Online Streitbelegung
Datenschutzerklärung
| „Hinweis zur Online-Streitbeilegung gemäß Art. 14 Abs. 1 ODR-VO: Die Europäische Kommission stellt
eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie unter
https://ec.europa.eu/consumers/odr/ finden.
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 1 von 10
Die EU-Datenschutz-Grundverordnung (DSGVO) im Tourismus
I. Rechtliches
1. Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO)
Die EU-Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Sie sieht jedoch eine Übergangsfrist von zwei Jahre vor, um den betroffenen Unter-nehmen eine angemessene Vorbereitung und Anpassung der betroffenen Prozesse zu ermöglichen. Danach ist die DSGVO ab 25. Mai 2018 für alle Mitgliedstaaten verbindlich anzuwenden. Somit können die Datenschutzbehörden ab Ende Mai 2018 die Einhaltung der gesetzlichen Vorgaben überprüfen und im Falle von Ver-stößen Sanktionen verhängen. Daneben besteht auch weiterhin die Gefahr von Ab-mahnungen durch Wettbewerbsvereine oder Mitbewerber.
2. Ziele der DSGVO
Ziel der DSGVO ist neben dem Schutz der Grundrechte und Grundfreiheiten von Personen durch den Schutz personenbezogener Daten auch der Schutz des freien Verkehrs personenbezogener Daten, also die Möglichkeit erhobene Daten im Rah-men des Zulässigen auch zu verwenden.
Anknüpfungspunkt sind dabei stets „personenbezogene Daten“. Gemeint sind hier-mit alle Angaben, die sich einer bestimmten Person zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen kann. Unproblematisch ist dies z.B. bei dem Namen und der Wohnanschrift einer Person. Allerdings liegen auch dann personenbezogene Daten vor, wenn die erhobenen Informationen unter Zu-hilfenahme weiterer verfügbarer Daten und technischer Mittel einer bestimmten Per-son zugeordnet werden können, wie dies z.B. bei Telefonnummern, KFZ-Kennzei-chen, Kundennummern und auch IP-Adressen der Fall ist.
3. Was bleibt: unveränderte Regelungen
In rechtlicher Hinsicht unterliegt die Verarbeitung von personenbezogenen Daten auch weiterhin einem sog. Verbot mit Erlaubnisvorbehalt. Danach ist die Verarbei-tung personenbezogener Daten grundsätzlich verboten, es sei denn, es liegt eine ausdrücklich erteilte Einwilligung oder eine gesetzliche Erlaubnis vor. Eine solche Erlaubnis nimmt das Gesetz z.B. an, wenn die Erfüllung eines Vertrages nur durch
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 2 von 10
die Erhebung und Verarbeitung von personenbezogenen Daten überhaupt möglich ist. So ist es z.B. erforderlich, im Rahmen der Erbringung von touristischen Leistun-gen auch in Erfahrung zu bringen, wer der Vertragspartner ist. Demnach müssen hier notwendigerweise Name und Adresse der Reisenden erhoben und gespeichert werden. Nur so kann z.B. eine Rechnung erstellt werden. Auch die Erfüllung von Meldepflichten ist nur bei Kenntnis der Daten der Vertragspartner möglich.
Die wesentlichen Datenschutzgrundsätze des bisher geltenden Rechts, wie z.B. die Datensparsamkeit, die Zweckbindung und das Gebot der Transparenz gelten auch unter der Datenschutzgrundverordnung weiter fort. So sieht das Gesetz z.B. beson-dere Einschränkungen bei der Verarbeitung besonders sensibler Daten vor. Ge-meint sind hier insbesondere Angaben zur rassischen und ethnischen Herkunft, po-litischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerk-schaftszugehörigkeit sowie Gesundheit und Sexualität. Diese Daten dürfen nur bei Erforderlichkeit der Kenntnis und nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden. So ist denkbar, dass bestimmte Angaben zu gesund-heitlichen Besonderheiten gerade bei der Erbringung touristischer Leistungen, z.B. in Form von Wellnessanwendungen, die der konkrete Gast nicht „verträgt“, erfor-derlich sind (Hautkrankheiten, Bluthochdruck u.ä.).
Darüber hinaus bleibt in den meisten privaten oder auch öffentlich-rechtlich organi-sierten Unternehmen die Stellung eines betrieblichen oder externen Datenschutz-beauftragten auch weiterhin verpflichtend. So ist grundsätzlich in Unternehmen, bei denen in der Regel mindestens 10 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter zu bestel-len. Zudem ist eine Bestellung notwendig, wenn die Datenverarbeitung eine Kern-tätigkeit des Unternehmens ist und einen großen Umfang aufweist.
