EU-DSGVO & das neue Bundesdatenschutzgesetz – Die Basics für Gastgeber

 

Datenschutzgesetz_Gastronomie

In der Gastronomie und Hotellerie werden im Tagesgeschäft eine Menge personenbezogener Daten gesammelt und verwertet, welche die Arbeit enorm erleichtern und oft erst den perfekten Gastgeber ausmachen. Wer seine Gäste kennt, kann ihren Bedürfnissen in der Regel besser gerecht werden. Künftig gibt es dabei allerdings noch einiges mehr zu beachten, denn am 25. Mai 2018 tritt die neue europäische Datenschutz-Grundverordnung (DSGVO oder GDPR) in Kraft. Je näher der Tag rückt, desto mehr stellt sich bei Gastronomen und Hoteliers ein flaues Gefühl in der Magengegend ein. Zeitgleich tritt daneben auch das neue Bundesdatenschutzgesetz (BDSG n.F.) in Kraft, welches die europäische Verordnung in das deutsche Recht teilweise implementiert hat. Höchste Zeit also, sich mit der neuen Rechtslage auseinanderzusetzen:

Was ist die DSGVO und was sind die wichtigsten Neuerungen? Worauf muss man als Gastgeber besonders Acht geben? Darf man Gäste vor Antritt ihres Aufenthalts nach persönlichen Informationen zu Essgewohnheiten oder ähnliches fragen und dies elektronisch vermerken oder speichern? Welche Informationen sind kritisch und welche nicht und was fällt eigentlich unter personenbezogene Daten? Das ist wahrscheinlich nur ein Bruchteil der Fragen, die einem zum Thema Datenschutz durch den Kopf gehen. Wir haben hier einige Basics aufbereitet, um Antworten darauf zu finden.

Die Ziele der DSGVO und des neuen BDSG

Die Datenschutz-Grundverordnung ist eine Verordnung der europäischen Union, die vor allem der Vereinheitlichung der Rahmenbedingungen zur Verarbeitung und Verwendung personenbezogener Daten durch Unternehmen dient. Zweck der DSGVO – wie auch des neuen BDSG – ist der Schutz im Umgang mit personenbezogenen Daten aber auch die Gewährleistung des freien Datenverkehrs innerhalb der europäischen Union.

Anwendungsbereich

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach § 1 Abs. 1 S. 2 BDSG n.F. gilt dies auch für nichtöffentliche Unternehmen. Die EU-DSGVO gilt in Europa unmittelbar, lässt aber auch aufgrund von Öffnungsklauseln Spielraum für nationale Regelungen, die u.a. auch schon in das BDSG n.F. aufgenommen worden sind.

Personenbezogene Daten – was fällt (nicht) darunter?

Die meisten Menschen wissen nicht, was alles unter personenbezogene Daten fällt – denn das ist weitaus mehr, als man denkt und einem das natürliche Sprachgefühl vermittelt. Wer sich damit nicht auseinandersetzt, handelt vielleicht rechtswidrig, ohne es zu merken. Die aktuelle juristische Definition der personenbezogenen Daten ist zwar ausführlich, jedoch sehr kompliziert und nicht auf Anhieb für jedermann verständlich (siehe DSGVO Art. 4). Darunter fallen unter anderem nicht nur der Name, Adresse, E-Mail-Adresse, sondern auch das Nutzerverhalten, IP-Adresse, Steuernummer und biologische oder genetische Daten. Wichtig ist, dass man gerade im Gastgewerbe weiß, dass dieser Begriff viel umfasst. Man kann davon ausgehen, dass alles, was man vom Gast, Beschäftigten, Kunden oder vom Lieferanten erfasst, unter den Begriff der personenbezogenen Daten fällt und die Verarbeitung und Speicherung somit den Auflagen der DSGVO bzw. des neuen BDSG unterliegt.

Die wichtigsten Neuerungen und worauf Gastgeber achten müssen

Was sind die wichtigsten Neuerungen und worauf muss man als Gastgeber besonders achten? Bisher wurden alle Richtlinien im Umgang mit personenbezogenen Daten durch das BDSG geregelt. Hier schildern wir knapp die wichtigsten Veränderungen, die nun berücksichtigt werden müssen.

