz Gastronomie.
Die Bedeutung der Kreditkartendaten
In der Praxis werden Kreditkartendaten von Gästen in den Hotels oft schon bei der Anreise erfasst. Dies kann dem Betreiber als Kaution dienen, wenn nach der Abreise des Gastes noch offene Forderungen zu erwarten sind. Teils wird dabei die Kreditkarte für eine Bonitätsprüfung benutzt, um durch die Abbuchung eines bildlichen Betrags zu überprüfen, ob der Gast einen Kredit genießt. Ein derartiges Vorgehen ist rechtmäßig, wenn die verschiedenen Bedingungen beachtet werden. So ist der Gast unbedingt darüber aufzuklären, zu welchem Zweck die eigenen Kreditkartendaten aufgezeichnet werden. Hierbei genügt es nicht, abstrakte oder pauschale Angaben zu machen. Nur wenn dem Gast verständlich klar ist, was mit den Daten passiert, ist eine derartige Erfassung rechtmäßig. Die zu einem definierten Zweck erhoben Daten dürfen ebenfalls nicht für andere als die bekannten Gründe verwendet werden. Zudem ist der Gast darüber zu informieren, dass eine Erfassung der Kreditkartendaten freiwillig erfolgen muss. Der Datenschutz im Hotel betrifft vor allem diese Informationen.
Die Datenschutzleistungen im Hotel
Für die Kontrolle der gesetzeskonformen Anwendung der DSGVO in einem Hotel ist es außerdem nach § 38 BDSG und Art. 37 DSGVO verpflichtend einen Datenschutzbeauftragten für die Hotelanlage zu bestellen, wenn bestimmte voraussetzungen als erfüllt an zu sehen sind.
Der allgemeine Datenschutz in Hotels
Auch der Datenschutz im Hotel ist von der neuen Regelung des Datenschutzgesetzes betroffen: Mit einem Eintritt der DSGVO müssen die Hotelbetreiber dokumentieren, dass sie sämtliche geeigneten Maßnahmen ergreifen, um die personenbezogenen Daten gesetzmäßig zu bearbeiten. In Zukunft muss detailliert erklärt werden, welche Daten des Gastes verarbeitet werden, wo diese liegen und, dass sie weitergegeben werden.
Die allgemeinen Beiträge stellen keine Rechtsberatung für das Hotel im Hinblick auf eine Einhaltung der Verordnungen der EU zum Datenschutzgesetz, wie die DSGVO, dar. Die Artikel sollen nur Hintergrundinformationen zum Verständnis der DSGVO übermitteln. Solche rechtlichen Informationen sind nicht mit einer rechtlichen Beratung zu verwechseln, bei welcher ein Anwalt das gültige Recht auf die spezifischen Umstände verwendet. Es muss daher darauf hingewiesen werden, dass das Hotel bei Beratungsbedarf über die Auslegung der Daten für das Unternehmen oder über die Korrektheit und Vollständigkeit einen Anwalt hinzuziehen sollten.
Das Hotel darf sich auf ein solches Dokument weder als Rechtsberatung stützen noch dies als eine Empfehlung für eine definierte Auslegung geltenden Rechts behandeln.
Die DSGVO regelt den generellen Umgang mit personenbezogenen und sehr empfindlichen personenbezogenen Daten und gibt zugleich vor, unter welchen Beweggründen Hoteliers die Daten des Gastes speichern und für Aktivitäten des Marketings verarbeiten können.
Die Liste von Verarbeitungstätigkeiten ist von nun an die Basis der Datenschutzdokumentation. Hotels mit mindestens 250 Mitarbeitern sind verpflichtet dies zu führen und können somit nachweisen, dass die Vorgaben aus der aktuellen DSGVO eingehalten werden. Wenn sehr sensible Daten verarbeitet werden, so müssen in bestimmten Fällen auch Hotels mit weniger als 250 Mitarbeitern dieses Verzeichnis der Verarbeitungstätigkeiten übersichtlich führen. Diese Regelungen der Rechenschafts- und Nachweispflichten werden im Hotelgewerbe zu einem erhöhten bürokratischen Aufwand führen, weil in der hier meistens mit empfindlichen Daten umgegangen wird. Der weitere wichtige Punkt der DSGVO ist eine Einwilligung zur Datenverarbeitung, welche sich die Hotels in Zukunft von den Gästen einholen müssen.
Der Datenschutzbeauftragte im Hotel ist als interne und kontrollierende Instanz gedacht. Er soll Sorge tragen, dass beim Umgang mit den Daten der Gäste das Bundesdatenschutzgesetz sicher eingehalten wird. Dies dient Unternehmen und Behörden, weil durch die Regulierung eine stetige Kontrolle durch die Aufsichtsbehörden vermieden werden kann.
Ein Datenschutzbeauftragter ist dem Gesetz nach bedingungslos gegenüber dem Arbeitgeber. Dies macht ihn gleichzeitig zu einer Anlaufstelle für Betroffene. Dies sind die Mitarbeiter oder die Kunden. Nach dieser Zwecksetzung knüpft das geltende Gesetz eine Bestellpflicht bei privaten Stellen daran, ob aufgrund der Größe des Unternehmens und des hiermit verbundenen Datenumfangs ein bestimmtes Gefährdungspotential besteht.
Im Alltag des Hotels werden viele Daten der Gäste verarbeitet und diese müssen sich in Zukunft hiermit einverstanden erklären. Bislang reichte es, dass der Gast dieser Nutzung nicht direkt widersprach.
Wenn die Verarbeitung auf der Einwilligung beruht, dann muss der Verantwortliche beweisen können, dass der betroffene Gast in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Dies erfolgt nach Artikel 7 DSGVO.
Eine solche Zustimmung kann auch mündlich geschehen, allerdings ist in Anbetracht der Nachweisbarkeit eine digitale oder schriftliche Zustimmung zu bevorzugen. So ist der Gast zugleich darauf hinzuweisen, dass der Widerruf dieses Einverständnisses zu einem späteren Zeitpunkt noch möglich wird. Erfolgt eine Einwilligung des Gastes durch die schriftliche Erklärung, welche noch weitere Tatbestände betrifft, dann muss die Bitte um Einwilligung in verständlicher und einfach zugänglicher Art sowie in einer einfachen und deutlichen Sprache erfolgen. So muss dem Gast verständlich sein, dass es um verschiedene Sachverhalte geht.
Dem Meldeschein kann der Hotelier nach dem neuen Gesetz ebenfalls die Daten zur Verarbeitung entnehmen, welche zur Erfüllung der vertraglicheren Pflichten notwendig sind. Mit der Einführung der neuen DSGVO können die Daten gegenwärtig nicht für andere Zwecke weiterverarbeitet werden. So sind die Daten nur für die Meldebehörde gedacht.