Für die Eigentümer und Betreiber von Hotellerie- und Gastronomiebetrieben stellen sich seit Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) viele Fragen zum fachgerechten Datenschutz. Die nachfolgenden sieben Punkte geben eine Orientierungshilfe für Gastronomiebetriebe.
Das Wichtigste in Kürze
- Die DSGVO legt Gastgewerben verschiedene Dokumentations- und Informationspflichten auf und stärkt die Rechte der Betroffenen.
- Eine der Anforderungen der DSGVO ist die Benennung eines Datenschutzbeauftragten (DSB). Doch nicht jede Gaststätte und nicht jedes Hotel ist automatisch von dieser Pflicht betroffen.
- Wenn Ihr Hotel oder Restaurant die Reservierungsdaten eines Gastes aus einem Buchungsportal übernimmt, muss es ihn über die Verarbeitung seiner Daten informieren.
- Als Gastgeber führt kein Weg daran vorbei, die Allergien und Unverträglichkeiten von Gästen zu speichern: am besten über ein Formular mit Einwilligungserklärung beim Check-in.
- Der Einsatz von Videoüberwachung in Gaststätten und Hotels ist datenschutzrechtlich heikel und nur in Einzelfällen zulässig.
- Die Betroffenenrechte nach DSGVO geben Ihren Gästen das Recht zu erfahren, welche Daten über sie verarbeitet bzw. gespeichert werden und für wie lange.
- Bußgelder im Gastgewerbe bewegten sich bisher eher im unteren Bereich. Der beste Weg zur Vermeidung ist ein DSGVO-konformes Verhalten.
In diesem Beitrag
- Grundlegendes zur DSGVO im Gastgewerbe
- Die Pflicht zur Benennung eines Datenschutzbeauftragten für Unternehmen im Gastgewerbe
- Zusammenarbeit mit Reservierungs- & Buchungsportalen
- Speicherung der Allergien von Gästen
- Videoüberwachung von Mitarbeitern und Gästen in Gaststätten und Hotels
- Informationspflichen und Betroffenenrechte
- Bußgelder und Haftung im Gastgewerbe
- Fazit
#1 Grundlegendes zur DSGVO im Gastgewerbe
Der Grundgedanke der DSGVO besteht darin, Menschen die Kontrolle über ihre personenbezogenen Daten (wie Name, E-Mail-Adresse, Allergien) zurückzugeben. Auch im Gastgewerbe müssen die Vorgänge der Datenerhebung, -verarbeitung, -nutzung, -speicherung und -weitergabe in den engen Grenzen der Vorgaben der DSGVO erfolgen.
Für die Erhebung und Verarbeitung personenbezogener Daten gibt es verschiedene mögliche Rechtsgrundlagen (kursiv diejenigen, die im normalen Geschäftsalltag eines Gastgewerbes von Bedeutung sind):
- Einwilligung der Betroffenen
- Erfüllung eines Vertrages
- Erfüllung einer rechtlichen Verpflichtung
- Erforderlichkeit, um lebenswichtige Interessen zu schützen
- Erforderlichkeit zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
- Erforderlichkeit zur Wahrnehmung berechtigter Interessen mit Interessenabwägung
Die DSGVO legt den Verantwortlichen verschiedene Dokumentations- und Informationspflichten auf und stärkt die Rechte der Betroffenen.
#2 Pflicht zur Benennung eines Datenschutzbeauftragten für Unternehmen im Gastgewerbe
Eine der Anforderungen der DSGVO ist die Benennung eines Datenschutzbeauftragten (DSB). Aber nicht jede Gaststätte und nicht jedes Hotel ist automatisch von dieser Pflicht betroffen.
Wenn in einem Betrieb mindestens 20 Personen damit betraut sind, personenbezogene Daten wie Namen, Adressen und dergleichen zu erheben und zu nutzen, dann muss Datenschutzbeauftragter bestellt werden. Zu den mind. 20 Personen zählen die Mitarbeiter, die im Unternehmen automatisiert Daten verarbeiten – also auf PCs, Tablets, Smartphones oder dem elektronischen Kassensystem.
Nehmen beispielsweise Mitarbeitende Buchungen oder Reservierung an und verarbeiten diese elektronisch, dann zählen sie dazu. Es reicht sogar schon, wenn eine Kellnerin die elektronischen Buchungsplattform einsieht.
Wichtig: Nach wie vor müssen alle Unternehmen die Anforderungen der DSGVO erfüllen, auch bei weniger als 20 Mitarbeitenden. Lediglich die Bestellpflicht für einen Datenschutzbeauftragten entfällt. Eine freiwillige Benennung eines Datenschutzbeauftragten ist jedoch immer möglich.
Für Restaurants, Hotels und Gaststätten lohnt sich oft kein in Vollzeit beschäftigter DSB. Trotzdem braucht es branchenbezogene Expertise zur richtigen Interpretation der Datenschutzanforderungen. Unser Tipp: ein externer DSB, der bedarfsgerecht unterstützen kann. |
#3 Zusammenarbeit mit Reservierungs- & Buchungsportalen
Buchungsportale haben sich in den letzten Jahren zu den wichtigsten Vertriebskanälen für die Gastronomiebranche entwickelt. Die reine Übernahme von Buchungen aus den Reservierungsportalen ist datenschutzrechtlich relativ unproblematisch, weil dies in Erfüllung eines Vermittlungsvertrages zwischen Portal und Gast erfolgt.
Wenn Ihr Hotel oder Restaurant die Reservierungsdaten des Gastes übernimmt, muss es ihn über die Verarbeitung seiner Daten informieren.
