In der Hotellerie mit Gäste-Daten richtig umgehen

Wie kann ich von nun an mit meinen Gästen kommunizieren? Diese Frage stellen sich seit dem Inkrafttreten der neuen Datenschutz-Grundverordnung der Europäischen Union (DSGVO) am 25. Mai im Tourismusbereich zahlreiche Unternehmen. Denn mit den neuen Bestimmungen werden natürliche Personen, und insbesondere Kinder, bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr besser geschützt. Um welche Daten handelt es sich genau? «Wir sprechen von Angaben, die persönliche Informationen preisgeben wie Name, Vorname, Telefonnummer, Adresse, E-Mail, aber auch die Aufenthaltsdauer in einem Hotel», erklärt Raffael Kubalek, stellvertretender Leiter Rechtsdienst bei GastroSuisse. Auch wenn die Europäische Union das Reglement ausgearbeitet hat, ist die Schweiz stark davon betroffen, insbesondere, wenn EU-Bürger in unserem Land übernachten. Wenn bei einer Reservation eine Sprache oder Währung angewendet wird, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, um Waren oder Dienstleistungen zu bestellen, kommt das neue Gesetz zum Tragen. Das von GastroSuisse an seine Mitglieder verschickte Informationsschreiben bestätigt denn auch: Es muss davon ausgegangen werden, dass die Internetseite eines Hotels, bei der die Gäste die Möglichkeit haben, ihre gewünschte Sprache und Landeswährung (innerhalb der EU) zu wählen, ebenfalls unter die neuen Bestimmungen fällt. Die Onlinestellung von Werbung in EU-Ländern steht ebenfalls im Visier, vor allem, wenn der Dienstleister Anzeigen publiziert oder Keywords für die Google-Suche verwendet. Wichtig ist hier festzuhalten, dass auch wenn die neue DSGVO Einschränkungen mit sich bringt, das Aufrechterhalten einer Gästebeziehung nach wie vor möglich ist. Gemäss Hotrec, dem europäischen Dachverband der Hotels, Restaurants und Cafés, «ist es zulässig, eine Mindestmenge an Daten für Marketingzwecke aufzubewahren, sofern es sich dabei um legitime Geschäftsinteressen handelt (Aufrechterhaltung der Kundenbindung)». Kein Grund also, in Panik zu verfallen, jedoch Anlass genug, seine Vorgehensweise neu zu überdenken. In der Tat unterliegt jegliche Datensammlung, auch wenn sie noch so klein sein mag, dem neuen Gesetz. «Für die Datenverarbeitung braucht es eine Einwilligungserklärung der betroffenen Person (aus freiem Willen und nicht nur durch den vorangehenden Klick in ein entsprechendes Feld), eine Vertragserfüllung (Beherbergungsvertrag beispielsweise), eine Erfüllung der gesetzlichen Pflichten (Hotelformular) oder ein überwiegendes Inte­resse», schreibt die DSGVO vor. «Wenn neue Daten erhoben werden, muss die betroffene Person informiert werden, wie mit den Angaben umgegangen wird, wie lange sie aufbewahrt werden und, sofern das der Fall ist, an wen sie weitergegeben werden», erklärt David Raedler, Lausanner Rechtsanwalt. «Ich empfehle, diese Fragen systematisch zu beantworten und eine schriftliche Einwilligung zu verlangen.» Falls die Informationen bereits gespeichert sind, gibt es zwei mögliche Vorgehensweisen:

• «Opt-in»: Wenn zum Beispiel die E-Mail-Adresse zu einem bestimmten Zweck verwendet wird, muss bei diesem Verfahren die betroffene Person im Vorfeld ihre Zustimmung geben (Kontrollkästchen, Scrollen einer Dropdown-Liste …)
• «Opt-out»: Der Benutzer muss sich eigenhändig von einer Verteilerliste abmelden, indem er das Häkchen beim entsprechenden Feld entfernt. Falls er das unterlässt, wird er fälschlicherweise im Verteiler aufgeführt bleiben.

Wer sich der DSGVO strikt unterordnen will, wählt laut David Raedler besser die erste Option. «Der grosse Nachteil liegt darin, dass man im Durchschnitt einzig 5 Prozent der Antworten erhält. Das heisst, viele Daten gehen verloren.» Sofern es sich nicht um sensible Personen­daten handelt, (medizinische Angaben, Intimsphäre, Daten über strafrechtliche Verfolgungen, usw.) empfiehlt er, ein Formular zu verwenden, mit dem der Benutzer sich eigenhändig vom Service abmelden kann. Bei sensiblen Daten hingegen bietet einzig die «Opt-in»-Option eine mögliche Lösung. Wie sieht die Situation für die Schweizer aus? Im Moment sind die einheimischen Touristen von diesen Änderungen nicht betroffen. Doch die Experten warnen: «Mit der Zeit werden sich die Leute der Wichtigkeit ihres Datenschutzes bewusst werden. Denn die DSGVO macht auf dieses Transparenzbedürfnis aufmerksam. Man muss sich daher vorbereiten und ausschliesslich mit Daten arbeiten, die man auch zwingend benötigt», argumentiert Stéphane Koch, Berater Digitalstrategie und Informationssicherheit. Das hält auch GastroSuisse in ihren Empfehlungen fest: «In der Schweiz wird das Datenschutzgesetz zurzeit revidiert (Anm. d. Red.: es wird voraussichtlich 2019 in Kraft treten). Es muss davon ausgegangen werden, dass gewisse europäische Regelungen übernommen werden. Deshalb ist es für Schweizer Unternehmen bereits jetzt unumgänglich, sich mit diesem Thema auseinanderzusetzen.»
DSGVO: Check-Liste für Unternehmen

• Eine Person bestimmen, die im Betrieb für den Datenschutz zuständig ist.
• Festlegen, welche Personendaten im Betrieb bearbeitet werden und zu welchem Zweck.
• Beurteilung der Rechtsgrundlage der verarbeiteten Informationen.
• Sich hinterfragen, welche Rechte die betroffene Person besitzt.
• Überprüfen, wie die Informationen gesammelt werden.
• Den Kunden offiziell in Kenntnis setzen, dass die von ihm angegeben persönlichen Daten verwendet werden.
• Erstellen einer Check-Liste, um eine Verletzung des Datenschutzes zu verhindern.
• Personal ausbilden.