223,2 Millionen Übernachtungen im 1. Halbjahr 2024 – diesen neuen Höchstwert hat der Tourismus in Deutschland natürlich auch der Fußball-EM zu verdanken. Wir befassen uns im heutigen Beitrag einmal mit dem Thema Gästedaten in Hotels und was bei der Datenerhebung aus der Sicht des Datenschutzes zu beachten ist.
Datenerhebung durch Hotels
Der folgende Ablauf ist den meisten Urlaubern und Geschäftsreisenden sicherlich bekannt: Angekommen an der Rezeption erfolgt erst einmal der Check-in, bei welchem ein Ausweisdokument der Reisenden verlangt und zum Teil sogar eine Kopie davon angefertigt wird. Darüber hinaus werden die Reisenden freundlich aufgefordert, „einen Zettel“ auszufüllen. Doch welche personenbezogenen Daten darf das Hotel überhaupt datenschutzkonform erheben? Maßgebliches Kriterium für die Beantwortung dieser Fragen ist der Zweck der Datenerhebung.
Erfüllung einer gesetzlichen Verpflichtung
Die Erhebung bestimmter personenbezogener Daten über einen sog. Meldeschein ist gesetzlich vorgeschrieben in Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. §§ 29 ff. Bundesmeldegesetz (BMG), denn Hotels unterliegen einer besonderen Meldepflicht. Gemäß § 30 Abs. 2 BMG haben Hotelgäste am Tag ihrer Ankunft einen Meldeschein mit der Angabe folgenden Daten auszufüllen:
- Datum der Ankunft und der voraussichtlichen Abreise,
- Familienname,
- Vorname,
- Geburtsdatum,
- Staatsangehörigkeit,
- Anschrift,
- Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Abs. 2 S. 2, 3 BMG,
- Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.
Dies bedeutet im Umkehrschluss, dass die Erhebung weiterer personenbezogener Daten nicht mehr von der oben genannten Rechtsgrundlage gedeckt ist. Insbesondere ist die Kopie eines Ausweisdokuments gerade nicht gesetzlich vorgeschrieben und im Ergebnis auch nicht erforderlich, da allein die Seriennummer des Ausweisdokuments relevant ist, welche über den Meldeschein abgefragt wird.
Erforderlich zur Vertragsabwicklung
Selbstverständlich können neben den oben aufgelisteten Daten noch weitere personenbezogene Daten, welche zur Erfüllung des Beherbergungsvertrages zwischen dem Hotelgast und dem Hotel erforderlich sind, datenschutzkonform erhoben werden. Rechtsgrundlage für diese Datenverarbeitung ist dann Art. 6 Abs. 1 S. 1 lit. b DSGVO. Darunter fallen bspw. die Kontodaten des Hotelgastes, da dieser eine Vergütung für den Hotelaufenthalt zu leisten hat.
Einwilligung
Sollen weitere personenbezogene Daten vom Hotelgast zu anderen als den oben genannten Zwecken erhoben werden, ist i. d. R. eine datenschutzrechtliche Einwilligung erforderlich (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Ob eine Einwilligung für das jeweilige Datum eingeholt werden kann, ist abhängig vom jeweiligen Einzelfall.
So ist bspw. die Erhebung der E-Mail-Adresse eines Hotelgastes weder gesetzlich vorgeschrieben noch zur Vertragserfüllung erforderlich, weshalb die oben genannten Rechtsgrundlagen nicht greifen. Es bedarf also einer Einwilligung.
Möchte das Hotel dem Gast nach dem Hotelaufenthalt Werbung per E-Mail zukommen lassen, sind insbesondere auch die Reglungen über das Gesetz gegen den unlauteren Wettbewerb zu beachten (§ 7 UWG), wonach grundsätzlich die vorherige ausdrückliche Einwilligung des Hotelgastes erforderlich ist.
Aufbewahrungsfrist der Meldescheine
Die Dauer der Aufbewahrung der personenbezogenen Daten beträgt vom Tag der Anreise des Hotelgastes an ein Jahr. Nach Ablauf der Aufbewahrungsfrist müssen die Meldescheine innerhalb von drei Monaten zu vernichtet werden (Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. § 30 Abs. 4 BMG).
Sichere Aufbewahrung der Meldescheine
Ein besonderes Augenmerk ist auch bei Hotels auf die Einhaltung des Grundsatzes der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO zu legen.
Es greift das sog. „Need-to-Know-Prinzip“, wonach nur diejenigen Hotelangestellten auf die personenbezogenen Daten zugreifen dürfen, welche diese für die Durchführung ihrer Tätigkeit auch benötigen. Unerlässlich ist daher ein ausgereiftes Rollen- und Berechtigungskonzept.
Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO zu ergreifen, um ein angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten. Im Falle von unzureichend gewährleisteten TOMs drohen Datenschutzverletzungen aufgrund eines Zugriffs auf die personenbezogenen Daten durch unberechtigte Dritte. Im vergangenen Jahr sorgte bspw. die Hotelkette „Motel One“ für Schlagzeilen, der bei einem Hackerangriff Millionen Namen und Reisedaten von Gästen gestohlen und anschließend im Darknet veröffentlicht wurden. Insgesamt sechs Terabyte Daten erbeuteten Cyberkriminelle – darunter auch sensible Kreditkartendaten. Ebenfalls vom Datenleck betroffen waren sog. Notfalllisten, die eigentlich für den Fall einer Systemstörung gedacht sind und den Namen des Gastes, das Check-in-Datum und die Zimmernummern enthalten.
Anonymus
12. September 2024 @ 14:56
Schön, dass Sie sich hier dieses Themas angenommen haben.
In einem mir vorliegenden Fall erfolgte im vorvergangenen Jahr bedauerlicherweise eine offenbar übermäßige Erhebung von pbD des Gastes.
Dessen im August 2023 erfolgte Anfrage nach Auskunft gem. Art. 15 blieb leider vom Beherbergungsbetrieb trotz mehrfacher Nachfrage bislang unbeantwortet.
Die daraufhin im Oktober 2023 informierte Landesdatenschutzbehörde hat die Beschwerde seitdem nur mit einer autom. Eingangsbestätigung „bearbeitet“.
So entsteht beim Betroffenen schnell mal Frust und schlimmstenfalls der Eindruck des Datenschutz als Bürokratiemonster und zahnloser Papiertiger.
Ingo
12. September 2024 @ 13:36
Die Meldepflicht besteht seitens des Hotels ja nur dann, wenn ich länger als sechs Monate im Hotel bleibe. Folglich sind doch die Daten direkt wieder zu löschen, wenn ich zu einem früheren Zeitpunkt auschecke.
Meines Wissens trifft das aktuell nur für Udo Lindenberg und vielleicht noch einige weitere Personen zu.
Wenn man das also auf die Spitze treiben wollte, könnte man das ja beim nächsten Hotelbesuch ansprechen. Aber wie so oft landet dies dann beim Personal an der Rezeption und damit bei denen, die überhaupt nichts dafür können.
Ich lass es lieber 🙂