Mobile-Menu

Storage-Datenschutz der besonderen Art Die DSGVO in der Hotel- und Gaststättenbranche

Von Isabelle Röhl

Die Datenschutz-Grundverordnung hat seit Beginn ihrer Anwendung Ende Mai 2018 in zahlreichen Branchen, Sparten und Unternehmen für Veränderungen gesorgt – und sogar manchmal für Missmut. Doch dort, wo es um das Bewirten und speziell Beherbergen von Gästen geht, hat das Werk Auswirkungen besonderer Qualität entwickelt. Ein Überblick über Gesetz und Wirkung.

Anbieter zum Thema

In Hotels werden müssen naturgemäß besonders viele personenbezogene Daten erhoben werden.
In Hotels werden müssen naturgemäß besonders viele personenbezogene Daten erhoben werden.
(Bild: gemeinfrei / Pixabay )

Es gab wohl nur selten zuvor so viele Fälle, in denen man das Gastgewerbe so eindringlich mit dem Thema Datenschutz in Verbindung brachte wie in der Pandemie. Denn unter diesem besonderen Eindruck wurde erstmals vielen bewusst, wie viele Daten in dieser Branche schon zu normalen Zeiten erhoben werden müssen – und wie dramatisch sich dieses Aufkommen steigern kann, wenn die Gastwirte qua Gesetz dazu verpflichtet werden, die wichtigsten Daten von jedem einzelnen Gast aufzunehmen, auf dass sich Infektionsherde zurückverfolgen lassen – vom Impfstatus einmal völlig abgesehen.

Erst unter diesem Eindruck lässt sich beispielsweise die Serie von Meldungen rund um die Luca-App richtig einschätzen. Und erst jetzt beginnen viele zu verstehen, dass ein guter Gastwirt in der heutigen Zeit immer gleichermaßen ein Storage- und Datenschutzexperte sein muss, der ständig auf einem Grat zwischen seinen Interessen, denen der Gäste und denen des Staates, respektive der staatlichen Datenschützer, wandelt. Und selbst wenn man das Pandemiegeschehen völlig ausblendet und sich nur auf die DSGVO fokussiert, zeigt sich, wie groß dieses Thema in dieser Branche ist.

Das Gastgewerbe: ungleiches Pflaster in Sachen Datenerhebung

Wenn landläufig und fachsprachlich vom Gastgewerbe die Rede ist, dann ist damit natürlich immer gemeint, dass hier Gäste eine Dienstleistung erhalten. Dennoch gibt es drei signifikante Unterschiede:

  • Beherbergungen jeglicher Art vom Luxushotel bis zum Campingplatz,
  • Verpflegungsangebote zwischen Großkantinen und Stehcafés sowie
  • angelieferte Verpflegung, speziell im Bereich Catering.

Aus dienstleistender Sicht mag es hier nur vergleichsweise geringe Differenzen geben. Wird das Thema jedoch mit Fokus auf die Datenerhebung und -verarbeitung betrachtet, dann zeigt sich rasch, dass es hier eine beträchtliche Schieflage gibt:

Ein Großteil aller Verpflegungsangebote erhebt nur wenige bis gar keine personenbezogenen Daten seiner Gäste. Schließlich ist es beispielsweise völlig problemlos möglich, anonym ein Restaurant aufzusuchen und dort in bar zu bezahlen. Damit wäre das Angebot genutzt worden, ohne dass der Gast eine einzige personenbezogene Datenspur hinterlassen hätte.

Etwas mehr ist es im Bereich Catering, da hier zumindest grundlegende Daten wie beispielsweise Adressen erhoben werden. Den Gipfel stellt jedoch die Beherbergungsbranche dar. Denn bei den allermeisten diesbezüglichen Etablissements handelt es sich um Beherbergungsstätten entsprechend Bundesmeldegesetz.

Aus diesem speziellen Status ergeht wiederum eine gesetzliche Pflicht zu einer sehr umfassenden Erhebung personenbezogener Daten. Konkret sind dies:

  • Ankunfts- und voraussichtliches Abreisedatum,
  • Anzahl der Reisenden,
  • Familien- und Vorname des Gastes,
  • Geburtsdatum,
  • Meldeanschrift,
  • Seriennummer des Ausweisdokuments bei Ausländern und
  • Staatsangehörigkeit.

Dies sind die Daten, die auf dem Meldeschein erhoben werden sollen und maximal erhoben werden dürfen. Allerdings lässt das Gesetz den Bundesländern weiteren Spielraum. In diesem Fall dürfen mitunter weitere Daten erhoben werden, soweit sie mit Fremdenverkehrs- oder Kurbeiträgen in Verbindung stehen.

