Die Besonderheit der DSGVO liegt insbesondere darin,
dass die Verantwortung zur Umsetzung und Einhaltung der Regeln der DSGVO
imGanzen auf die betroffenen Betriebe ausgelagert werden – diese müssen aus eigenem
sämtliche Datenschutz-Maßnahmen bezüglich der Daten von natürlichen Personen
treffen. Besonders strenge Vorschriften sieht die DSGVO für besondere Kategorien
personenbezogener Daten „sensible Daten“, deren Masse in die Privatsphäre
reichende Daten vor.
Um die notwendigen Maßnahmen treffen zu können, ist in einem ersten Schritt die
Erhebung über den Status der derzeitigen Datenverarbeitungen erforderlich. Zu
erheben ist im Wesentlichen wie folgt:
-
Welche Daten werden verarbeitet?
-
Wie werden diese Daten gesammelt?
-
Wie und wie lange werden diese Daten aufbewahrt?
-
Wohin und an wen werden diese Daten weitergegeben?
-
Aufgrund welcher Rechtsgrundlage erfolgen all diese Verarbeitungsschritte
(ausdrückliche gesetzliche Ermächtigung/Auftrag; Erforderlichkeit zur
Vertragserfüllung; Einwilligung der Betroffenen …)?
In der Hotellerie fallen in besonderem Maße
personenbezogene Daten an, insbesondere von Gästen, Mitarbeiter und
Geschäftspartnern. Nachstehende Checkliste soll ihnen für die Erhebung Ihres
DSGVO - Status Quo einen ersten Anhaltspunkt geben:
Datenquelle
Gästedaten:
-
Welche Daten werden zu welchem Zeitpunkt erfasst? Bei der Buchung, beim
Check-in, Online-Formulare, Hinterlegen der Cookies (Cookie-Erklärungen),
Datenschutzerklärungen, Treuepunkte/Datenaustausch (weltweiter
Datenaustausch? Zustimmungen dazu?).
-
Sensible Gesundheitsdaten: Diabetes, Allergien, besondere Vorlieben,
Raucher…
-
Wo werden die Daten gespeichert und wie lange?
-
Zweck der Datensammlung muss definiert werden
-
Daten von Minderjährigen (werden welche erhoben, gibt es
Zustimmungserklärungen und von wem)?
-
Bonitätsprüfung; Bankverbindungen; Kreditkartendaten
-
Datenverarbeitung im Zusammenhang mit Zusatzleistungen (z. B.
Limousinen-Service, Wellness, Concierge-Service)
-
Rechnungsdaten der Kunden
-
Zimmerkarten mit Zahlungsfunktion
-
Erstellen und verfeinern sie Profile ihrer Gaste („Profiling“)
Datenquelle Mitarbeiterdaten
-
Daten aus dem Personalakt: Gesundheitsdaten, Bewerbungsunterlagen (diese
dürfen nur bestimmte Zeit aufbewahrt werden)
-
Persönliche Daten, Familie (Herkunft, Religion), Kinder, Finanzdaten
(Konto, Versicherung)
Daten von und an
Lieferanten/Dienstleister
-
z. B. Putzkräfte: welche Daten werden gesammelt und wie erfasst/eventuell
Weitergegeben?
-
Lagern sie gewisse Tätigkeiten an Drittunternehmen aus, an die sie dafür
Mitarbeiter- oder Gästedaten übermitteln
-
(z. B.: externe Lohnbuchhaltung)?