Titelbild für Artikel Der neue Datenschutz: Keine Panik!
TEXT Maximilian Dorndorf

Der neue Datenschutz: Keine Panik!

Kaum in Kraft, sorgt die neue Datenschutz-Grundverordnung (DSGVO) für Verunsicherung. Vor allem Meldungen, der Verstoß gegen einzelne Änderungen könne mit bis zu zwanzig Millionen Euro geahndet werden, treibt so manchem den Schweiß auf die Stirn. Rechtsanwalt Maximilian Dorndorf erklärt: Was stimmt? Was ist neu? Was gilt es zu beachten? 

07 Bild01 Checkin 03 2018 De

Maximilian Dorndorf: Vorsicht vor Sanktionen

Vorab: Hotels fallen in Bezug auf die von ihnen verarbeiteten personenbezogenen Daten unter die neuen Bestimmungen. Aber von welchen Daten sprechen wir da überhaupt?

Wie schon in der Vergangenheit geht es um jedwede Verarbeitung personenbezogener Daten, in der Regel also der Gäste, aber auch der Mitarbeiter und Geschäftspartner. Das sind neben typischen Daten wie Name, Vorname, Adresse, Geburtsdatum, Mailadresse, Kreditkarte, Aufenthaltsort und ‑dauer künftig ausdrücklich auch IP-­Adres­sen. Zur Einhaltung der rechtlichen Anforderungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) ist das Hotel als sogenannte »verantwortliche Stelle« verpflichtet.

Was sich konkret ändert

Für Hotels in Deutschland, die bislang datenschutzrechtlich gut aufgestellt sind, ändert sich inhaltlich eigentlich nicht viel. Nach wie vor gilt:

  • In der Regel ist ein betrieblicher Datenschutzbeauftragter zu bestellen, der die Einhaltung des Datenschutzes überwacht und koordiniert.
  • Jede Datenverarbeitung bedarf einer Rechtfertigung.
  • Eine Rechtfertigung kann insbesondere die Verarbeitung personenbezogener Daten zum Zwecke der Abwicklung eines Vertrags sein oder eine Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Immerhin: Die Einwilligung muss nicht schriftlich erfolgen, aber dokumentiert sein. Opt-out genügt nicht, erforderlich ist Opt-in: ein bewusstes »Ankreuzen« eines freien Feldes.
  • Der Betroffene – meistens also der Gast – kann eine erteilte Einwilligung jederzeit widerrufen und hat Anspruch auf Auskunft über die über ihn gespeicherten Daten.
  • Will die verantwortliche Stelle – das Hotel – die Datenverarbeitung durch Dritte vornehmen lassen, muss dies schriftlich vereinbart sein. 

Das sind die inhaltlichen Neuerungen

  • Ab sofort haben die Betroffenen einen Anspruch auf »Vergessenwerden«, das heißt, ein Hotel muss in der Lage sein, alle Daten zu löschen.
  • Zudem besteht Anspruch auf »Datenportabilität«, das heißt, die betroffene Person kann verlangen, dass ihr die über sie gespeicherten Daten in einem gängigen elektronischen Format wie etwa Excel übergeben werden.
  • Es gibt weitergehende Auskunftsrechte, zum Beispiel auch über Rechtsgrundlage, Speicherdauer, Übermittlung ins Ausland, sowie Beschwerderechte.
  • Systeme müssen jetzt von vornherein so gestaltet sein, dass der größtmögliche Datenschutz gewährleistet wird. Überdies müssen sie so eingestellt sein, dass per Voreinstellung die jeweils höchste Datenschutzstufe eingestellt ist (»privacy by design« und »privacy by default«).

Änderungen bei formalen Anforderungen

Die formalen Anforderungen an die Dokumentation sind enorm gestiegen. Die verantwortliche Stelle muss

  • sämtliche Datenverarbeitungsvorgänge in einem Verfahrensverzeichnis – also einer Aufstellung aller Datenverarbeitungsvorgänge im Betrieb – aufführen;
  • ihre Systeme so gestalten, dass nur rechtlich zulässige Daten verarbeitet werden und die Betroffenenrechte auf Auskunft, Widerruf, Datenportabilität und Vergessenwerden umgesetzt werden, sie muss also insbesondere ein Löschkonzept erarbeiten, eine Folgenabschätzung für bestimmte Störfälle vornehmen und bei Störfällen die Aufsichtsbehörden informieren; 
  • bei Beauftragung Dritter mit der Verarbeitung von personenbezogenen Daten eine Auftragsverarbeitungsvereinbarung schließen.

Was Hotels jetzt tun müssen

Auch im Mittelstand werden sich die Aufsichtsbehörden nach und nach von der Einhaltung der Datenschutzbestimmungen überzeugen. Wichtig ist deshalb, den sorgfältigen Umgang auch entsprechend zu dokumentieren und dabei die formalen Anforderungen einzuhalten. Ein Haus sollte also nachweisen können, dass 

  • ein Datenschutzbeauftragter bestellt und mit den entsprechenden Kompetenzen ausgestattet ist;
  • die Datenverarbeitungsprozesse im Verfahrensverzeichnis dokumentiert sind;
  • Berechtigungs- und Löschkonzepte vorliegen;
  • Betroffenenrechte umgesetzt werden können; 
  • Auftragsdatenverarbeitungen durch Vereinbarungen dokumentiert sind.

Folgen bei nicht rechtzeitiger Umsetzung

Die Schonfrist läuft am 25. Mai 2018 ab. Es ist damit zu rechnen, dass die Aufsichtsbehörden von ihren erweiterten Sanktionen auch Gebrauch machen werden – und zwar nicht nur bei den »Großen« wie Facebook und Google, sondern auch im Mittelstand. Wer nicht zeigen kann, dass er den Datenschutz ernst nimmt, muss mit Bußgeldern rechnen. Es ist zwar nicht zu erwarten, dass der Rahmen sofort ausgeschöpft wird – immerhin bis zu vier Prozent vom Umsatz oder zwanzig Millionen Euro, je nachdem, was höher ist. Allerdings sollte man die Sanktionen auch nicht auf die leichte Schulter nehmen.