Besonders in Sachen Storage wurde diese Thematik ab 2020 erweitert, da mit dem Beginn dieses Jahres der neue elektronische Meldeschein gesetzlich eingeführt wurde. Er gestattet es Hoteliers, diese Daten rein digital einzuholen und abzuspeichern – zuvor war nur eine teildigitalisierte Vorgehensweise gestattet, die jedoch immer eine handschriftliche Unterschrift erforderte. Allerdings: Zwar darf ein Beherbergungsbetrieb diese Daten selbst erheben, er darf sie jedoch nicht für andere Zwecke nutzen. Das heißt, was im Rahmen des Meldescheins erhoben wurde, ist – zunächst – ausschließlich für die Meldebehörden bestimmt und darf nicht ohne Weiteres vom Gastgewerbetreibenden für seine Interessen gebraucht werden.

Doch wie so häufig lässt die DSGVO in diesem Fall ebenfalls eine Möglichkeit offen: Wenn Hoteliers ihren Gästen die Möglichkeit offerieren und sich deren aktive Zustimmung einholen, dann dürfen die sich ergebenden Daten auch für Zwecke des Beherbergungsbetriebs und der damit verbundenen Dienstleistungen genutzt werden.

Dies eröffnet der Branche und den Kunden weitere Möglichkeiten. So ist es nicht zuletzt deshalb möglich geworden, ein rein digitales, komfortorientiertes Prozedere über eine App einzuführen. In dieser kann von der Buchung über den Check-in bis zur Steuerung der Zimmertürverriegelung alles mit dem beziehungsweise über das Handy des Gasts erfolgen. Solange dies alles im Rahmen der DSGVO erfolgt, sind hierbei den Möglichkeiten keine Grenzen gesetzt.

Kritische Daten in der Beherbergung

Damit lässt sich feststellen, dass in der Hotelbranche die mit Abstand meisten und „heikelsten“ personenbezogenen Daten erhoben werden. Heikel deshalb, weil es sich hierbei um alle relevanten Informationen handelt, aus denen sich beispielsweise ein perfektes Bewegungsprofil einer Person erstellen ließe. Noch bedeutsamer wird dieses Thema bei Menschen ohne deutschen Pass, weil diese zusätzlich die Seriennummer ihres Ausweisdokuments und damit eine in Sachen Datensicherheit besonders schwerwiegende Information angeben müssen.

Zudem muss einbezogen werden, dass der Aufenthalt eines Gastes heutzutage fast zwangsläufig weitere personenbezogene Daten verursacht – ganz gleich, ob der Beherbergungsbetrieb diese erheben möchte oder nicht. Beispielsweise:

  • IP-Adressen sowie mitunter MAC-Adressen, wenn Kunden hauseigene Netzwerke benutzen und darüber ins Internet gehen,
  • Kontaktdaten wie Telefonnummern und E-Mail-Adressen, die typischerweise zumindest bei der Buchung nötig sind,
  • die Daten der von Gästen genutzten Zahlungsmittel, etwa Kreditkartennummern.

Unter diesen Voraussetzungen obliegt Beherbergungsbetrieben und ihrem Personal eine besonders große Verantwortung für den Datenschutz. Und dabei handelt es sich „nur“ um die Gästedaten. Hinzugerechnet werden müssen natürlich zudem die herkömmlichen Daten, die in praktisch jedem gewerblichen Unternehmen anfallen: Lieferantendaten, Bewerberdaten, Mitarbeiterdaten.

Die DSGVO und der Beherbergungsvertrag

Die DSGVO mag, insbesondere für juristische Laien, ein an vielen Stellen komplexes Machwerk darstellen. Was jedoch die Beziehung zwischen einem Beherbergungsbetrieb und dessen Gästen sowie die daraus ergehenden personenbezogenen Daten anbelangt, so lässt sie sich auf einige überraschend simple und zudem allgemeingültige Prinzipien herunterbrechen:

  • Grundlage für alles ist der Beherbergungsvertrag: letztlich ein beherbergungsspezifischer Kontrakt zwischen dem Hotelier auf der einen und dem Gast auf der anderen Seite. Der für die Datenerhebung wichtigste Kern dieses Vertrags ist seine Dauer. Die Wirksamkeit beginnt, wenn eine Buchung seitens des Beherbergungsbetriebs bestätigt wurde. Und sie endet, wenn der Gast entweder auscheckt oder die letzte offene Rechnung beglichen hat – je nachdem, was zuletzt eintritt.
  • Personenbezogene Daten von Gästen dürfen – prinzipiell – nur durch den Beherbergungsbetrieb erhoben und verarbeitet werden, wenn dies für eine rechtsgültige Erfüllung des Beherbergungsvertrags notwendig ist.
  • Sobald der Beherbergungsvertrag abgeschlossen ist, müssen sämtliche daraus entstandenen Daten gelöscht werden, mit Ausnahme der Informationen auf dem Meldeschein. Diese müssen noch länger gespeichert werden, dürfen aber nicht ohne Weiteres nach Vertragsbeendigung verarbeitet werden.

