Ob beim Check-In, der Wellnessmassage oder am Frühstücksbuffet – während eines Hotelaufenthalts geben Gäste bewusst oder unbewusst eine Vielzahl von Informationen über sich preis – neben den standardmäßig abgefragten Angaben zur Person, ließe sich anhand der Ess- und Schlafgewohnheiten, der Freizeitaktivitäten, der Begleitpersonen und der zusätzlich in Anspruch genommenen Hotelleistungen oftmals ein detailliertes Persönlichkeitsprofil über den Gast erstellen. Daher lohnt es sich der Frage nachzugehen, wie der Umgang mit Gästedaten im Hotel in der Datenschutz-Grundverordnung (DSGVO) geregelt ist.
Datenverarbeitung im Hotel – die Faustregel
Grundsätzlich dürfen Hotels personenbezogene Daten ihrer Gäste verarbeiten, sofern dies für die Durchführung eines Beherbergungsvertrags im Sinne des Art. 6 Abs. 1 lit. b DSGVO erforderlich ist. Für darüberhinausgehende Datenverarbeitungen sind ggf. anderweitige Rechtsgrundlagen einschlägig.
Anreicherung von Gästeprofilen
Manche Hotels möchten ihren Gast bereits vor Anreise näher kennenlernen und durchsuchen das Internet nach frei verfügbaren Informationen zu ebendieser Person. Hierfür werden spezielle Tools eingesetzt, die etwa Profile der Gäste in sozialen Medien finden können. Diese Art der Erstellung und Anreicherung von Kundenprofilen ist datenschutzrechtlich nicht unbedenklich, kann jedoch unter Umständen nach Art 6 Abs. 1 lit. f DSGVO als berechtigtes Interesse der verantwortlichen Stelle zulässig sein, wenn die Informationen für jedermann auffindbar waren und der Gast vernünftigerweise damit rechnen konnte, dass diese öffentlich auffindbaren Informationen von Hotels für diesen Zweck verarbeitet werden (z.B. bei Personen des öffentlichen Lebens regelmäßig der Fall). Bei der vorzunehmenden Interessenabwägung spielt auch die Art der hinzugespeicherten Daten eine Rolle. Ihr erster Ansprechpartner sollte in jedem Fall der betriebliche Datenschutzbeauftragte sein, der die erforderliche Prüfung vornehmen und Ihnen zu allen weiteren datenschutzrechtlichen Belangen kompetent zur Seite stehen kann.
Datenerhebung beim Check-In
Hotels sind gesetzlich dazu verpflichtet, bestimmte personenbezogene Daten über den Gast in Form eines besonderen Meldescheins zu erfassen und bereitzuhalten. § 30 Abs. 2 Bundesmeldegesetz gibt abschließend vor, welche Daten im Meldeschein erfasst werden müssen. Andererseits werden in Meldescheinen oft auch schriftliche Einwilligungen für Newsletter eingeholt, da sich nach dem Check-In-Prozess meistens keine Gelegenheit mehr bietet, schriftliche Erklärungen des Gastes einzuholen. Hier besteht jedoch die Herausforderung für Hotels, penibel auf die Trennung von melderechtlichen und darüberhinausgehenden Angaben (z.B. E-Mail-Adresse, Zimmernummer, Einwilligung in die regelmäßige Zusendung eines Newsletters) zu achten, da diese Daten zu unterschiedlichen Zwecken erhoben wurden und auch unterschiedlichen Aufbewahrungsfristen unterliegen. Während Meldescheine innerhalb eines Jahres nach Abreise des Gastes vernichtet werden müssen, sind Newslettereinwilligungen – je nach Ausgestaltung – auch darüber hinaus aufzubewahren.
Newsletter-Marketing
Erfolgt eine Datenverarbeitung auf der Grundlage einer Einwilligung (z.B. Versand von Newslettern), so muss die verantwortliche Stelle entsprechend der in Art. 7 Abs. 1 DSGVO statuierten Nachweispflicht den Nachweis erbringen, eine wirksame Einwilligung des Betroffenen eingeholt zu haben. Die DSGVO setzt zudem hohe Anforderungen an die Zulässigkeit einer Einwilligung des Betroffenen. Diese muss freiwillig, informiert und ausdrücklich erfolgen. Der Betroffene hat zudem das Recht, seine Einwilligung jederzeit zu widerrufen. Über dieses Recht muss er informiert werden. Soweit die Einwilligung elektronisch erteilt wird, ist auf eine entsprechende Protokollierung zu Nachweiszwecken zu achten. Zusätzliche Informationspflichten können sich bei Datenübermittlungen an Dritte ergeben (z.B. wenn der Newsletter durch ein anderes Unternehmen versendet wird oder Newsletter-Tools von Anbietern mit Sitz außerhalb der EU genutzt werden). Erfüllen die bisher erteilten Einwilligungen von Gästen nicht die datenschutzrechtlichen Anforderungen, so sind sie unwirksam und müssen grundsätzlich erneut eingeholt werden. Hotels ist daher anzuraten, ihre bisher erteilten Einwilligungen zu überprüfen und bei Einholung neuer Einwilligungen in besonderem Maße auf Klarheit, Verständlichkeit und Transparenz des Einwilligungstextes zu achten.
