DSGVO im Hotel – die 5 größten Irrtümer

Beim Inkrafttreten der DSGVO im Mai vergangenen Jahres sind vor allem kleine und mittelständische Hotels und Gastronomie-Betriebe nervös geworden. Ein Grund dafür war sicherlich auch die häufig nicht ganz korrekte Berichterstattungen, die zum Teil haarsträubende Behauptungen aufstellten. Dieser Beitrag räumt mit den größten DSGVO-Irrtümern auf.

DSGVO-Irrtum Nr. 1: Für die Verarbeitung personenbezogener Daten brauchen Hotels jetzt immer eine Einwilligung

Als der 25. Mai 2018 immer näher rückte wurde die Flut der Einwilligungserklärungen, die verschickt wurden, immer größer. Und auch heute noch läuft man ihnen immer mal wieder über den Weg. Dabei braucht ein Hotel zur Datenverarbeitung keineswegs eine Einwilligung, sofern sich diese auf eine Rechtsgrundlage stützt. Tatsächlich gibt es derer insgesamt sechs. In den allermeisten Fällen werden Hotels personenbezogene Daten verarbeiten, weil dies zur Erfüllung eines Vertrags erforderlich ist. Eine weitere Rechtsgrundlage, bspw. für die Datenverarbeitung auf der Hotelwebsite, kann ein sog. berechtigtes Interesse sein.

Viele Einwilligungen sind somit schlicht unnötig. Noch schlimmer: eine Einwilligung ist sogar die denkbar schlechteste Rechtsgrundlage für die Verarbeitung personenbezogener Daten, denn sie kann jederzeit widerrufen werden.

Hotels sollten, bevor sie beim Gast eine Einwilligung einholen, genau prüfen, ob es für die Datenverarbeitung nicht eine andere Rechtsgrundlage gibt. In den meisten Fällen werden Hotels ohne Einwilligung auskommen.

DSGVO-Irrtum Nr. 2: Wenn im Hotel weniger als zehn Mitarbeiter personenbezogene Daten verarbeiten brauchen wir uns nicht an die Regelungen der DSGVO zu halten.

Diese Annahme ist schlichtweg falsch. Richtig ist, dass für Hotels, in denen weniger als „zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“ keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Was leider dabei immer wieder vergessen wird ist der Umstand, dass auch ohne Benennung eines Datenschutzbeauftragten alle weiteren Datenschutzvorschriften der DSGVO und des BDSG n.F. zu befolgen sind. Datenschutzvorschriften gelten für alle Unternehmen gleichermaßen. Ob das Unternehmen nun einen Datenschutzbeauftragten benannt hat oder nicht spielt hierbei keine Rolle.

Sobald personenbezogene Daten – also „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs. 1 DSGVO) – in einem Unternehmen verarbeitet werden, gelten für dieses Unternehmen sowohl die Vorschriften gem. DSGVO als auch – bei Sitz in Deutschland – gem. BDSG n.F.

Hotels verarbeiten Tag für Tag personenbezogene Daten. Die ihrer Gäste und die ihrer Mitarbeiter.

Gerade als Hotel ohne Datenschutzbeauftragten tun Sie also gut daran, sich externe Unterstützung zu nehmen. Auch Sie kann eine Kontrolle durch die zuständige Landesbehörde für Datenschutz treffen. Auch Sie kann jederzeit eine Datenpanne ereilen, zu deren Meldung Sie gem. Art. 33 DSGVO verpflichtet sind – und zwar binnen 72 Stunden.

DSGVO-Irrtum Nr. 3: Wenn unser Hotel gegen die DSGVO verstößt, kostet uns das 20 Millionen Euro.

Die Androhung der mit der DSGVO um einiges angestiegenen Bußgelder hat nicht wenige Unternehmen aufgeschreckt. Was gut ist, denn so haben sich einige mehr Unternehmen (endlich) mit dem Datenschutz effektiv beschäftigt. Doch Hotels dürften von Bußgeldern in Millionenhöhe nicht betroffen werden.

Dennoch: erste Bußgelder im oberen fünfstelligen Bereich wurden bereits verhängt. Ein Hotel beispielsweise wurde sanktioniert, da es unzureichende technische und organisatorische Maßnahmen (TOM) getroffen hatte und so nicht ausgeschlossen werden konnte, dass im Falle eines erpresserischen Hackerangriffs sensible personenbezogene Daten wie beispielsweise Kreditkarten- und/oder Kundendaten aus dem Buchungssystem hätten offenbart werden können.

DSGVO-Irrtum Nr. 4: Seit der DSGVO dürfen wir für unser Hotel ohne Einwilligung keine Werbung mehr machen

Auch diese Annahme ist falsch. Hotels dürfen durchaus auch weiterhin Werbung machen. Per Brief zum Beispiel ist Werbung für das eigen Hotel ohnehin erlaubt. Das war vor Inkrafttreten der DSGVO so und hat sich seitdem auch nicht geändert.

Hotels, die telefonische Werbung betreiben möchten, benötigen hierfür im B2C-Bereich eine Einwilligung. Das war allerdings auch bereits vor der DSGVO so. Im B2B-Bereich, also wenn das Hotel andere Unternehmen anspricht, kann man im Einzelfall von einer „mutmaßlichen“ Einwilligung ausgehen. Der BGH entschied hierzu:

„Bei der Beurteilung der Frage, ob der Anrufer von einer mutmaßlichen Einwilligung des anzurufenden Gewerbetreibenden ausgehen konnte, ist auf die Umstände vor dem Anruf sowie auf die Art und den Inhalt der Werbung abzustellen. Maßgeblich ist, ob der Werbende bei verständiger Würdigung der Umstände annehmen durfte, der Anzurufende erwarte einen solchen Anruf oder werde ihm jedenfalls positiv gegenüberstehen.“

(GRUR 2010, 939, Rn. 21)

Darüber hinaus fordert der BGH, dass

„aufgrund konkreter tatsächlicher Anhaltspunkte ein sachliches Interesse des Anzurufenden vermutet werden“

(BGH Urteil vom 25.01.2001 – I ZR 53/99, Rn. 17)

kann.

Auch wenn ein Hotel Werbung per E-Mail versenden möchte, benötigt es die Einwilligung der Empfänger.

Fazit: Hotels können sehr wohl Werbung für Ihre Dienstleistungen machen. Ob eine Einwilligung benötigt wird oder nicht, hängt stets von der Form ab und regelt sich nicht in erster Linie durch die DSGVO sondern ist vielmehr durch andere Gesetz geregelt.

DSGVO-Irrtum Nr. 5: Hotels dürfen Ihre Gäste z.B. an der Rezeption nicht mehr mit Namen ansprechen

Absurd und ebenfalls falsch. Ob Arztpraxis, Metzger oder Hotelrezeption – wer seine Kunden mit Namen kennt, darf sie selbstverständlich auch mit ihrem Namen ansprechen. Das Gedächtnis Ihrer Hotelmitarbeiter ist schließlich kein Dateisystem im Sinne der Datenschutz-Grundverordnung.

Hotels dürfen ihre Gäste auch weiterhin mit deren Namen ansprechen, ohne dabei gegen datenschutzrechtliche Vorschriften und Gesetze zu verstoßen.


Hinweis: Die Datenschutz-News dienen lediglich dem unverbindlichen Informationszweck, stellen keine Rechtsberatung dar und verstehen sich somit ohne Gewähr auf Richtigkeit und Vollständigkeit.

(Foto: unsplash.com/@martenbjork)

2019-04-17T11:46:56+02:0030. April 2019|