FAQs zur Datenschutzgrundverordnung

Jeder Gast hat:

1. Recht auf Auskunft

Darunter ist zu verstehen, dass jeder Gast das Recht hat, Auskunft zu verlangen, welche personenbezogenen Daten verwendet werden, woher diese stammen, um welche Daten es sich handelt, an wen diese eventuell weitergegeben wurden und was mit den Daten gemacht wird.

2. Recht auf Berichtigung und Löschung

Der Gast hat jederzeit das Recht, die Berichtigung (Korrektur) oder auch die Vervollständigung seiner Daten zu verlangen. Des Weiteren hat der Gast das Recht, die Löschung seiner Daten zu verlangen, wenn der Grund, warum die Speicherung erfolgte, weggefallen ist, er seine Einwilligung für eine Speicherung widerruft (z.B. beim Newsletterversand) oder wenn die Speicherung unzulässig ist.

3. Widerspruchsrecht

Jeder Gast hat ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von personenbezogenen Daten. Der Hotelier darf dann die Daten nur noch verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die gegenüber Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht besteht bei der Datenverarbeitung zum Zweck des Direktmarketings und beim Profiling – wenn es mit der Direktwerbung zusammenhängt.

Widerspricht der Empfänger der Nutzung oder Übermittlung seiner Daten z.B. für Zwecke der Werbung, hat das Hotel durch geeignete organisatorische bzw. technische Maßnahmen sicherzustellen, dass seinem Recht entsprochen wird.

4. Recht auf Einschränkung (oder auch Sperrung)

Der Gast kann in bestimmten Fällen auch das Recht die Einschränkung der Verarbeitung seiner Daten zu verlangen, z.B. wenn das Hotel die Daten nicht mehr länger benötigt, allerdings eine Einschränkung durchgeführt werden soll, da der Gast diese Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

5. Recht auf Datenübertragbarkeit

Der Verantwortliche hat der betroffenen Person ihre personenbezogenen Daten, die der Betroffene dem Verantwortlichen bereitgestellt gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Besondere Kategorien personenbezogener Daten oder „sensible Daten“ sind gemäß Art 9 Abs 1 DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Die DSGVO sieht keine generell verpflichtende Bestellung eines Datenschutzbeauftragten vor.

Jedoch wird angeführt, dass Unternehmen deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht (z.B. Kreditauskunfteien, Banken, Versicherungen) sowie Unternehmen, welche eine besondere Kategorie von Daten verarbeiten (z.B. Krankenhausträger, Kurkliniken), einen Datenschutzbeauftragten stellen müssen. Aus dieser Formulierung ist zu schließen, dass in einem Stadthotel oder Ferienhotel kein Datenschutzbeauftragter verpflichtend zu bestellen ist. Allerdings ist in einem Kurhotel, wenn die Kerntätigkeit darin liegt, Gesundheitsdaten zu erfassen, damit eine Behandlung bestmöglich durchgeführt werden kann, die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 Abs. 1 lit. c DSGVO verpflichtend. Werden in einem Wellnesshotel Gesundheitsdaten erfasst und zählt dies zur Kerntätigkeit, dann ist ebenfalls aus der Formulierung in der DSGVO zu schließen, dass ein Datenschutzbeauftragter bestellt werden muss. Erlangt das Hotel allerdings nur hin und wieder Kenntnis über sensible Daten (z.B. Allergien), dann ist kein Datenschutzbeauftragter verpflichtend zu bestellen, es ist aber eine Einverständniserklärung des Gastes einzuholen, damit diese Daten über die Vertragserfüllung hinaus gespeichert werden dürfen.

Verpflichtend ist das Verzeichnis der Verarbeitungstätigkeiten. Hier werden alle einzelnen Verarbeitungen aufgelistet, bei welchen personenbezogene Daten verarbeitet werden. Das Verzeichnis der Verarbeitungstätigkeit ist zentraler Bestandteil der Datenschutzdokumentation.

Für bestimmte Verarbeitungen ist eine Risikobewertung durchzuführen, wenn sich Risiken hinsichtlich der Persönlichkeitsrechte von Personen ergeben. Hier ist verpflichtend vor der Einführung des Verfahrens eine Datenschutz-Folgenabschätzung durchzuführen und zu dokumentieren.

Kommt es zu einem Datenmissbrauch, ist dieser der Datenschutzbehörde und den Betroffenen mitzuteilen. Die Mitteilungen sowie die ergriffenen Abwehrmaßnahmen sind festzuhalten.

Weiters ist mit Auftragnehmern, die Daten im Auftrag verarbeiten, eine Datenschutzvereinbarung abzuschließen. Zur besseren Übersicht empfiehlt es sich, hierfür ein Verzeichnis für Auftragsverarbeitungen anzufertigen, in welchem die Auftragnehmer aufgelistet sind.