Das heißt, zunächst dürfen die Daten nur verarbeitet werden, solange der Vertrag läuft, respektive solange der Gast im Hotel eingecheckt ist. Allerdings sieht die DSGVO hier nicht vor, Hoteliers und anderen Beherbergungsgewerbetreibenden künstliche Hürden zu errichten.

Denn es liegt auf der Hand, dass aus diesen personenbezogenen Daten zahlreiche Vorteile gezogen werden können: sowohl solche für den erhebenden Betrieb als auch den Gast selbst. Beispielsweise könnten die Daten dazu dienen, das Meldeprozedere bei einem weiteren Aufenthalt zu beschleunigen. Zudem könnten Gewohnheiten des Gastes bei zurückliegenden Aufenthalten genutzt werden, um ihm weitere Besuche noch angenehmer zu gestalten.

Hier lässt die DSGVO durchaus entsprechende Freiräume zur Ausgestaltung einer über den reinen Beherbergungsvertrag hinausgehenden Datenerhebung und -verarbeitung.

Personenbezogene Datenerhebung jenseits des Beherbergungsvertrags und die Einwilligung

Das heißt letztlich: Gastgewerbetreibende dürfen selbst im Rahmen der DSGVO und des Beherbergungsvertrags Gastdaten weiterhin nutzen. Allerdings muss dies alles rechtssicher erfolgen. Die mit Abstand wichtigste Grundlage dazu ist, dass der Gast sich vollkommen darüber im Klaren ist und dazu seine aktive Einwilligung gibt – es muss sich also in jedem Fall um ein Opt-in-Verfahren handeln; Opt-out ist nicht zulässig. Dieser Grundsatz ist quasi ein „Dach“, welches das gesamte Datenerhebungsprozedere überspannt und, wie erwähnt, bereits bei den erwähnten Meldedaten anzuwenden ist.

Bei dieser Einwilligung sind speziell durch Artikel 7 DSGVO mehrere Bedingungen zu beachten. Sinngemäß formuliert:

  • 1. Der Beherbergungsbetrieb muss nachweisen können, dass der Gast seine Einwilligung erteilt hat. Zwar spricht die DSGVO nicht konkret von der digitalen oder schriftlichen Form, jedoch raten Datenschutzexperten aufgrund der deutlich vereinfachten Nachweisbarkeit dringend dazu.
  • 2. Es ist bei der Einwilligungserklärung immer dann eine besonders einfache Sprache zu wählen, wenn die Erklärung noch weitere Sachverhalte betrifft. Dies soll garantieren, dass der Gast die unterschiedlichen Sachverhalte auseinanderhalten kann.
  • 3. Der Gast hat jederzeit das Recht, seine Einwilligung zu widerrufen. Er muss ferner darüber informiert werden, bevor er seine Einwilligung erteilt.
  • 4. Die Einwilligung darf nicht automatisch für Werbung genutzt werden. Obwohl der Gast sein Einverständnis zur Datenverarbeitung gibt, so muss der Beherbergungsbetrieb eine gesonderte Einwilligung einholen, wenn er Daten zu Werbezwecken verarbeiten möchte. Dies gilt selbst dann, wenn es sich nur um werbliche E-Mails oder postalische Flyer an den Kunden handelt.

Als die DSGVO eingeführt wurde, wurde von verschiedenen Stellen der Branche Unmut laut. In der Praxis hat sich jedoch mittlerweile gezeigt, dass das Datenschutzgesetz kein Hemmnis für Aufbau und Pflege von Datensätzen für effektives Marketing ist, sondern diese im Gegenteil teils sogar unterstützt.

Die Dokumentationspflichten im Rahmen der DSGVO

Die Datenschutz-Grundverordnung soll kein „zahnloser Tiger“ sein. Dass sie dies nicht ist, bewies bereits 2019 ein spektakulärer Fall. Damals forderte der Berliner Datenschutzbeauftragte von der Wohnungsbaugesellschaft „Deutsche Wohnen“ eine Strafzahlung über 14,5 Millionen Euro aufgrund vorgeblicher Verstöße gegen die DSGVO. Zwar stellte das Landgericht Berlin das Verfahren im Februar 2021 ein, jedoch legte die Staatsanwaltschaft Beschwerde dagegen ein – der Fall schwelt deshalb weiterhin und wird vor dem Europäischen Gerichtshof landen.