Einwilligung

Eine der maßgeblichen Änderungen ist vor allem das Erfordernis der Einwilligung. Bislang durfte man personenbezogene Daten der betroffenen Personen nur dann nicht verwenden, wenn sie dem konkret widersprochen haben. Mit den neuen Regelungen muss man für die Verwendung, Verarbeitung und Speicherung der Daten eine ausdrückliche Einwilligung der Betroffenen erhalten, die auch nachweisbar ist. Wichtig ist hierbei, dass diese Einwilligung auf einer freien Entscheidung der betroffenen Person beruhen muss und diese vorher über den genauen Zweck der Verarbeitung aufgeklärt worden sein muss. Falls besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. (§ 51 BDSG n.F.) Falls man also beispielsweise aktives E-Mail-Marketing betreibt, ist man nur dann auf der sicheren Seite, wenn man sich die Aufnahme in den Verteiler von Empfängern freiwillig bestätigen lässt. Viele nutzen digitale Tools (bspw. zur Reservierung von Tischen, Bestellungen über Apps etc.), über die sie Daten generieren und exportieren können. Auch in diesem Fall muss man künftig vorsichtig sein.

Widerrufsrecht

Neben der Einwilligung ist der betroffenen Person zudem ein Widerrufsrecht einzuräumen. Das bedeutet also, dass die betroffene Person jederzeit die Möglichkeit bekommen muss, ihre Einwilligung zu widerrufen und die Löschung ihrer Daten zu veranlassen. (§ 51 BDSG n.F.) Im Beispiel des E-Mail-Marketings ist also ein Link zur Abmeldung der regelmäßigen Informationen und Aktionen in der E-Mail ratsam.

Rechenschaftspflichten

Neben der notwendigen Einwilligung zählen die Rechenschaftspflichten zu einer wesentlichen Neuerung. Hinter dem Begriff verbirgt sich eine erhöhte Dokumentations- und Nachweispflicht. Konkret bedeutet das für Unternehmen, dass sie Nachweise über ihre Datenverarbeitungsprozesse erbringen müssen. Sie müssen nun beweisen, dass Zweck, Art und Umfang der personenbezogenen Daten dokumentiert und ausreichend geprüft worden sind.
Damit einhergehend ist der Grundsatz der Datensparsamkeit zu beachten, welcher vorsieht, dass Unternehmen nur die „wichtigsten“ Daten verwenden und verarbeiten sollen. Zur Einhaltung der Rechenschaftspflichten ist es also sinnvoll, Verzeichnisse anzulegen, in denen festgehalten ist, was mit den erhobenen Daten geschieht und außerdem noch auf wichtige Aspekte wie den Zweck der Datenverarbeitung eingehen.
Des Weiteren sollte ein solches Verzeichnis eine Beschreibung der Personengruppen, von denen Daten erfasst werden, enthalten. Beispiele hierfür wären möglicherweise: Firmendaten, persönliche Daten mit möglichen Untergruppen wie „Buchung von Meetings / Tagungen“, „normaler Tagesgast“ oder ähnliches. Festgehalten werden sollte zudem, wann und wie Daten gelöscht werden und wie sichergestellt wird, dass die Daten für Unbefugte unzugänglich sind. Nicht jeder Mitarbeiter sollte über einen Stand-PC auf Daten Zugriff haben.

Bußgelder

Die neuen Bestimmungen beinhalten nun eine Verschärfung der Bußgeldhöhe bei Nichteinhaltung der Vorgaben. Bisher lag die Bußgeldgrenze bei 300.000 Euro pro Verstoß und auch die fälligen Geldbußen fielen eher sparsam aus. Ab dem 25. Mai 2018 steigt die Bußgeldgrenze auf bis zu 20 Mio. Euro oder auf 2-4% des Jahresumsatzes, sofern dieser höher ist. Zudem droht der Gesetzgeber mit schärferen Kontrollen zur Überprüfung der rechtmäßigen Einhaltung. Bedrohlicher als sonst sind diese Veränderungen vor allem aufgrund der Rechenschaftspflicht des Unternehmers, welcher die Maßnahmen zur Einhaltung des Datenschutzes dokumentieren und zur Not auch darlegen muss.