Interne Regelungen zu Datenschutz und zur IT-Sicherheit sind in Richtlinien mit Weisungscharakter festzuhalten und den Mitarbeitern zu kommunizieren. Es ist zu regeln, wie im Hotel Datenschutz und Datensicherheit integriert wurde und wie damit umzugehen ist (Stichwort – technische und organisatorische Maßnahmen).

Das Verzeichnis hat folgende Punkte zu enthalten:

• Namen und die Kontaktdaten des Verantwortlichen
  - ggf. des gemeinsam mit ihm Verantwortlichen
  - ggf. des Vertreters des Verantwortlichen in der EU
  - ggf. des Datenschutzbeauftragten beim Verantwortlichen
• die Zwecke der Verarbeitung
• die Kategorien betroffener Personen
• die Kategorien personenbezogener Daten
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
• ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
• die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung

Es ist jede einzelne Verarbeitungstätigkeit zu erfassen. Diese sollen durch fortlaufende Nummern angeführt werden. Oben angeführte Inhalte sind „Muss-Kriterien“. Das Verzeichnis kann sowohl in einem Word oder auch Excel File geführt werden. Im Hotel sind die Erhebung, Nutzung und Weitergabe von personenbezogenen Daten als Prozesse zu analysieren und in das Verzeichnis aufzunehmen. Das Verzeichnis ist zu aktualisieren, sobald es zu Veränderungen kommt.

Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Be- troffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie dient also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Von der Datenschutzbehörde wurde  eine Liste von Verarbeitungstätigkeiten erstellt, für die eine Erstellung einer DSFA gesetzlich nicht erforderlich ist. Details finden Sie dazu in der DSFA-Ausnahmeverordnung (DSFA-AV) 

Auch wurde von der Datenschutzbehörde eine Liste mit Verarbeitungsvorgänge erstellt, für die auf alle Fälle eine Datenschutz-Folgenabschätzung erforderlich ist. Mehr dazu finden Sie unter der DSFA-V.

Die DSFA-AV und DSFA-V sind keine abschließenden Aufzählungen, sondern diese führen nur Verarbeitungsvorgänge an, die jedenfalls einer oder keiner Datenschutz-Folgenabschätzung unterliegen. Sollte ein Verarbeitungsvorgang nicht durch einen der beiden Verordnungen gedeckt sein, so hat der Verantwortliche zu prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht.

Als Prüfkriterium dafür ist der Art. 35 Abs. 1 DSGVO heranzuziehen,  und zwar ist dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn: „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat“.

Die DSGVO bestimmt folgende Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Für das Betreiben einer Webseite kommen auf das Hotel Informationspflichten zu, wenn personenbezogene Daten direkt oder indirekt erhoben werden. Darunter fallen z.B. auch schon die Kontaktfelder sowie die Web Booking Engine, geht weiter über die Protokolldaten (IP-Adresse, verwendeter Browser, etc.) und die Nutzung von Trackingtools (z.B. Google Analytics, Cookies, …). Die Nutzung und ggf. Weitergabe der erhobenen Daten an Dritte ist genau und in verständlicher Form in einer Datenschutzerklärung zu beschreiben.

Genau wie das Impressum auch, sollte die Datenschutzerklärung von jeder Seite aus erkennbar und leicht erreichbar sein. Beachten Sie, dass die Datenschutzerklärung individuell auf Ihr Hotel abzustimmen ist.

Lesen Sie hier, wie Sie sich Einwilligungen zu Cookies holen können!

Verletzungen des Schutzes personenbezogener Daten (z.B. Hackerangriff, Datenverlust oder -diebstahl, unerlaubte Datenübermittlung) müssen unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die Datenschutzbehörde gemeldet werden. Eine Ausnahme besteht dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt (z.B. wenn die Daten ausreichend verschlüsselt sind).

Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt, muss der Hotelier zusätzlich auch die betroffene Person ohne unangemessene Verzögerung benachrichtigen.

Als besonders zu schützende Daten gelten die besonderen Kategorien von Daten (Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie die Verarbeitung von genetischen Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung des Betroffenen).

Aber auch bei Daten, die

• zu einem physischen, materiellen oder immateriellen Schaden,
• zur Diskriminierung,
• zu einem Identitätsdiebstahl (Diebstahl von Login-Daten),
• zu einem finanziellen Verlust (bspw. Kreditkarten- und Kontoverbindungsdaten),
• zu einer Rufschädigung oder
• zu einem Verlust der Vertraulichkeit von Berufsgeheimnissen

führen können, besteht eine Informationspflicht.

