Datenschutz-Grundverordnung - Handlungsbedarf auch im Gastgewerbe?

Mittwoch
07.06.2017

Mit der geplanten EU-Datenschutz-Grundverordnung (DS-GO) wird das europäische Datenschutzrecht neu geregelt. Die DS-GO ist dann in jedem Mitgliedsstaat der Europäischen Union unmittelbar geltendes Recht. Sie betrifft alle Bereiche des Datenschutzes von Kundendaten bis hin zu Beschäftigtendaten, sie enthält Vorgaben über die Zulässigkeit der Datenverarbeitung und erweitert die Rechte von Betroffenen. Auch die Anforderungen an die Datenschutzorganisation werden geändert. Damit verbunden ist außerdem eine Verschärfung des ohnehin schon hohen Bußgeldrahmens. Möglich sind dann Bußgelder in Höhe von bis zu 4% des Jahresumsatzes.

Für Unternehmen ergibt sich innerhalb der für zwei Jahre vorgesehenen Übergangsfrist ein erheblicher Umsetzungsbedarf.

Das Gastgewerbe ist davon im Kern betroffen. Denn Hotelbetriebe arbeiten täglich mit hochsensiblen Daten ihrer Gäste. Diese sind teilweise zwingend zu erheben (schon wegen der besonderen Meldepflicht in Beherbergungsbetrieben). Als personenbezogene und damit datenschutzrechtlich relevante Daten werden alle Informationen über eine Person angesehen, unabhängig davon, ob sie auf das Privat- oder Berufsleben der Betroffenen beziehen. Personenbezogene Daten sind beispielsweise Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in Social Media, medizinische Daten oder IP-Adressen von Rechnern.

Gleichzeitig sind diese Daten außerordentlich schutzwürdig. Viele Hotels sind sich der Brisanz ihrer Kundendaten gar nicht bewusst. Öffentliche Verfahrensverzeichnisse fehlen vielfach, betriebliche oder externe Datenschutzbeauftragte sind nur in seltenen Fällen wirksam bestellt. Die DS-GO definiert auch deren Rolle und Aufgaben neu und nach aktuellem Stand wird sie wohl auch eine Entlastung bei der Bestellpflicht kleiner und mittlerer Betriebe enthalten. Vertreter des Bundesinnenministeriums kündigten allerdings bereits an, die Bestellungsvoraussetzungen für betriebliche Datenschutzbeauftragte unverändert zu lassen.   

Auch im Bereich des arbeitsrechtlichen Datenschutzes, d.h. vor allem des Arbeitnehmerdatenschutzes wird der Umgang mit personenbezogenen Daten grundsätzlich untersagt bleiben, es sei denn, es liegt eine ausdrücklich zu erteilende Erlaubnis vor. Die Nutzung personenbezogener Daten ist natürlich für die Durchführung eines Arbeitsverhältnisses unabdingbar (Lohnabrechnung, elektronische Personalakte) und wird daher erlaubt bleiben, wie bereits jetzt in § 32 Bundesdatenschutzgesetz (BDSG). Neu ist die Einführung des in Deutschland bisher unzulässigen Konzernprivilegs, das vor allem Kettenhotellerie und Systemgastronomie entlasten könnte. Kleine und mittelständische Unternehmen werden davon jedoch kaum profitieren.

Die Annahme einer endgültigen Fassung durch das EU-Parlament und den EU-Ministerrat ist noch im Frühjahr 2016 zu erwarten. Eine hilfreiche Synopse findet sich bereits jetzt auf den Seiten des Bayrischen Landesamts für Datenschutzaufsicht:

https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_160623TK.pdf

Fazit:

Prüfen Sie, ob Ihre arbeitsvertraglichen Regelungen, Betriebsvereinbarungen und IT-Sicherheitsstrukturen den Anforderungen der neuen DS-GO genügen. Prüfen Sie auch, ob sich die Bestellung eines betrieblichen oder externen Datenschutzbeauftragten für Sie lohnt oder sogar verpflichtend ist.

Sie haben Fragen zur neuen Regelung? Ein Rechtsanwalt für IT-Recht der Sozietät ist Ihnen hierbei gern behilflich.

Weitere Artikel von Boris Maskow