Umsetzung der DSGVO

Klar ist schon mal: schuld ist immer der Chef! Aber wer kümmert sich um die Umsetzung des Themas Datenschutz im Betrieb? Zuerst ist abzuklären, ob man einen Datenschutzbeauftragten braucht. Wenn man nicht gerade ein Kur-/Gesundheitshotel ist, wird das meist zu verneinen sein. Dann sollte man die zuständige Person aber auch tunlichst nicht so nennen, weil mit dieser Position auch verschiedene Rechte verbunden sind. Da der Datenschutzkoordinator überwachen soll, ob z.B. die IT- oder die Personalabteilung DSGVO-konform mit personenbezogenen Daten umgehen, kann sich ein Interessenskonflikt ergeben, wenn beides in Personalunion ausgeübt wird. Natürlich kann die Aufgabe auch ausgelagert werden.

Werden Daten direkt beim Betroffenen erhoben (z.B. Buchung über die hoteleigene Website) so sind die Informationen zum Zeitpunkt der Erhebung präzise, transparent und verständlich zu erteilen. Ein Betroffener ist jeder, vom dem Sie personenbezogene Daten verarbeiten (Gast, potentieller Gast, Mitarbeiter, Lieferant, Geschäftspartner etc.). Werden Daten nicht direkt beim Betroffenen erhoben (z.B. Mitarbeiter bucht für Chefin), so ist binnen einer angemessenen Frist (max. 1 Monat bzw. zwingend bei der ersten Kontaktaufnahme) über Folgendes zu informieren:

• Name und Kontaktdaten des Datenschutzbeauftragten/-Koordinators
• ggf. Empfänger, Information falls die Absicht besteht, die Daten an ein Drittland zu übermitteln
• Speicherdauer
• Betroffenenrechte
• Möglichkeit des Widerrufs
• Beschwerdemöglichkeit bei der Aufsichtsbehörde
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
• ggf. Hinweis auf Logik und Auswirkungen einer automationsunterstützten Entscheidungsfindung und eine Information bei geplanten weiteren Verwendungszwecken
• Wenn die Daten nicht direkt erhoben wurden ist auch anzuführen, woher man die Daten hat.

Die Informationspflichten können im Rahmen einer sog. Datenschutzerklärung, die auf der Website von jeder Subseite aus direkt angeklickt werden kann und auf die man z.B. beim Angebot per Mail verlinkt, zusammengefasst werden. Am Ende des ÖHV-Leitfadens finden Sie eine Checkliste, die bei der Erstellung der Datenschutzerklärung hilfreich ist und die WKO hat ein Muster erstellt. (Wichtig: die Datenschutzerklärung ist immer individuell anzupassen!).

Es kann davon ausgegangen werden, dass jedes Hotel ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen hat, in dem alle Prozesse, im Rahmen derer personenbezogen Daten verarbeitet werden (z.B. Anfrage, Buchung, Newsletter, Bewerbungen, Mitarbeiterverwaltung etc.) abgebildet werden. Eine einfache Tabellenform findet sich im Anhang des Leitfadens, die WKO bietet ein ausführlicheres Muster an.

Grundsätzlich ist jegliche Verarbeitung personenbezogener Daten verboten.

Ausnahmen:

• Erfüllung einer gesetzlichen Bestimmung (z.B. Meldegesetz beim Gästeverzeichnisblatt)
• Erfüllung eines Vertrages (z.B. Beherbergungsvertrag) oder vorvertragliche Maßnahme (z.B. Anfrage/Angebot)
• Einwilligung (z.B. Anmeldung zum Newsletter)
• Berechtigtes Interesse des Verantwortlichen oder eines Dritten überwiegt, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person den Schutz personenbezogener Daten erfordern. Beispiel: Eine Videoüberwachung kann im überwiegenden Interesse des Hoteliers sein um sein Eigentum zu schützen, ist aber in Umkleideräumen oder Saunen verboten, weil hier wiederum der Schutz der Privatsphäre von Personen überwiegt.