Wenn Sie die Check-in Situation nutzen möchten, um diverse Einwilligungen von Ihren Gästen zu erhalten, ist auf eine sorgsame Trennung zwischen Gästeverzeichnisblatt und freiwilligen Angaben zu achten! In der DSGVO (und ergänzenden österreichischen Vorschriften) sind explizite Einwilligungen vorgesehen, wenn Sie zum Beispiel Direktwerbung elektronisch verschicken oder Daten über den ursprünglichen Zweck hinaus speichern möchten – siehe dazu auch DSGVO & Marketing.

Der Check-in kann eine Gelegenheit sein, bei der man sich solche Einwilligungen vom Gast holt. Dabei ist folgendes zu beachten:

• Wenn Sie das Gästeverzeichnisblatt aus Ihrem Property Management System (PMS) heraus generieren oder die Meldung gänzlich elektronisch abwickeln, dann ist darauf zu achten, dass die deutschen Formulierungen genau gleich sind, wie in der gesetzlichen Vorlage und die Unterschrift unmittelbar neben den Angaben des Gastes erfolgt.
• Diese gesetzlich erforderlichen Angaben dürfen nicht mit zusätzlichen, freiwilligen Angaben vermischt werden – wir sehen immer wieder Vorlagen, wo z.B. E-Mail oder Kfz-Kennzeichen vermischt mit den Meldedaten abgefragt werden.
• Für den Gast muss ganz klar ersichtlich sein, welche Angaben er machen muss, weil es auf Grund österreichischer Gesetze zwingend erforderlich ist, und welche Angaben freiwillig sind.
  Zusätzlich zur deutlichen inhaltlichen Trennung müssen Gästeverzeichnisblatt und sonstige Angaben/Einwilligungen auch getrennt voneinander aufbewahrt werden – das Gästeverzeichnisblatt mind. 7 Jahre, die Einwilligungserklärung so lange bis der Gast der Verarbeitung widerspricht oder der ursprüngliche Zweck nicht mehr verfolgt wird. Das kann kürzer sein, aber auch über die 7 Jahre hinausgehen.
• Achten Sie darauf, dass Sie Einwilligungen so verfassen und ablegen, dass sie eindeutig zuordenbar sind (z.B. auch nachdem man Gästeverzeichnisblatt und Einwilligung voneinander getrennt hat) und auch nach einem längeren Zeitraum von (vielleicht dann anderen) Mitarbeitern einfach gefunden werden können. Das Hotel als Verantwortlichen trifft hier eine Nachweispflicht!

So können Sie jemanden, der auf einem Bild sein wird/könnte, um seine Einwilligung bitten, dass dieses Bild gemacht und für konkret definierte Zwecke verwendet werden darf.

Einwilligung Bildaufnahme

€Ja, ich bin damit einverstanden, dass [für den Zweck xy/im Rahmen meines Aufenthaltes/im Rahmen der Veranstaltung xy] Fotos von mir gemacht werden, die [vom Hotel xy] für folgende Zwecke verwendet werden dürfen: [Website xy, Facebook-Seite xy (alle beabsichtigten Zwecke anführen!)]

Meine Einwilligung kann ich für die Zukunft jederzeit und ohne Angabe von Gründen (i) per E-Mail an________ oder (ii) telefonisch bei _________ unter +43 (0)_________ widerrufen. Bereits veröffentlichte Bilder können nicht mehr widerrufen werden.

Name: _____________________________________________________________

___________________________________________________________________

Ort, Datum                                             Unterschrift (Bei Personen unter 14 J. vom Erziehungsberechtigten

Wenn die rechtliche Grundlage für die Verarbeitung von Daten wegfällt (z.B. Beherbergungsvertrag ist erfüllt), sind personenbezogene Daten zu löschen. Außer, es gibt eine gesetzliche Aufbewahrungsfrist, die zu beachten ist (z.B. nach Meldegesetz oder BAO). Um daher für den zukünftigen Aufenthalt empfiehlt es sich, eine entsprechende Einwilligung einzuholen. Das gilt insbesonders, um die Gesundheitsdaten eines Gastes im Hotelreservierungssystem speichern zu können.

Formulierungsvorschlag (bitte entsprechend anpassen!):

€Ich erkläre mich damit einverstanden, dass [Hotel – Firmenname und Sitz] folgende Zusatzdaten für die jeweils angegebenen Zwecke erhebt und verarbeitet (Zutreffendes bitte ankreuzen und ergänzen):

• Allergien/Lebensmittelunverträglichkeiten (z.B. Laktose- oder Glutenunverträglichkeit) und besondere Ernährungswünsche (z.B. koscher, halal, vegan): _________________ Diese Information wird im Rahmen zukünftiger Buchungen bei der Menüauswahl berücksichtigt.
• Geburtstag: _________, Hochzeitstag: _________, andere Festtage (samt Erläuterung): _________________. Diese Daten werden erhoben, um Ihnen rund um diese Termine Sonderangebote zukommen zu lassen.
• Besondere Gesundheitsinformationen (z.B. körperliche Einschränkungen, Latex-Allergie): _________________. Diese Daten werden erhoben, um bei Bedarf entsprechende Vorkehrungen für Ihren Aufenthalt treffen zu können (z.B. spezielle Bettwäsche) [und Ihnen entsprechende Wellness-Behandlungen anzubieten].
• Sonstige Präferenzen, die wir speichern und im Rahmen zukünftiger Buchungen erneut berücksichtigen sollen: _________________.