Damit die DSGVO in solchen und anderen Fällen „griffig“ sein kann, ist sie grundsätzlich mit sehr weitreichenden und umfangreichen Dokumentationspflichten verknüpft. Dies soll sicherstellen, dass sowohl Datenschutzbeauftragte als auch Gerichte und letztlich Betroffene nachträglich Einsicht in Erhebung und Verarbeitung personenbezogener Daten erhalten können. Zudem kann die DSGVO bei Missachtung sehr empfindliche Strafzahlungen nach sich ziehen. Dafür ist das oben genannte Beispiel sinnbildlich.

Wichtig in diesem Zusammenhang ist zudem die aus der novellierten DSGVO ab 2019 ergehende Pflicht, einen Datenschutzbeauftragten zu benennen. In der novellierten Fassung muss dies dann geschehen, wenn es in einem Beherbergungsbetrieb mindestens 20 Mitarbeiter gibt, die an der Erhebung, Speicherung und/oder Weiterverarbeitung personenbezogener Daten beteiligt sind. Dieser Datenschutzbeauftrage muss allerdings nicht zwingend eine Person aus dem Betrieb sein. Die Bestellung eines externen Datenschutzbeauftragten ist ebenfalls möglich.

Die Sicherheitspflichten im Rahmen der DSGVO

Beherbergungsbetriebe sind typischerweise nicht als ausgesprochene Bastionen des Storage-Datenschutzes bekannt. Da hier jedoch so heikle Daten erhoben werden, ist es besonders dringend nötig, die aus der DSGVO ergehenden Sicherheitspflichten einzuhalten.

Prinzipiell unterscheiden sich diese technisch-organisatorischen Schutzmaßnahmen (TOM) nicht von denjenigen, die für andere Betriebe aus anderen Branchen gelten. Artikel 32 DSGVO lautet hier:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten [...]

Im weiteren Verlauf des Artikels finden sich die folgenden Erklärungen über beispielhafte Maßnahmen, abermals sinngemäß wiedergegeben:

  • Pseudonymisierung und Verschlüsselung,
  • vorhandenen Fähigkeiten, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und -dienste sicherzustellen,
  • Wiederherstellbarkeit der Daten und des Zugangs zu ihnen nach physischen oder technischen Zwischenfällen,
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der TOM.

Dabei unterstreicht die DSGVO jedoch, dass diese Maßnahmen nur als „unter anderem“ zu verstehen sind. Es handelt sich dementsprechend nicht um eine erschöpfende Auflistung.

Für die gastwirtschaftliche Praxis ergeht daraus das Gebot,

  • Zutritt,
  • Zugang,
  • Zugriff,
  • Weitergabe,
  • Ein- und Ausgabe und
  • Verfügbarkeit

durch entsprechende Maßnahmen zu kontrollieren und zudem dafür zu sorgen, dass es keine Durchmischung von Daten gibt. Letzteres lässt sich durch den Einsatz separater Systeme gewährleisten, damit garantiert ist, dass Daten nur entsprechend dem tatsächlichen Erhebungszweck verarbeitet werden können.

Die Aufbewahrungs- und Löschfristen im Sinn der DSGVO

Wie bereits kurz angeschnitten, so ist prinzipiell davon auszugehen, dass im Beherbergungsgewerbe alle personenbezogenen Daten eines Gasts zu löschen sind, sobald dieser nach Begleichen der Rechnung aus dem Haus auscheckt.

Wichtig ist hier vor allem der Meldeschein (egal, ob in analoger oder elektronischer Form). Dieser ist für exakt ein Jahr (als Stichtag gilt der Check-in) aufzubewahren. Nach Ablauf der Frist ist der Datensatz innerhalb von drei Monaten datenschutzkonform zu löschen oder anderweitig zu vernichten.

Die DSGVO aus Sicht der Gastgewerbebranche: ein Resümee

Deutschland ist ein Land, das den Datenschutz besonders großschreibt – in einem Staatenverbund, der es kaum weniger streng sieht. Aus dieser Sicht, so lässt es sich nicht anders sagen, ist die Datenschutz-Grundverordnung ein geradezu zwangsläufiges Ergebnis.

Heißt, wenn sich ein Staat oder Staatenbund den Schutz personenbezogener Daten so sehr vorgenommen hat, dann ist ein Werk von Umfang und Strenge der DSGVO ein zwangsläufiges Ergebnis. Insofern lässt sich konstatieren, dass die DSGVO grundsätzlich diejenigen bevorteilt, um deren Daten es letztlich geht – also die Kunden und Gäste.