Einsatz von Kameras im Hotel
Beim Einsatz von Videoüberwachungstechniken sollte stets eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt und entsprechend dokumentiert werden. Im Rahmen dieser Prüfung werden die Interessen des Hotels an dem Einsatz von Videoüberwachung (z.B. zur Aufklärung oder Verhinderung eines Diebstahles) den den Rechten und Grundfreiheiten der Gäste und Beschäftigten gegenübergestellt. In besonders sensiblen Bereichen oder Rückzugsorten von Gästen und Beschäftigten darf eine Videoüberwachung grundsätzlich nicht zum Einsatz kommen (z.B. Toiletten, Wellnessanlagen, Restaurant). Bei der Überwachung von Außenbereichen (z.B. Parkplätzen) ist darauf zu achten, dass die Kamera keine Passanten (z.B. vom angrenzenden Bürgersteig) erfasst. Bei der Videoüberwachung am Empfang sind die schutzwürdigen Belange der Beschäftigten im besonderen Maße zu berücksichtigen, da die Kamera hier zu einem hohen Überwachungsdruck führen könnte. Die Durchführung einer Datenschutzfolgeabschätzung und die entsprechende Dokumentation obliegt in der Regel dem betrieblichen Datenschutzbeauftragten.
Speicherung von Gästedaten nach Abreise
Nach Abreise des Gastes und Begleichung aller im Zusammenhang mit dem Aufenthalt stehenden Rechnungen, gilt der Beherbergungsvertrag als erfüllt. Eine darüberhinausgehende Speicherung von Gästedaten (z.B. in Kundendatenbanken) kann nun nicht mehr mit der Durchführung des ursprünglichen Beherbergungsvertrages begründet werden. Viele Hotels möchten ihre Gästedaten jedoch langfristig in Kundendatenbanken speichern, um den Aufenthalt von wiederkehrenden Gästen unter Serviceaspekten optimieren zu können. Dieses Interesse des Hotels kann zwar grundsätzlich das Führen einer solchen Datenbank über die Aufenthaltsdauer des Gastes hinaus rechtfertigen, darf aber nicht als Freibrief für jegliche Formen der Datenverarbeitung verstanden werden. Neben der Durchführung einer Interessenabwägung sind vor Einführung einer Kundendatenbank auch die jeweils zulässigen Datenkategorien, der Kreis der zugriffsberechtigten Personen sowie gewisse Löschfristen festzulegen und zu dokumentieren.
Zudem erfreuen sich auch in der Hotellerie Treueprogramme großer Beliebtheit. Hier haben Hotels die Möglichkeit im Rahmen des Registrierungsprozesses vom Gast eine Einwilligung in die Speicherung seiner personenbezogenen Daten in eine Kundendatenbank zwecks Serviceoptimierung oder in den Empfang von Newslettern und Sonderangeboten einzuholen. Die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist jedoch nur dann rechtssicher, wenn sie verständlich und in einfacher Sprache formuliert ist und klar über Art, Umfang und Zweck der Datenverarbeitung sowie etwaige Empfänger der Daten informiert. Zudem birgt die Einwilligung das Risiko, dass sie vom Gast jederzeit widerrufen werden kann. Aus diesem Grund sollten Hotels vorab sorgfältig prüfen welche Rechtsgrundlage für den Aufbau einer Kundendatenbank einschlägig ist. Auch diese Prüfung sollte durch den betrieblichen Datenschutzbeauftragten dokumentiert werden.
Sicherheit der Verarbeitung
Durch die zunehmende Digitalisierung werden auch Hotels immer abhängiger von funktionierenden informationstechnischen Systemen. Wird die elektronische Schließanlage im Hotel durch Hackerangriffe zur Hochsaison lahmgelegt, ist der Hotelier den erpresserischen Forderungen der Hacker meistens schutzlos ausgeliefert. Art. 32 DSGVO verpflichtet jede Stelle, die personenbezogene Daten verarbeitet, Maßnahmen zur Sicherheit der Datenverarbeitung zu treffen. Um Umsatzeinbußen, empfindliche Ordnungsgelder und Schadensersatzansprüche zu verhindern, lohnt es sich, in Maßnahmen zum Schutz der eingesetzten EDV-Systeme (Keycards, Zahlungsterminals, cloudbasierte Anwendungen) zu investieren. Schulungen von Mitarbeitern, die sorgfältige Auswahl von Auftragsverarbeitern und ggf. auch eine Cybersecurity-Versicherung sichern Hotels zusätzlich für den Ernstfall ab.
Fazit
Hoteliers stehen vor keiner leichten Aufgabe: Zum einen möchten sie die individuellen Erwartungen eines jeden Gastes an den Service eines Hotels erfüllen, zum anderen muss auch den datenschutzrechtlichen Vorgaben entsprochen werden. Für die Hotellerie ist es aufgrund des täglichen Umgangs mit personenbezogenen Daten umso wichtiger, die neuen Regelungen der Datenschutz-Grundverordnung zu kennen und umzusetzen. Auch wenn nicht für alle Betriebe eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, empfiehlt es sich grundsätzlich einen solchen zu bestellen, damit dieser das Hotel bei der Umsetzung der vielfältigen neuen Regelungen auf diesem Gebiet unterstützen und bei datenschutzrechtlichen Fragestellungen schnell Klarheit schaffen kann. (Update 22.01.2019)