Haben Sie die DSGVO schon umgesetzt?

Das Thema ist ja nicht neu, aber für viele Hotel- und Restaurantbetreiber ist es immer noch ein Buch mit sieben Siegeln. Ich versuche hier die wichtigsten Infos zusammen zu tragen, damit sich jeder schnell einen Überblick verschaffen kann.

Wichtig ist: sich zuerst einmal zu informieren

Man könnte meinen, das nichts so heiß gegessen wird, wie es gekocht wird. Doch kaum war der 25.05.18 rum, kamen auch schon die ersten Abmahnanwälte daher und haben sich im ganzen Lande Unternehmer vorgenommen. Es ist und bleibt also ein heißes Thema.

Und so leidig das Thema auch sein mag, man kann entweder eine Agentur für seine Internetseite und einen Anwalt beauftragen, die einen mit Rat und Tat zur Seite stehen, oder man informiert sich selbst und macht es soweit es geht selber. Oftmals reicht dies schon aus.

Worum geht es und was betrifft das Sie?

Datenschutzregeln und Gesetze gab es in dieser Sache auch schon vor dem 25. Mai 2018. Seit diesem Tage hat sich aber ein wenig geändert, da die Gesetze in der EU gleichgeschaltet werden sollten. Im Prinzip keine schlechte Sache. Weil es diese Änderungen aber gab, müssen Sie ggf. handeln. Wen betrifft es zum Beispiel?

  • Alle Ferienhausbetreiber, Hotelliers, Restaurantbesitzer – einfach jeden der eine Internetseite betreibt, die die Vermarktung der eigenen Services zum Ziel hat. Und das dürfte wohl jede Seite über ein eigenes Unternehmen sein, das man gewerblich vermietet bzw. betreibt.
  • Es betrifft Sie, wenn Sie Elemente auf Ihrer Seite eingebunden haben, die Daten an Dritte weitergeben (Facebook “Like” Buttons) oder wenn Daten von Dritten verarbeitet werden (z.B. das Surfverhalten über Google Analytics).
  • Es betrifft Sie auch dann, wenn Sie keine Internetseite haben, aber Ihre guten alten “Stammgäste” regelmäßig per Email anschreiben. Selbst wenn es nur der Weihnachtsgruß ist, mit dem Sie sich “in Erinnerung rufen”. Auch das kann Ihnen als Werbung ausgelegt werden. Und auch hier greift die DSGVO.
  • Sie haben schon eine Datenschutzerklärung? Auch dann könnte es Sie treffen, denn auch diese musste nach dem 25. Mai angepasst worden sein. Ich mag gar nicht sagen, wie viele (!) dies auch im September 2020 noch nicht gemacht haben.

Der ganze Aufwand wird betrieben weil der Endkunde, Ihr Urlaubsgast, zukünftig selbst entscheiden können soll, welche Daten er Ihnen gibt und was Sie damit machen dürfen. Sie dürfen also nicht mehr ohne vorherige Genehmigung (die Sie nachweisen können müssen) bestimmte Daten des Gastes speichern, nutzen oder durch andere nutzen lassen.

Hilfe ist in Sicht – nicht alles ist verboten

Grundsätzlich soll die neue Verordnung transparenz bringen. Viele Daten die Sie vom Gast bekommen, brauchen Sie ja schon alleine deswegen, weil Sie z.B. eine Rechnung schreiben und diese eine gewisse Zeit aufheben müssen. Dies hat der Gesetzgeber auch nicht im Visier.

Denn hierbei handelt es sich um so genannte “Bestandsdaten”, die benötigt werden, um die Geschäftsbeziehung die Sie und der Gast haben, überhaupt erstmal abwickeln zu können.

Damit aber lange nicht genug. Was sind überhaupt personenbezogene Daten? Denn darum geht es.

  • Name, Anschrift, Geburtsdatum, Telefon, Emailadresse
  • insbesondere Angaben zu Geschlecht, “Rasse”, Religion oder sexuelle Orientierung (so genannte “sensible Daten”)
  • aber auch IP Adresse von Nutzern der Internetseite, das Surf- und Kaufverhalten auf der Seite
  • und letztlich erweiterte demographische Daten wie z.B. Ausbildung oder Infos zu Einkommen, Gesundheitsinfos und dergleichen

Sie sehen, es geht über den einfachen Namen und die Anschrift des Gastes weit hinaus. Generell kann man sagen, das es sich immer dann um personenbezogene Daten handelt, wenn sich Daten (irgendeiner Art) einer bestimmten Person zuzuordnen lassen.

Besser um Erlaubnis fragen!

Im Prinzip können Sie Daten, die Ihnen Ihr Gast von sich aus gibt und die Sie für die Abwicklung der Reservierung benötigen auch nutzen. Aber: Sie dürfen Sie nicht nutzen, um sich später dieser Daten zu bedienen, um sie werblich zu nutzen.

Beispiel:

Ein Gast schreibt Sie an oder schickt eine Anfrage über ein Portal. Sie kennen den Namen und die Emailadresse. Er will wissen, ob was frei ist und Sie antworten. Der Gast sagt zu und Sie bitten um weitere Daten. Adresse, Telefonnummer und möglicherweise die Namen und das Alter der anreisenden Gäste (für die Vorbereitung der Kurtaxe). Der Gast gibt Ihnen diese Daten und reist an. Sie stellen die Rechnung vor oder bei Abreise aus, der Gast bezahlt.