4. Das ist neu: Wesentliche Änderungen für Unternehmen nach der DSGVO
Anwendungsbereich: Die neue Datenschutzverordnung gilt zunächst für alle Un-ternehmen, die ihren Sitz in der EU haben. Darüber hinaus gelten die Vorgaben der Datenschutzgrundverordnung auch für Unternehmen, die nicht in der EU niederge-lassen, jedoch auf dem europäischen Markt tätig sind. Auch diese Unternehmen haben die europäischen, datenschutzrechtlichen Vorgaben zu beachten. Wenn man sich also der Dienste solcher Unternehmen bedient, indem z.B. Daten in einer Cloud eines solchen Anbieters gespeichert werden oder man sich einer Datenbank eines nicht in der EU ansässigen Anbieters bedient, muss sichergestellt sein, dass
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 3 von 10
die europäischen Datenschutzstandards auch durch diese Unternehmen erfüllt wer-den.
Eine weitere Neuerung ist der Grundsatz der Privacy by Design: Hiermit ist eine datenschutzfreundliche Technikgestaltung gemeint, die durch die Einführung von technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten erreicht werden soll. Diese datenschutzfreundliche Gestaltung soll bereits bei der Entwicklung von Vorgängen Beachtung finden und zum grundlegenden Standard werden.
Wenn z.B. eine App entwickelt wird, soll sie standardmäßig nur solche personenbe-zogenen Daten verarbeitet, die für deren Funktion unabdingbar sind (z.B. Grund-funktion = Kommunikation). Sollen weitere Funktionen freigeschaltet werden und sind hierfür weitere Daten des Betroffenen erforderlich, bedarf es einer zusätzlichen Einwilligung des Betroffenen (z.B. Erweiterung durch Verknüpfung mit externen Ka-lendern).
Privacy by Default: Dieses Prinzip soll den auch zurzeit bereits geltenden Grund-satz der Datensparsamkeit ergänzen. Daten sollen nur erhoben werden, wenn Sie auch tatsächlich benötigt werden. Dies betrifft auch den Umfang der erhobenen Da-ten. Privacy by Default will genau dies erreichen. Durch die Verpflichtung zu daten-schutzfreundlichen Voreinstellungen von Programmen und Prozessen soll gewähr-leistet werden, dass nur die erforderliche Daten erhoben und verarbeitet werden, also solche Daten, die man zur Erreichung des Erhebungszwecks auch tatsächlich benötigt. Es sollen damit insbesondere unnötige Erhebungen und Verarbeitungen sowie unzulässige Speicherdauern vermieden werden. So wäre z.B. ein Internet-Browser nach der Installation standardmäßig so einzustellen, dass ein Setzen von Cookies, die es Dritten ermöglichen, Informationen über das Surfverhalten des Nut-zers zu erlangen, nur mit Zustimmung des Nutzers möglich ist.
Meldepflicht bei Datenpannen: Wenn der Schutz personenbezogener Daten ver-letzt wurde, z.B. im Falle einer Datenpanne, hat das Unternehmen verschiedene Meldepflichten zu erfüllen. Hierbei ist zwischen Meldepflichten gegenüber der Auf-sichtsbehörde (Landesbeauftragten für Datenschutz und Informationsfreiheit) und entsprechenden Pflichten gegenüber den von der Verletzungshandlung Betroffenen zu unterscheiden.
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 4 von 10
Im Falle einer Verletzung personenbezogener Daten muss das Unternehmen dies der Aufsichtsbehörde innerhalb von 72 Stunden melden. Diese Verpflichtung be-steht jedoch nicht, wenn die konkrete Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von Personen führt.
Darüber hinaus hat eine Benachrichtigung an die von der Verletzung betroffene Person zu erfolgen, wenn die Verletzung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat. Hierbei sind jedoch Ausnahmetatbestände vorgesehen, bei deren Vorliegen eine Benach-richtigung des Betroffenen nicht erforderlich ist, so z.B. wenn die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre – hier ist eine öffentliche Bekanntmachung ausreichend.