Doch was sagen Gastgewerbetreibende dazu? Hierzu ist es zwingend nötig, einen Blick in die Vergangenheit zu richten – damals, als die DSGVO noch in der Ausarbeitungsphase war. In diesem Zeitraum waren sich sehr viele Unternehmer und deren Verbände einig, dass die DSGVO ausschließlich Nachteile brächte. Ganz gleich, ob Arbeits- und Umsetzungsaufwand, Strafen oder Wettbewerb, sehr viele Gast- und andere Gewerbetreibende waren der Ansicht, dass die Datenschutz-Grundverordnung mehr Schaden als Nutzen brächte.

Nachdem sie jedoch eingeführt worden war und man die ersten Praxiserfahrungen damit sammeln konnte, begann sich jedoch das Blatt allmählich zu wenden. Es zeigte sich, dass das Gesetz deutlich weniger problematisch war, als zunächst befürchtet wurde. Ferner wurden Unternehmen nicht gezwungen, ihre gesamte IT inklusive Storage auf den Kopf zu stellen. Vielmehr zeigte sich, dass viele Unternehmen den Anlass nutzten, um ihre Speicherlandschaft auszubalancieren, sich zu modernisieren und insgesamt fähiger zu werden – auch jenseits des Gastgewerbes.

Wirklich interessant in diesem Zusammenhang ist eine der wohl vollständigsten Umfragen unter Unternehmern speziell zum Thema DSGVO. Sie wurde vom Digitalbranchenverband bitkom durchgeführt und im September 2020 veröffentlicht. Zwar sagten darin 89 Prozent aller befragten Unternehmen, dass die DSGVO nicht komplett umsetzbar sei. 71 Prozent beklagten überdies, dass das Gesetz zahlreiche Geschäftsprozesse komplizierter mache. Allerdings befanden zudem

  • 69 Prozent, dass die DSGVO weltweite Maßstäbe setze,
  • 66 Prozent, dass dadurch die EU-internen Wettbewerbsbedingungen vereinheitlicht würden,
  • 62 Prozent, dass EU-Unternehmen dadurch Wettbewerbsvorteile hätten,
  • 20 Prozent, dass ihr Unternehmen direkte Vorteile erhalte.

Dem gegenüber standen gerade einmal 12 Prozent, die die Meinung vertraten, dass die DSGVO eine Gefahr für ihr Geschäft sei.

Zusammengefasst bedeutet dies letztlich nichts anderes, als dass man die DSGVO angenommen und zumindest in einigen Aspekten zu schätzen gelernt hat. Vieles, was zuvor befürchtet wurde, trat nicht ein, anderes hingegen nur in abgeschwächter Form.

Speziell auf das Beherbergungsgewerbe muss nochmals unterstrichen werden, wie viele personenbezogene Daten hier gezwungenermaßen und zwangsläufig erhoben werden. Dass den allermeisten Gästen Datenschutz sehr wichtig ist, darf in Deutschland und der EU als gegeben angenommen werden. Insofern profitieren letztlich jeder Hotelier, jeder Ferienhausvermieter und jeder Campingplatzbetreiber davon, dass sie einen klaren gesetzlichen Rahmen haben, durch den sie diesen speziellen Kundenwunsch befriedigen müssen und können.

Nicht zuletzt werden dadurch Datenlecks unwahrscheinlicher gemacht, die selbst ohne DSGVO geschäftsschädigend bis ruinös sein könnten. Denn in einer Welt, in der Daten so wichtig sind, würde sich die Nachricht von einem Beherbergungsunternehmen, das es mit deren Schutz nicht genau nimmt, wie ein Lauffeuer verbreiten.

Aktuelles eBook

Speichertechnologien im Vergleich

HDD, Flash & Hybrid: Der passende Speicher für jeden Einsatz

eBook HDD, Flash und Hybrid
eBook „HDD, Flash & Hybrid“
(Bild: Storage-Insider)

In diesem eBook lesen Sie, welche verschiedenen Speicher es gibt und welche Vor- und Nachteile diese haben.

Die Themen im Überblick:

  • Der passende Speicher für jeden Einsatz – HDD, SSD und Tape
  • HDDs: Heimvorteil und neue Technologien
  • Flash-SSDs & Co.: wie ein geölter Blitz
  • Storage-Arrays unter die Haube geschaut – SSD, HDD und Hybrid
  • Tape: die Kunst der Langzeitarchivierung

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47997900)