Wenn Sie vom Gast, zu welchem Zeitpunkt auch immer, KEINE schriftliche und somit nachweisbare Erlaubnis haben, seine Daten zu speichern und für Werbezwecke zu nutzen, dürfen Sie dies auch nicht machen. Mit anderen Worten: Sie dürfen (und müssen) die Rechnungskopie und die Korrespondenz gemäß Ihrer Buchführungspflichten aufbewahren, sie aber nicht weiter nutzen. Sie dürfen keine Angebote versenden, keinen informellen Newsletter oder Weihnachtskarte an den Gast schicken. Alles was über diese Buchführungsaufbewahrungspflichten hinaus geht, muss sogar gelöscht werden.

Darum lohnt es sich, dem Gast Ihre Datenschutzerklärung im Laufe des Reservierungsprozesses zuzusenden oder bei Anreise unterschreiben zu lassen. Widerspricht der Gast nach Zusendung nicht, kann dies als Zustimmung gewertet werden; insbesondere wenn Sie dies auch so vorab formulieren. Und dann greift die Datenschutzerklärung, die Sie möglicherweise schon auf Ihrer Internetseite haben.

Datenschutzerklärung

Im Internet gibt es eine Reihe von Formularen und Vorlagen, die einem einen guten Anhalt darüber geben, was genau rein muss in diese Erklärung. Im Internet findet sich dazu eine gute Information der IHK Schleswig-Holstein. Hier der LINK

Bei der Datenschutzerklärung handelt es sich um eine Info, die genau sagt, wer hier Daten sammelt, wofür, wie sie gesammelt werden und wie lange die Daten gespeichert werden sollen. Auch hier steht die Transparenz wieder einmal im Vordergrund.

Grundsätzlich sollte die Erklärung leicht zu finden sein. Genauso wie beim Impressum sollte der Nutzer diese mit 2 und weniger Klicks erreichen können. Somit empfiehlt es sich, dies im Footer einer Seite einzubauen, die von jeder Seite aus sichtbar ist. Wer es noch deutlicher auffindbar machen möchte, packt es in das Hauptmenü oder im Headermenü der jeweiligen Seite.

Das sollte mindestens drin stehen:

Wenn Sie nur die Bestandsdaten erheben (und später alles unnötige wieder löschen), braucht auch nur das in der Datenschutzerklärung drin stehen. Wichtig zu wissen ist, das Sie den Nutzer der Internetseite (Ihrem Gast) in solch einem Falle nur über diese Tatsache informieren müssen. Nur dann, wenn Sie darüber hinaus Daten sammeln, an Dritte weiterleiten und/oder von Dritten verarbeiten lassen, brauchen Sie zusätzlich die explizite Genehmigung.

Hinweis: Sie dürfen die Nutzung Ihrer Internetseite oder die Anmietung Ihres Ferienhauses, Ihrer Einrichtung etc. nicht davon abhängig machen, das der Gast dieser “erweiterten” Nutzung seiner Daten zustimmt. Dies nennt sich “Kopplungsverbot” und kann mit einer saftigen Geldstrafe verbunden sein.

Wenn Sie technische Hilfsmittel einsetzen, um das Besucherverhalten auf Ihrer Internetseite zu messen (z.B. Google Analytics), Sie später dem Gast einen Newsletter zusenden möchten, Sie einen “Like-Button” oder dergleichen von Facebook einbinden wollen, reicht auch ein reiner Hinweis nicht mehr aus. Mittlerweile hat es dazu Änderungen auf EU Ebene gegeben. Auch wenn dies noch nicht in nationales Gesetz umgesetzt wurde, sollten Sie nicht solange warten. Das kommt manchmal schneller als man denkt – und „daran denkt“.

Beispiel für einE Mindesterklärung

Analog zum Beispiel der IHK Schleswig-Holstein würde eine Mindesterklärung einer Datenschutzerklärung wohl folgendes Satz beinhalten:

“Wir speichern Ihren Namen und Ihre Adresse bis zur vollständigen Erfüllung unseres Gastaufnahmevertrags, also bis zur Beendigung Ihres Urlaubs bei uns plus eine Woche für mögliche Rückfragen. Für andere Zwecke als für diese Vermietung verwenden wir Ihre Daten nicht. Wenn Ihr Urlaub bei uns abgeschlossen ist, werden wir Ihre Daten innerhalb einer Frist von 7 Tagen wieder löschen.”

Geben Sie zudem an, wer Sie sind, wie man Sie erreicht, wer die entsprechende Stelle ist, die für Datenschutzfragen zuständig ist und schon sollten Sie auf der richtigen Seite des Gesetzes stehen.

Was tun, wenn Sie die oben genannten Tools verwenden?

Was wollen Sie mit genauen Analysedaten von Google oder mit einer Fanpage von Facebook erreichen? Um eine einzige Ferienwohnung zu vermieten, brauchen Sie dies alles nicht umbedingt. Aber spätestens ab einem Restaurant oder Hotel sollte dies Pflichtprogramm sein.

Wollen Sie dies also für sich nutzen, empfehle ich eine kostenpflichtige Mitgliedschaft bei e-recht24.de oder eine individuelle Anpassung eines versierten Fachanwalts. Bei e-recht24.de haben Sie ein Pool an Infos und auch einige Generatoren für Datenschutz, Facebook und Impressum.


Kurzer Hinweis: Dies soll und kann keine Rechtsberatung darstellen, ersetzt nicht die Konsultation eines Anwalts und dient lediglich dazu, sich einen ersten Überblick über die Thematik zu machen.


Möchten Sie mehr über dieses Thema erfahren?

Ich lade Sie ein, mich persönlich kennen zu lernen. In einem kostenfreien und unverbindlichen Kennenlern-Telefonat können Sie mir verraten, was Sie genau an diesem Thema fasziniert und wie Sie das Wissen in Ihrem Betrieb einsetzen möchten. Gern gebe ich dann dazu weitere Tipps zur Umsetzung.

Tags