DSGVO – war da was?

28. November 2018

Nach all dem Trubel und den Warnungen ist es seit Ende Mai wieder sehr ruhig geworden um die europäische Datenschutzgrundverordnung (DSGVO). Die erwartete Abmahnwelle blieb aus und es sind aus Hotellerie und Gastronomie keine Fälle bekannt, in denen ein Betrieb in punkto Datenschutz angegangen worden wäre. Trotzdem: Eine gute Vorbereitung spart Umtriebe.

Das ist jedoch kein Grund, sich zurückzulehnen! Die DSGVO ist und bleibt Gesetz und gilt für alle Schweizer Betriebe, die Kunden oder Gästen aus der EU Waren oder Dienstleistungen anbieten und dazu die Daten dieser Personen verarbeiten. Zudem wird die Schweiz im Laufe des Jahres mit einem Pendant zur DSGVO nachziehen, welches dann für alle Schweizer Unternehmen gelten wird. Wer sich jetzt gut vorbereitet, spart später Zeit und Umtriebe.

Die Grundsätze der DSGVO

Die Ziele der DSGVO sind grundsätzlich lobenswert, denn es geht um den Schutz privater Daten. Diese dürfen nur rechtmässig erhoben und verarbeitet werden und nur für den angegebenen Zweck. Sie sollen auf ein Mindestmass beschränkt und nur so lange wie unbedingt nötig gespeichert werden. Ihre Sicherheit muss gewährleistet und ihre Verarbeitung dokumentiert werden. Zudem muss die Einwilligung der betroffenen Personen eingeholt werden, sie müssen über die Nutzung informiert werden und können jederzeit die Einsicht, Korrektur, Übertragung oder Löschung ihrer Daten verlangen. So weit so gut. In der Umsetzung ist die DSGVO jedoch – vor allem für kleinere Betriebe – ein ziemliches Bürokratiemonster und stellt diese vor Aufgaben, die ihnen zum Teil gar nicht bewusst sind. Im Folgenden finden Sie die wichtigsten Aspekte der DSGVO für Hoteliers und Gastronomen.

Die DSGVO und Ihre Webseite

Sorgen Sie zuallererst dafür, dass Ihre Webseite datenschutzkonform gestaltet ist. Dabei geht es vor allem um Dinge wie Datenschutzerklärung, Cookie-Banner, Datenerhebungs-Einwilligungen und die Analysedienste.

Datenschutzerklärung (DSE)

Vorlagen für die Datenschutzerklärung finden Sie im Internet oder als Mitglied auch beim Verband Hotelleriesuisse. Jede lautet ein bisschen anders, wichtig sind vor allem folgende Punkte:

  • Jede Datenerhebung und -Speicherung, ob auf der Webseite über Formulare oder im Betrieb im Zusammenhang mit Reservierungen oder Buchungen, muss in der DSE erwähnt werden – zusammen mit allfälligen externen Dienstleistern, die diese Daten weiterverarbeiten (z.B. Webhosting, Newsletter-System, Anbieter von PMS (Property Management System) oder CRS (Central Reservation System) etc.).
  • Cookies: Die meisten Webseiten sammeln sogenannte «Cookies», welche ebenfalls in der DSE aufgeführt werden müssen.
  • Google Analytics oder andere Analyseprogramme sammeln Daten über die Nutzung der Webseite durch Besucher und müssen in der DSE aufgeführt werden.
  • Social Media: Dynamische «Widgets» von Facebook und anderen Social Media sammeln Daten über Webseitennutzer und müssen ebenfalls in der DSE erwähnt werden.

Cookie-Banner

Cookies sind kurze Textinformationen, die Ihre Webseite auf dem Computer des Besuchers platziert – z.B. um wiederkehrende Besucher zu erkennen, Produkte im Warenkorb zu sammeln etc. Sogenannte Cookie-Banner, die beim ersten Aufruf der Webseite erscheinen, weisen Besucher darauf hin. Die genauen Anforderungen an ein rechtssicheres Cookie-Banner sind auch unter Experten noch nicht restlos geklärt. Ihre Webseite sollte Besucher jedoch mindestens auf den Einsatz von Cookies hinweisen und ihre Einwilligung dazu abholen.

Datenminimierung und Einwilligung

Alle Formulare auf Ihrer Webseite, ob Kontaktformular, Reservierungsanfrage oder Newsletter-Abo, sollten nur die unbedingt nötigen Informationen abfragen. Zudem sollten sie eine Erklärung zur Nutzung der Daten enthalten sowie eine Einwilligungs-Checkbox, die der Besucher anklicken muss, um das Formular abzusenden.