Sanktionen: Im Falle von Verstößen gegen die DSGVO sieht das Gesetz empfind-liche Bußgelder vor. So können Verstöße Geldbußen bis zu 20.000.000,- Euro (bis-her max. 300.000 Euro) oder im Falle eines Unternehmens bis zu 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt wer-den – je nachdem, welcher Betrag höher ist. Wie hoch diese Sanktionen in der Pra-xis ausfallen werden, bleibt abzuwarten, da es hier naturgemäß noch an entspre-chender Rechtsprechung fehlt.
5. Verbesserungen für Verbraucher
Recht auf Datenübertragbarkeit: Betroffene haben künftig das Recht, ihre perso-nenbezogenen Daten zu einem anderen Anbieter mitzunehmen, z.B. Social-Media oder E-Mail-Anbieter. Dies kann auch die Daten eines Verbandsmitglieds betreffen, das seine Mitgliedschaft kündigt und die Daten zu einem anderen Interessenver-band „mitnehmen möchte“. Dabei haben die Betroffenen einen Anspruch gegen-über dem Verantwortlichen auf Bereitstellung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format. Hierdurch soll dem Verbraucher ein Wechsel von einem Anbieter zu einem anderen erleichtert werden.
Einwilligung in die Datenverarbeitung: Wie auch bisher ist eine Datenerhebung und -verarbeitung zulässig, wenn Sie aufgrund einer vorherigen Einwilligung des Be-troffenen erfolgt. Verschärft wurde allerdings der Grundsatz der Freiwilligkeit: Da-nach darf der Vertragsschluss nicht von einer Einwilligung in eine nicht erforderliche Verarbeitung abhängen (sog. Koppelungsverbot). Zudem kann der Betroffene seine Einwilligung zu jedem Zeitpunkt widerrufen.
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 5 von 10
Recht auf Löschung: Danach müssen die verarbeitenden Stellen die Daten löschen, wenn z.B. der Zweck wegfällt oder die Einwilligung widerrufen wird (sog. „Recht auf Vergessenwerden“).
Auskunftsrecht: Der Betroffene ist umfassend insbesondere über den Inhalt der Da-tenverarbeitung, den Zweck der Verarbeitung und die betroffenen Daten sowie die ihm zur Verfügung stehenden Rechte zu informieren (z. B. Widerrufsrecht, Be-schwerderecht, Recht auf Löschung). Auch hat der Verantwortliche auf Verlangen des Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung zu stel-len.
II. Praktische Umsetzung durch die Tourismusorganisation: Was ist zu tun bis 25. Mai 2018
Bei der Umsetzung der DSGVO sind in der touristischen Praxis insbesondere fol-gende Punkte zu beachten:
1. Profiling – Erstellen ausführlicher Gästeprofile
Weit verbreitet ist es heutzutage, das Internet mittels spezieller Programme nach frei verfügbaren Informationen des Gastes zu durchsuchen. Hierdurch können be-reits bekannte und notwendigerweise erhobene Gästeinformationen, die z.B. zur Durchführung des Vertrages benötigt werden, ergänzt werden. So werden z.B. Nut-zerprofile von Gästen in sozialen Medien ausfindig gemacht und die dort enthalte-nen Informationen zu einem Gesamtprofil des Gastes mit den vorhandenen Erhe-bungsdaten zusammengeführt. Dabei ergibt sich ein weitaus detaillierteres Bild der Bedürfnisse des Gastes, was sodann zu Werbezwecken Verwendung findet.
Wenn sich also aus dem öffentlich zugänglichen Social-Media Auftritt des Gastes dessen Hang zu sportlichen Aktivitäten entnehmen lässt, könnte z.B. zielgerichtet mit dem neu eingerichteten Fitnessbereich des Beherbergungsbetriebes oder nahe gelegenen Sporteinrichtungen geworben werden.
Für die Zulässigkeit dieses Vorgehens spricht der Umstand, dass es sich um frei zugängliche Daten handelt. Fraglich ist jedoch, ob eine solche Verknüpfung beste-hender mit öffentlich zugänglichen Daten zur Bedarfsermittlung und letztlich zu Wer-bezwecken auch in datenschutzrechtlicher Hinsicht zulässig ist. Denn hier wird grundsätzlich die Schwelle der Erforderlichkeit der erhobenen Daten überschritten,
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 6 von 10
da die Daten für den konkreten Zweck der Vertragsabwicklung, hier der Durchfüh-rung der Reise, gerade nicht zwingend benötigt werden. Daten die daher nicht be-nötigt werden, hierbei insbesondere die besonderen Kategorien der Daten (z.B. ras-sisch/ ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Über-zeugung), dürfen keinesfalls gespeichert werden.