Dazu gehört eine Mitteilung über…
- die erhobenen Daten,
- woher sie stammen,
- zu welchem Zweck dies passiert (normalerweise um das Zimmer oder den Tisch zu reservieren)
- und wie lange die Daten aufbewahrt werden.
Diese Informationen können zusammen mit der Eingangsbestätigung der Buchung versendet werden. Soll der Gast in die eigene Kundendatenbank aufgenommen werden, um ihn z. B. über Neuigkeiten zu informieren, ist hierfür dessen explizite, freiwillige und von der Reservierung getrennte Einwilligung notwendig.
Mit der Speicherung von Gästedaten für Werbezwecke betreten Sie ein datenschutzrechtlich komplexeres Feld. Gerade hier sollten Sie also mit Ihrem DSB Rücksprache halten, um nicht versehentlich gegen die DSGVO zu verstoßen und ein Bußgeld zu riskieren.
#4 Speicherung der Allergien von Gästen
Als Gastgeber führt kein Weg daran vorbei, sich die Allergien und Unverträglichkeiten seiner Gäste zu merken. Ob im Restaurant oder bei der Wellnessbehandlung: Falsche Inhaltsstoffe führen bisweilen zu Streit, Komplikationen oder gar medizinischen Notfällen.
Sie haben es vielleicht schon geahnt: Auch beim Thema Allergien spielt der Datenschutz eine große Rolle. Allergien, Unverträglichkeiten und dergleichen sind nämlich Gesundheitsdaten, an deren Verarbeitung besondere Maßstäbe gelegt werden.
Das kann beispielsweise bedeuten, dass deren Erhebung, Speicherung oder andere Arten der Datenverarbeitung nur mit der expliziten Einwilligung der Person erfolgen dürfen.
Trotzdem ist es möglich, die Regelungen praxisnah umzusetzen:
- Vorbereitete Einwilligungsformulare können die Erfassung von Angaben zu Allergien und Unverträglichkeiten einfach abdecken.
- Wird die Einwilligung gleich beim ersten Check-in aufgenommen, gilt sie auch für die nahe Zukunft.
- Elektronische Tisch-Reservierungssysteme geben diese Daten gleich mit.
Sollen die Gesundheitsdaten über den Aufenthalt des Gastes hinaus gespeichert werden, sind weitere Vorgaben zu beachten. Hier kann Ihr Datenschutzbeauftragter unterstützen.
#5 Videoüberwachung von Mitarbeitern und Gästen in Gaststätten und Hotels
Der Einsatz von Videoüberwachung in Gaststätten und Hotels ist datenschutzrechtlich heikel und nur nach einer am Einzelfall orientierten Interessensabwägung zulässig. Nach Ansicht der Datenschutzbehörden kann eine Überwachung von Gaststätten oder Hotels das Persönlichkeitsrecht der Mitarbeiter und der Gäste verletzen.
Da die Datenschutzbehörden aufgrund von unzulässigen Videoüberwachungen besonders häufig Geldbußen verhängen, sollte bei der Ausgestaltung der Videoüberwachung der Datenschutzbeauftrage beigezogen werden.
#6 Informationspflichen und Betroffenenrechte
Die Betroffenenrechte nach der DSGVO bringen für Gäste und Mitarbeitende mehr Transparenz und informelle Selbstbestimmung – sind also wirklich zu begrüßen.
Für datenverarbeitende Unternehmen bedeuten sie allerdings zusätzliche Verpflichtungen und Aufwand. Die Betroffenenrechte geben den betroffenen Personen Ansprüche darauf, zu erfahren, welche Daten über sie verarbeitet bzw. gespeichert werden und für wie lange.
Zudem können sie eine Berichtigung, Löschung oder Einschränkung der Bearbeitung ihrer Daten verlangen. Ebenfalls hinzugekommen ist das Recht auf Datenübertragbarkeit bei besonderen Formen der Datenverarbeitung.
So gehen Sie richtig mit Betroffenenanfragen um.
#7 Bußgelder und Haftung im Gastgewerbe
Die DSGVO ist kein zahnloser Tiger: Bußgeldern und anderen Sanktionen sind reale Risiken und Unternehmen müssen bei bestimmten Datenschutzverstößen mit hohen Strafen rechnen. Für besonders gravierende Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
Die Spanne der bereits verhängten Datenschutzbußgelder ist groß: Sie reicht von 47 Euro in Polen für einen Gerichtsvollzieher, der seine Sorgfaltspflicht verletzt hatte, bis hin zu 183 Millionen Euro im Vereinigten Königreich für British Airways wegen einer Datenpanne.
Bußgelder im Gastgewerbe bewegten sich bisher eher im unteren Bereich. Ein Restaurant im Saarland musste zum Beispiel 2.000€ für die unzulässige Videoüberwachung von Gästen zahlen. Der beste Weg zur Vermeidung von unnötigen Bußgeldern ist letztendlich, den Behörden durch DSGVO-konformes Verhalten erst gar keinen Grund hierfür zu geben.
Fazit
Im Gastgewerbe gehört der Kundenkontakt zum Tagesgeschäft. Und damit einher geht die Verarbeitung personenbezogener Daten. Damit Ihre Gäste und Mitarbeiter darauf vertrauen können, dass in Ihrem Betrieb Wert auf den Schutz dieser Daten gelegt wird, sollten Sie mit den richtigen Experten zur Umsetzung der DSGVO zusammenarbeiten.
Als externer Datenschutzbeauftragter begleitet DataGuard kleine und mittelständische Unternehmen bei der Umsetzung der DSGVO. Buchen Sie Ihr kostenloses Erstgespräch und lernen Sie unser Team aus Branchenexperten persönlich kennen.