Jedes Unternehmen ist dazu verpflichtet, verantwortungsbewusst mit den Daten von Kunden, Mitarbeitern und Geschäftspartnern umzugehen. An den Datenschutz im Hotel stellt der Gesetzgeber jedoch noch höhere Anforderungen, weil hier mit sensiblen Daten der Gäste umgegangen wird, die als besonders schützenswert gelten.
Sensible Daten im Hotelbetrieb
Erfolgreiche Hoteliers sind sich bewusst darüber, dass Diskretion eine unabdingbare Voraussetzung für Ihr Geschäft ist. Ein Gast gibt bei einem Hotelbesuch viel über sich preis. Entsprechend empfindlich fällt verständlicherweise die Reaktion aus, wenn mit diesen persönlichen Informationen nachlässig umgegangen wird. Für ein Hotel kann der unzureichende Schutz von personenbezogenen Daten eine existenzgefährdende Rufschädigung zur Folge haben.
Auch der Gesetzgeber betrachtet bestimmte Kategorien von personenbezogenen Daten als besonders schützenswert und stellt entsprechend höhere Anforderungen an deren Schutz. Bei einem Hotelaufenthalt gewinnt der Betreiber Einblick in viele und teils intime Lebensbereiche der Gäste. Informationen über die Gesundheit, das Sexualleben, die ethnische Zugehörigkeit oder auch politische, religiöse oder philosophische Überzeugungen zählt die Datenschutz-Grundverordnung (DSGVO) zu den besonderen personenbezogenen, sensiblen Daten.
Allgemeine Datenschutzpflichten des Hotelbetreibers
Für die Verarbeitung von personenbezogenen Daten gilt ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass Informationen, die bestimmten Personen zuordenbar sind, grundsätzlich nicht erhoben, verarbeitet oder gespeichert werden dürfen, wenn nicht eine der im Gesetz vorgesehenen Ausnahmen vorliegt, die das erlaubt. Solche Ausnahmen sind teilweise im Gesetz selbst enthalten oder bestehen, wenn die betroffene Person ihre Einwilligung erteilt. Dabei ist zu beachten, dass gespeicherte Daten für keinen anderen Zweck verwendet werden dürfen, als den, der ihre Erhebung ursprünglich rechtfertigte.
Eine Einwilligung in die Nutzung von personenbezogenen Daten ist nur dann gültig, wenn die betroffene Person vollständig darüber aufgeklärt wurde, was mit ihren Daten geschehen soll, und die Einwilligung freiwillig erfolgte. Durch die DSGVO sind neben die Informationen, die zur Grundlage der Einwilligung gemacht werden, weitere Hinweispflichten getreten, die beachtet werden müssen.
- Ein Hotelier muss nachweisen können, dass er seine Mitarbeiter dazu anhält, sorgsam mit personenbezogenen Daten umzugehen.
- Wenn externe Dienstleister eingesetzt werden, ist der Hotelbetreiber verpflichtet, nachweisbar zu kontrollieren, wie diese mit den überlassenen Daten umgehen (Stichwort: Auftragsverarbeitung).
- Betroffenen ist auf Anfrage Auskunft über sämtliche zu ihrer Person gespeicherten Daten zu erteilen.
- Sollten personenbezogene Daten abhandenkommen, ist die Hotelleitung verpflichtet, alle Betroffenen sowie die zuständige Aufsichtsbehörde zu informieren (siehe unsere Anleitung für den Fall einer Datenpanne).
- Wenn mehr als neun Mitarbeiter des Hotels mit personenbezogenen Daten umgehen, muss ein betrieblicher Datenschutzbeauftragter bestellt werden (ein Mitarbeiter als interner oder ein anderer Experte als externer Datenschutzbeauftragter).
Besondere Datenschutzanforderungen im Hotel
Meldedaten von Hotelgästen
Das Melderecht sieht vor, dass ein Hotelbetreiber die Meldedaten von Gästen bei deren Ankunft abfragt. Dabei sollen mithilfe eines Meldescheins Informationen über den Tag der Anreise sowie der voraussichtlichen Abreise, Vor- und Nachname, Geburtsdatum, Anschrift und Staatsangehörigkeit erhoben werden. Mitreisende Lebenspartner müssen keinen eigenen Meldeschein ausfüllen, sondern können im ersten Dokument mit vermerkt werden. Bei mitreisenden minderjährigen Kindern ist lediglich ihre Anzahl zu notieren. Gäste aus dem Ausland müssen sich mit einem Identitätsdokument ausweisen.