Bei der Frage der Möglichkeit des Profilings sieht der europäische Gesetzgeber eine datenschutzrechtliche Zulässigkeit vor, wenn ein Interesse des Gastes an der kon-kreten Nutzung angenommen werden kann, die Informationen für jedermann auf-findbar waren und der Gast vernünftigerweise damit rechnen konnte, dass die öf-fentlich auffindbaren Informationen vom Gastgeber verwendet werden. Dies ist bei öffentlich zugänglichen Daten aus Social-Media-Auftritten zunächst der Fall. Dabei ist jedoch im Einzelfall dennoch stets eine Abwägung der betroffenen Interessen, zum einen des Gastes sowie andererseits des Beherbergungsbetriebes/ Reisever-anstalters/ DMO vorzunehmen.
2. Versand von Newslettern
Bedarf die postalische Werbung grundsätzlich keiner vorherigen Einwilligung des Gastes, so ist diese für den Newsletterversand per E-Mail zwingend vorab einzuho-len. Hierbei muss der Versender der Mail als verantwortliche Stelle in der Lage sein, den Nachweis für eine wirksame Einwilligung des Betroffenen zu erbringen (DSGVO - Rechenschaftspflicht, Dokumentation!).
Dabei sind hohe Anforderungen an die Wirksamkeit der Einwilligung des Betroffe-nen zu stellen. Diese muss grundsätzlich freiwillig, informiert und ausdrücklich er-folgen. Zudem hat der Betroffene das Recht zum jederzeitigen Widerruf und ist über dieses Recht vor Erteilung der Einwilligung klar und verständlich zu informieren. Dies war nach noch geltender Rechtslage keine zwingende Voraussetzung für die Wirksamkeit der Einwilligung.
Besonderes Augenmerk ist auf die Prüfung bestehender Einwilligungen zu setzen. Eine weitere Verwendung gespeicherte Daten aufgrund dieser Einwilligungen ist nur dann zulässig, wenn diese „Alt-Einwilligungen“ inhaltlich den Anforderungen des neuen Datenschutzrechts entsprechen. So müssen diese Alt-Einwilligungen z.B. auch einen Hinweis auf das Widerrufsrecht enthalten. Verstoßen alte Einwilligungen gegen das Gebot der Freiwilligkeit und insbesondere gegen das neu verankerte Kopplungsverbot, gelten sie nicht fort und müssen erneut eingeholt werden.
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 7 von 10
Nach der Datenschutzgrundverordnung soll eine unzulässige Kopplung bereits vorliegen, wenn der Vertragsschluss oder die Vertragserfüllung von einer Einwilli-gung in hierfür nicht erforderliche Verarbeitungen abhängig gemacht wird. Ein sol-cher Fall ist z.B. gegeben, wenn die Teilnahme an einem Gewinnspiel oder die Mög-lichkeit einen Vertrag zu schließen von der Zustimmung in den Empfang eines Newsletters abhängig gemacht wird.
3. Zulässigkeit von Datenerhebungen im Meldescheinverfahren
Nach § 30 Abs. 2 des Bundesmeldegesetzes (BMG) müssen die dort genannten Daten im Meldeschein erfasst werden. Hierzu zählen auch bestimmte personenbe-zogene Daten. Diese Daten dürfen grundsätzlich nur für die Zwecke der Erhebung, hier die Erfüllung der Meldepflicht verwendet werden. Die Meldescheine sind für den Zeitraum eines Jahres nach dem Tag der Anreise des Gastes zu verwahren und nach Ablauf weiterer 3 Monate zu vernichten.
In direkter Verbindungen mit den Meldescheinen wird in der Praxis jedoch oft auch eine schriftliche Einwilligung für andere Zwecke, z.B. den späteren Versand von Newslettern eingeholt. Hier sind jedoch verschiedene Zwecke betroffen, die klar voneinander abzugrenzen sind. Zudem gelten hier unterschiedliche Aufbewah-rungs- und Löschfristen von Meldeschein und Einwilligung in Newsletterversand. Keinesfalls dürfen diese Einwilligungen daher miteinander vermischt werden, auch um den Eindruck einer datenschutzrechtlich unzulässigen Kopplung der beiden Er-klärungen zu vermeiden.
Es ist aus diesem Grunde empfehlenswert, räumlich voneinander getrennte Erhe-bungen durchzuführen. Neben dem ausgefüllten Meldeschein sollte daher eine se-parate Einwilligungserklärung eingeholt werden.