Schadenersatz auch für immaterielle Schäden

Eine weitere Neuerung ist die Verpflichtung zum Schadenersatz für immaterielle Schäden. Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet und dies gilt auch für Schäden nicht vermögensrechtlicher Art, also immaterielle Schäden (§ 83 BDSG n.F.).

 

Fazit zum neuen Bundesdatenschutzgesetz

In der Gastronomie und Hotellerie fallen im täglichen Geschäft eine Menge personenbezogener Daten an, die auch ein Stück weit die Arbeit eines guten Gastgebers erleichtern. Informationen zu Vorlieben in der Freizeitgestaltung, Allergien oder Unverträglichkeiten, Art des Aufenthaltes, Zahlungsinformationen und so weiter helfen dabei besser auf unsere Gäste und deren Bedürfnisse einzugehen. Wichtig ist jedoch, dass man als Gastgeber im Fall der Fälle gewährleisten kann, dass man zu allen sensiblen Daten der betroffenen Personen eine Einwilligung vorweisen kann und die Daten auch nach dem Verlassen des Betriebes auf der Stelle gelöscht werden können, sofern dies nicht ausdrücklich anders gewünscht wird. Ratsam ist in diesem Kontext die Beratung und Betreuung durch einen Anwalt oder Spezialisten und die stetige Weiterbildung des Personals.

Angepasster Auftragsdatenverarbeitungs-Vertrag für gastromatic-Kunden

Auch gastromatic-Kunden nutzen natürlich personenbezogene Daten ihrer Mitarbeiter/innen in unserem System. Dafür wird es einen nach den EU-DSGVO angepassten Auftragsdatenverarbeitungs-Vertrag geben, der sich derzeit in Prüfung befindet. Wir werden diesen aber bis zum 25.05.2018 auf unserer Webseite www.gastromatic.de in elektronischer Form zur Verfügung stellen und alle Kunden noch einmal in einer Update-Mail darüber informieren. Falls Fragen hierzu aufkommen, ist unser Support (support@gastromatic.de) ein verlässlicher Ansprechpartner. 🙂

Hinweis: Hierbei handelt es sich um unverbindliche Informationen. Der Autor übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen, welche auch keine individuelle Rechtsberatung darstellen.

 

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5.00 out of 5)
Loading...

Angesteckt vom Start-Up-Fieber hat Christin sich in den Anfängen der gastromatic-Ära im Spätsommer 2014 gegen das Sportmanagement Masterstudium und für gastromatic entschieden. Die Chance am Aufbau eines Unternehmens mitzuwirken und die Überzeugung etwas Großartiges schaffen zu können, waren Grund genug sich ins Abenteuer zu stürzen. Als Vertriebsleiterin und Ansprechpartnerin großer Kunden bekommt Sie tagtäglich interessante Branchen-Insights, die in interessante, informative und unterhaltsame Blogartikel verpackt werden, um sie mit der #gastromaticCommunity zu teilen.

2 Kommentare zu EU-DSGVO & das neue Bundesdatenschutzgesetz – Die Basics für Gastgeber

  1. Sehr geehrte Damen und Herren,
    da unser Haus (Familotel Landhaus zur Ohe) mit Gastromatik arbeitet, werden personenbezogene Daten unserer Mitarbeiter über Ihr System verarbeitet. Deshalb benötige ich eine Auftragsdatenverarbeitungs-Vereinbahrung mit Ihrer Firma. Liegt die auf Ihrer Seite zum Download bereit oder können Sie sie mir per Mail zukommen lassen?
    MfG
    Christian Burger
    Datenschutzbeauftragter

    • Lieber Herr Burger,
      vielen Dank für Ihren Kommentar. Der nach den EU-DSGVO angepasste Auftragsdatenverarbeitungs-Vertrag befindet sich derzeit in Prüfung.
      Wir werden diesen für Sie bis zum 25.05.2018 auf unserer Webseite http://www.gastromatic.de in elektronischer Form zur Verfügung stellen und alle Kunden noch einmal in einer Update-Mail darüber informieren. Falls Sie weitere Fragen hierzu haben, können Sie sich gerne an unseren Support (support@gastromatic.de) wenden. 🙂
      Liebe Grüße aus dem gastromatic-Büro
      Valerija Schwarz