Google Analytics

Google Analytics zeichnet alle Besuche Ihrer Webseite auf, um Sie über die Nutzung und Leistung Ihrer Webseite zu informieren – und überträgt diese Daten zudem auf Server in den USA. Diese Daten sollten nur für den kürzest möglichen Zeitraum von 14 Monaten gespeichert und die IP-Adressen der Besucher anonymisiert werden. Auch sollten Sie mit Google einen Auftragsdatenverarbeitungsvertrag abschliessen. Falls Sie Werbung mit Google Adwords betreiben, fragen Sie Ihren Adwords-Partner, ob und wie Sie Ihre Datenschutzerklärung entsprechend anpassen müssen.

Die DSGVO und Ihr Newsletter

Die DSGVO bezieht sich nicht spezifisch auf Newsletter. Da Empfänger jedoch das Recht haben, zu erfahren, wie sie in Ihrem Verteiler gelandet sind, sollten Sie ab sofort auf das «Double Opt-in»-Verfahren umstellen. Nur so können Sie die Einwilligung der Abonnenten jederzeit nachweisen.

Die DSGVO und Ihre betrieblichen Abläufe

So weit so gut. Jetzt wird es etwas anspruchsvoller, denn nun kommt die relativ aufwendige Dokumentation Ihrer internen Datenverarbeitung.

Auftragsdatenverarbeitungsvertrag

Da Sie die Daten Ihrer Webseitennutzer und Ihrer Gäste meist nicht direkt speichern oder verarbeiten, sondern dazu externe Dienstleister nutzen, haben diese natürlich ebenfalls Zugriff darauf. Um sich gegenüber Nutzern und Gästen abzusichern, sollten Sie mit jedem Dienstleister einen sogenannten Auftragsdatenverarbeitungsvertrag abschliessen. Dazu gehören je nachdem:

  • Webseiten-Hoster
  • E-Mail-Hoster
  • Newsletter-Dienstleister
  • Google-Adwords-Agentur
  • Google selbst (Analytics)
  • PMS- oder CRS-Anbieter
  • Web-Booking-Anbieter

Verarbeitungsverzeichnis

Um im Ernstfall schnell Auskunft geben zu können, muss jedes Unternehmen, das personenbezogene Daten verarbeitet, ein Verzeichnis anlegen.

Dazu gehört:
1. Name und Kontaktdaten des Verantwortlichen und ggfs. des Datenschutzbeauftragten
2. Zweck der Datenverarbeitung
3. Art der Personen, deren Daten bearbeitet werden
4. Art der Daten, die erhoben und bearbeitet werden
5. Personen und Dienstleister, die Zugriff auf diese Daten haben oder erhalten

  1. Länder, in welche diese Daten ggfs. übermittelt werden
    7. Fristen für die Löschung der Daten
    8. Massnahmen zur Datensicherheit

Für alle Fälle

Datenschutzvertreter in der EU
Unternehmen, welche die Daten von Personen in EU-Ländern verarbeiten, müssen einen Vertreter in diesen Ländern benennen, der sie in Datenschutzfragen vertreten kann. Im Moment geht man wohl davon aus, dass ein Vertreter in einem der anteilsmässig am stärksten betroffenen Länder genügt.

Datenschutzbeauftragter
Je umfangreicher und regelmässiger die Datenverarbeitung und je sensibler die bearbeiteten Daten, desto eher braucht ein Betrieb einen Datenschutzbeauftragten. Da Hotels regelmässig Daten verarbeiten, sollten Sie unter Ihren Mitarbeitenden eine geeignete Person ernennen.

Checkliste

  • Datenschutzerklärungsvorlage in allen Sprachen herunterladen, anpassen und auf die Webseite stellen
  • Cookie-Banner beim Webmaster in Auftrag geben
  • Webseitenformulare prüfen und ergänzen
  • Google Analytics durch Webmaster anpassen lassen
  • Newsletter-Opt-in-Verfahren prüfen und ggfs. umstellen lassen
  • Alle Dienstleister identifizieren, die Kontakt mit Daten haben, und Auftragsdatenverarbeitungsverträge einfordern
  • Prüfen, welche Daten erhoben werden, und Verarbeitungsverzeichnisse anlegen
  • Kontakt mit einer Rechtsberatung aufnehmen, um Verständnisfragen zu klären und die Notwendigkeit eines Datenschutzvertreters und -beauftragten zu prüfen (für Mitglieder kostenlos: hotelleriesuisse.ch/de/pub/services.cfm)

Text: Gabriele Bryant