Wenn jemand personenbezogene Daten in Ihrem Auftrag verarbeitet (z.B. Fernwartung Hotelsoftware, Online Reservierungssystem, externe Lohnbuchhaltung, Newsletter-Versand etc. – siehe Checkliste im Leitfaden), so müssen Sie überprüfen, ob dieser Datenverarbeiter eine DSGVO-konforme Abwicklung gewährleisten kann. Mit diesen ist eine Vereinbarung über die Auftragsverarbeitung abzuschließen. Zu empfehlen ist, dass Sie zur besseren Übersicht eine Aufstellung (Liste) über all Ihre Auftragsverarbeiter führen. Die WKO bietet hier ein Muster für Datenschutzvereinbarungen an.

Eine Datenschutzrichtlinie umfasst die zentralen Regeln zum Datenschutz in Ihrem Haus und soll Ihren Mitarbeitern ermöglichen, die mit den Datenverarbeitungssystemen verbundenen Risiken zu erkennen und damit umzugehen.

Datenverarbeitungssysteme und IT (z.B. Netzwerk, Server, mobile Endgeräte, Stand-PCs etc.) gehören zur unternehmenskritischen Infrastruktur. In der IT-Sicherheitsrichtlinie wird zusammengefasst, wie der sichere und sachgemäße Umgang mit dieser Infrastruktur geregelt ist, damit Schaden möglichst vermieden werden kann. Im Leitfaden finden sich Anhaltspunkte für beide Richtlinien.

Definieren Sie ein Notfall-Prozedere BEVOR es soweit kommt. Wird der Schutz personenbezogener Daten verletzt (z.B. Datendiebstahl, Hackerangriff etc.), so muss das unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die Datenschutzbehörde gemeldet werden. Ausnahme: Wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt (weil z.B. die Daten verschlüsselt sind).

Besteht die Wahrscheinlichkeit, dass es durch die Datenschutzpanne zu einem hohen Risiko für die persönlichen Rechte und Freiheiten des Betroffenen kommen kann (z.B. materieller oder immaterieller Schaden, Identitätsdiebstahl etc.), muss der Hotelier auch die betroffenen Personen ohne unangemessene Verzögerung benachrichtigen. Auch hier hat die WKO Muster erarbeitet – einerseits für die Meldung an die Datenschutzbehörde, andererseits für die Meldung an Betroffene.

Als Verantwortlicher haben Sie technische und organisatorische Maßnahmen zu treffen, um die Anforderungen der DSGVO zu erfüllen ("privacy by design"). Kosten und Aufwand müssen im angemessenen Verhältnis zum Schutzziel stehen.

Weiters sind auch die Voreinstellungen in Programmen so zu wählen, dass nur jene Daten verwendet werden, die für den jeweiligen Zweck notwendig sind und dass personenbezogene Daten nur den Personen zugängig gemacht werden, die diese für eine Verarbeitung benötigen ("privacy by default").

Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Be- troffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie dient also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Von der Datenschutzbehörde wurde  eine Liste von Verarbeitungstätigkeiten erstellt, für die eine Erstellung einer DSFA gesetzlich nicht erforderlich ist. Details finden Sie dazu in der DSFA-Ausnahmeverordnung (DSFA-AV) 

Auch wurde von der Datenschutzbehörde eine Liste mit Verarbeitungsvorgänge erstellt, für die auf alle Fälle eine Datenschutz-Folgenabschätzung erforderlich ist. Mehr dazu finden Sie unter der DSFA-V.

Die DSFA-AV und DSFA-V sind keine abschließenden Aufzählungen, sondern diese führen nur Verarbeitungsvorgänge an, die jedenfalls einer oder keiner Datenschutz-Folgenabschätzung unterliegen. Sollte ein Verarbeitungsvorgang nicht durch einen der beiden Verordnungen gedeckt sein, so hat der Verantwortliche zu prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht.

Als Prüfkriterium dafür ist der Art. 35 Abs. 1 DSGVO heranzuziehen,  und zwar ist dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn: „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat“.

Die DSGVO bestimmt folgende  Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll. 

Mitarbeiter können gewollt oder ungewollt der größte Risikofaktor und die größte Bedrohung für den Schutz personenbezogener Daten sein. Es ist wichtig, Ihr Team hinsichtlich Datenschutz zu sensibilisieren und über die Erfordernisse der DSGVO zu informieren, regelmäßig zu schulen und diese Schulungen auch zu dokumentieren.