Mit der am 25. Mai in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) ändert sich auch im Tourismus einiges. Um hohe Sanktionen zu vermeiden, sollten Betriebe sich auf diese Änderungen rechtzeitig einstellen.
In der Regel gilt für die Erhebung und Nutzung personenbezogener Daten folgende Grundregel: Der Betroffene muss hierin ausdrücklich eingewilligt haben. Allerdings gibt es gemäß Artikel 6 der DSGVO Ausnahmen hiervon, die für Tourismusbetriebe relevant sind.
So dürfen weiterhin Daten erhoben werden, die für die Erfüllung eines Vertrags erforderlich sind. Bei Hotels sind das beispielsweise die vorgeschriebenen Meldedaten beim Check-in. Zudem ist die Erhebung weiterer Daten erlaubt, wenn diese öffentlich zugänglich sind und seitens des Betriebs ein berechtigtes Interesse besteht. Unter Umständen können Informationen zu Nahrungsvorlieben o.ä. hierunter fallen.
Da Betriebe sich hier aber schnell im Bereich der sensiblen personenbezogenen Daten bewegen, die einem besonderen Schutz unterliegen, muss mit Vorsicht vorgegangen werden. So handelt es sich zum Beispiel bei Angaben zu speziellen Ernährungsgewohnheiten, die durch eine Krankheit begründet sind, um sensible Gesundheitsdaten. In solchen Fällen sollte das Vorgehen daher mit dem Datenschutzbeauftragten abgestimmt werden.
Wenn personenbezogene Daten für Marketing und Werbung eingesetzt werden sollen, so ist – sofern es sich nicht um öffentlich zugängliche Informationen handelt – stets die Einwilligung des Betroffenen einzuholen. Diese unterliegt genauen Bedingungen, die u.a. in Artikel 7 der DSGVO festgelegt sind.
So muss eine solche Einwilligung freiwillig sein und das Ersuchen in klarer, verständlicher Sprache und Form verfasst sein. Im Rahmen einer schriftlichen Erklärung, die noch andere Angelegenheiten betrifft (z. B. in einem Vertrag), muss klar zu unterscheiden sein, wo um die Einwilligung gefragt wird.
Eine gegebene Einwilligung kann von der betroffenen Person jederzeit widerrufen werden – der Widerruf muss dabei genauso einfach sein wie die Erteilung der Einwilligung. Zudem sollten Betriebe auch beachten, dass sie eine Nachweispflicht haben. Wenn sie also Daten auf der Grundlage einer Einwilligung verarbeiten, müssen sie nachweisen können, dass die Person tatsächlich eingewilligt hat.
In diesem Zusammenhang ist Folgendes für Hotels wichtig: Wenn bei der Anmeldung die Meldedaten erhoben und gleichzeitig auch weitere Daten sowie eine Einwilligung etwa für den Newsletter abgefragt werden, so muss auf die klare Trennung dieser verschiedenen Zwecke geachtet werden.
Während es sich bei den Angaben des Gästeverzeichnisses um gesetzlich vorgeschriebene Erhebungen mit bestimmten Aufbewahrungsfristen handelt, sind die darüber hinausgehenden Daten für geschäftliche Zwecke vorgesehen. Die hierzu notwendige Einwilligung unterliegt der oben genannten Nachweispflicht und muss daher unabhängig von den Meldedaten so lange aufbewahrt werden, wie die entsprechenden Angaben gespeichert und genutzt werden.
Ein weiterer Punkt, den Gastbetriebe beachten sollten: Die DSGVO sieht ein Koppelungsverbot vor. Das heißt, dass die Erfüllung des Vertrags nicht von der Einwilligung in Werbung abhängig gemacht werden darf.
Sollten hieran Zweifel bestehen, kann dies unter Umständen dazu führen, dass die Einwilligung als nicht freiwillig und somit nicht gegeben gilt und dadurch die Datenverarbeitung für Webezwecke nicht zulässig ist. Auch aus diesem Grund sollten Hotel- und Gastbetriebe darauf achten, die Einwilligungen in Newsletter o.ä. stets klar getrennt von den übrigen Angaben einzuholen.
Insgesamt zeigt sich also: Betriebe sollten ihre Abläufe rechtzeitig anpassen und sich vor allem umfassend über die Änderungen im Datenschutz durch die DSGVO informieren.
* Dieser Beitrag wurde uns vom Berufsverband der Rechtsjournalisten e.V. zur Verfügung gestellt.