Die Meldescheine sind ein Jahr lang aufzubewahren. In dieser Zeit müssen sie vor einer Einsicht durch Unbefugte geschützt und nach dem Ablauf eines Jahres binnen drei Monaten vernichtet werden.
Der Hotelbetreiber ist verpflichtet, die genannten Informationen zu erheben – das Meldegesetz rechtfertigt aber nicht, dass mehr als die erforderlichen Daten abgefragt werden. Der Hotelier muss die Datenschutzrechte des Gastes beachten. Konkret bedeutet dies:
- Das Grundprinzip der Datensparsamkeit ist einzuhalten.
- Der Hotelbetreiber muss den Gast auf den Zweck und die Rechtsgrundlage der Datenerhebung hinweisen.
- Eine Prüfpflicht besteht nur für die Daten von ausländischen Gästen. Wenn der Gast angibt, deutscher Staatsbürger zu sein, darf die Vorlage eines Ausweises nicht verlangt werden.
- Das Kopieren von deutschen Personalausweisen ist nur in sehr engen Ausnahmen (§ 20 PAuswG)gestattet und kann schnell eine Ordnungswidrigkeit darstellen.
Datenerhebung für Werbezwecke
Will der Hotelbetreiber über die Meldeangaben hinaus weitere Daten – beispielsweise für Zwecke der Werbung und Kundenbindung – erheben, muss er dies deutlich kenntlich machen. Neben den gesetzlich erforderlichen Daten fragen Hotels gerne Informationen wie E-Mail-Adresse, Telefonnummer, Firmenzugehörigkeit, Ausweisnummer, Hobbies und weitere Reisepläne ab.
Dazu ist aber die ausdrückliche Einwilligung des Gastes erforderlich. Aus der Gestaltung der Einwilligung muss ersichtlich sein, dass dem Gast unmissverständlich bewusst ist, dass die Angabe dieser Informationen freiwillig erfolgt. Der Hotelbetreiber ist verpflichtet, dies deutlich zu kennzeichnen. Außerdem muss der Gast über die beabsichtigte Verarbeitung der Daten vollständig auch im Hinblick auf Art. 13 DSGVO informiert werden.
Werden die Meldeinformationen und die freiwilligen Zusatzangaben auf einem gemeinsamen Formular abgefragt, müssen die Bereiche drucktechnisch deutlich getrennt und voneinander unterscheidbar sein. Außerdem muss es möglich sein, der Meldebehörde bei Bedarf Einblick in die Meldedaten zu gewähren und gleichzeitig eine Einsicht in die freiwilligen Zusatzangaben zu verhindern. Dies kann beispielsweise durch die Einfügung einer Perforation erreicht werden.
Die nach dem Melderecht zu leistende Unterschrift des Gastes und die Unterschrift zur Einwilligung in die Nutzung der zusätzlichen Daten müssen in separaten Feldern erfolgen. Sonst ist nicht von einer freiwilligen Einwilligung auszugehen und die Erklärung ist somit ungültig.
Erhebung von Kreditkartendaten
In der Praxis werden die Kreditkartendaten von Hotelgästen häufig bereits bei der Ankunft erfasst. Dies kann dem Hotelbetreiber als Kaution dienen, sollten nach der Abreise des Gastes offene Forderungen bestehen. Teilweise wird die Kreditkarte auch für eine Bonitätsprüfung verwendet, um durch die Abbuchung eines symbolischen Betrags zu kontrollieren, ob der Gast Kredit genießt. Ein solches Vorgehen ist rechtmäßig, sofern die folgenden Bedingungen beachtet werden:
- Der Hotelgast ist unbedingt darüber aufzuklären, zu welchem Zweck seine Kreditkartendaten erfasst werden. Dabei genügt es nicht, pauschale oder abstrakte Angaben zu machen. Nur wenn dem Hotelgast unmissverständlich klar ist, was mit seinen Daten geschieht, ist die Erfassung rechtmäßig. Die zu einem bestimmten Zweck erhoben Daten dürfen auch nicht für andere als die angegebenen Gründe verwendet werden.
- Der Gast ist darüber zu informieren, dass die Erfassung seiner Kreditkartendaten freiwillig erfolgt.
- Außerdem muss der Hotelbetreiber den Gast darüber aufklären, welches die Folgen einer Verweigerung der Datenerfassung sind, wie etwa die Erforderlichkeit einer Barkaution oder Vorauskasse.
Dieser aktualisierte Artikel wurde zuerst am 25. August 2014 veröffentlicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!