Diese Einwilligung kann ich jederzeit und ohne Angabe von Gründen (i) per E-Mail an [E-mail] oder (ii) telefonisch bei [Kontakt] unter [Nummer] widerrufen. Die jeweiligen Daten werden in diesem Fall für den angegebenen Verwendungszweck gelöscht.

Achtung:

Sobald Sie personenbezogene Daten verarbeiten, haben Sie Informationspflichten gegenüber den Betroffenen.

Werden Daten direkt beim Betroffenen erhoben (z.B. bei der Buchung über die hoteleigene Website), so sind die Informationen zum Zeitpunkt der ersten Erhebung präzise, transparent und verständlich zu erteilen. Ein Betroffener ist jeder, vom dem Sie personenbezogene Daten verarbeiten (Gast, potentieller Gast, Mitarbeiter, Lieferant, Geschäftspartner etc.). Werden Daten nicht direkt beim Betroffenen erhoben (z.B. Daten kommen über eine Buchungsplattform), so ist der Informationspflicht binnen einer angemessenen Frist nachzukommen (max. ein Monat bzw. zwingend bei der ersten Kontaktaufnahme).

Über Folgendes ist zu informieren:

• Name und Kontaktdaten des Datenschutzbeauftragten/-Koordinators
• Verarbeitungszwecke (z.B. für die Zimmerreservierung) und Rechtsgrundlage (z.B. Beherbergungsvertrag) der Verarbeitung
• ggf. Empfänger, Information, falls die Absicht besteht, die Daten an ein Drittland zu übermitteln
• Speicherdauer
• Betroffenenrechte
• Möglichkeit des Widerrufs
• Beschwerdemöglichkeit bei der Aufsichtsbehörde
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
• ggf. Hinweis auf Logik und Auswirkungen einer automationsunterstützten Entscheidungsfindung und eine Information bei geplanten weiteren Verwendungszwecken
• Wenn die Daten nicht direkt erhoben wurden, ist auch anzuführen, woher man die Daten hat.

Tipp:

Verfassen Sie die Datenschutzerklärung auf Ihrer Website so, dass sie nicht nur für die Website, sondern für die Datenverarbeitung bei Ihnen im Haus generell (egal, wer der Betroffene ist) gilt und auch obige Informationspflichten abdeckt. Dann können Sie Ihrer Informationspflicht gegenüber Betroffenen mittels Link auf die Datenschutzerklärung nachkommen (z.B. in der Autosignatur Ihrer Mails).

Von einer Datenverarbeitung im Auftrag spricht man, wenn ein Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (z.B. Hotelier) Daten auf Grundlage eines Vertrages verarbeitet – z.B. um Werbebriefe zu drucken und zu versenden oder um die Lohnverrechnung durchzuführen. Mit den Auftragnehmern sind Vereinbarungen über eine Auftragsverarbeitung nach Art 28 DSGVO zu schließen.

Tipp:

Kontaktieren Sie Ihren Auftragsdatenverarbeiter und fragen Sie, ob er eine Standardvereinbarung hat. Falls Sie selbst eine formulieren, hilft Ihnen vielleicht das Muster der WKO.

Wir sprechen auch von einer Datenverarbeitung im Auftrag, wenn Sie Software-Applikationen, insbesondere webbasierte Tools, nutzen. Sobald bereits personenbezogene Daten (z.B. IP-Adressen) auf Servern von Dienstleistern gespeichert werden und der Dienstleister im Rahmen von Supportarbeiten Zugriff auf die in der Datenbank gespeicherten Daten haben kann, spricht der Gesetzgeber von einer Auftragsverarbeitung. Auch bei Hosting und Fernwartung ist zu prüfen, ob der Dienstleister eventuell auf die Daten zugreifen kann.

Wenn ein Systemanbieter allein die Möglichkeit hat, personenbezogene Daten beim Support, beim Back-up oder auch bei der Löschung/Datenvernichtung zu sehen (Kenntnisnahme), gilt das Vertragsverhältnis ebenfalls der Datenverarbeitung im Auftrag.

Im ÖHV-Leitfaden „Datenschutz in der Hotellerie“ finden Sie weiterführende Informationen zum Thema Datenverarbeitung im Auftrag (ab S. 62) sowie Beispiele für mögliche Auftragsdatenverarbeiter (S. 82).