4. Speicherung von Gästedaten nach Durchführung des Vertrages
Nach Abreise des Gastes und Erfüllung aller Vertragspflichten ist die weitere Vor-haltung der Gästedaten (Ausnahme Meldeschein) dem Grunde nach nicht mehr er-forderlich. Insbesondere die Legitimation einer Datenerhebung zu Zwecken der Ver-tragsdurchführung kann hier nicht mehr greifen.
Es bedarf daher zwingend einer Einwilligung in die konkrete Art der Verwendung, hier z.B. in die Versendung eines Newsletters, Kundenzufriedenheitsumfrage, die Speicherung in einer Kundendatenbank für spätere Werbung oder die Aufnahme in
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 8 von 10
ein sog. Treueprogramm. Dabei sind die Vorgaben der DSGVO hinsichtlich der Vo-raussetzungen einer wirksamen Einwilligung zu beachten. Die Informationen müs-sen:
verständlich und
in einfacher Sprache formuliert sein und
eindeutige Information über Art, Umfang und Zweck der Datenverar-beitung sowie
etwaige Empfänger der Daten enthalten.
Unbedingt ist der Gast hierbei auf sein Recht zum Widerruf der Einwilligung hinzu-weisen. Wenn ein solcher Hinweis fehlt, ist die Einwilligung unwirksam. Zudem ist ein besonderes Augenmerk auf die Information hinsichtlich des Zweckes der Daten-verwendung zu legen. Wenn also ein späterer Newsletterversand oder eine Kun-denbefragung durchgeführt werden, muss die Einwilligungserklärung genau diese Zwecke erfassen.
Bei Vorliegen einer wirksamen Einwilligung und Beachtung der Zweckbindung kön-nen die Gästedaten sodann weiter gespeichert werden. So ist die Information von Stammgästen z.B. über aktuelle Angebote grundsätzlich auch im Interesse der an-gesprochenen Personenkreise. Dennoch ist auch hier eine einzelfallbezogene Inte-ressenabwägung notwendig und vorzunehmen. Darüber hinaus ist der Kreis der zugriffsberechtigten Personen zu prüfen sowie Löschfristen festzulegen und zu do-kumentieren.
Auch hier darf eine Speicherung zudem nur so lange erfolgen, wie vernünftiger-weise von einem Interesse des Kunden ausgegangen werden darf. Längere Untä-tigkeit spricht eindeutig dagegen, so dass in diesen Fällen eine Löschung vorzuneh-men ist.
5. Datensicherheit
Die verantwortliche Stelle (z.B. die Tourismusorganisation oder der Betreiber des Beherbergungsbetriebes) ist verpflichtet, geeignete Maßnahmen zur Sicherheit der Datenverarbeitung zu treffen. Dies betrifft sowohl die Absicherung des Zugangs zu Räumen, in denen sich die EDV-Technik, z.B. Server und EDV-Systeme (PC´s etc.) befinden, aber auch die Sicherung der Datenverarbeitungssysteme selbst, z.B. durch Virenschutzprogramme, Verschlüsselung bei E-Mailversand.
Vervielfältigung und Veröffentlichung von Inhalten nur mit ausdrücklicher Genehmigung des DTV. Seite 9 von 10
Neben diesen Maßnahmen zum Schutz der eingesetzten Datenverarbeitungs-Sys-teme (z.B. durch Key-Cards, Zahlungsterminals, Software mit neuesten Sicherheit-supdates) sollten Sicherheitsschulungen von Mitarbeitern durchgeführt werden.
Erfolgen zudem Datenverarbeitungen durch Dritte, muss eine sorgfältige Auswahl dieser Externen erfolgen und hinreichende vertragliche Grundlagen, insbesondere Verträge zur Auftragsdatenverarbeitung erstellt werden. Der Auftraggeber muss si-cherstellen, dass ihm auch weiterhin eine Kontrolle über die Daten und deren Ver-wendung möglich ist (insbesondere vertraglich abgesichertes Weisungsrecht!).
Die Einhaltung der technischen und auch organisatorischen Maßnahmen (TOM) und Sicherheitsstandards durch den eingeschalteten Dritten ist vor Auftragsvergabe zu überprüfen. Diese Prüfung muss nicht zwingend persönlich vor Ort durchgeführt werden. Eine Zertifizierung des Auftragsdatenverarbeiters nach ISO 27001 stellt hier z.B. ein starkes Indiz für die Einhaltung der datenschutzrechtlichen Vorgaben dar.
|