223,2 Millionen Übernachtungen im 1. Halbjahr 2024 – diesen neuen Höchstwert hat der Tourismus in Deutschland natürlich auch der Fußball-EM zu verdanken. Wir befassen uns im heutigen Beitrag einmal mit dem Thema Gästedaten in Hotels und was bei der Datenerhebung aus der Sicht des Datenschutzes zu beachten ist.

Datenerhebung durch Hotels

Der folgende Ablauf ist den meisten Urlaubern und Geschäftsreisenden sicherlich bekannt: Angekommen an der Rezeption erfolgt erst einmal der Check-in, bei welchem ein Ausweisdokument der Reisenden verlangt und zum Teil sogar eine Kopie davon angefertigt wird. Darüber hinaus werden die Reisenden freundlich aufgefordert, „einen Zettel“ auszufüllen. Doch welche personenbezogenen Daten darf das Hotel überhaupt datenschutzkonform erheben? Maßgebliches Kriterium für die Beantwortung dieser Fragen ist der Zweck der Datenerhebung.

Erfüllung einer gesetzlichen Verpflichtung

Die Erhebung bestimmter personenbezogener Daten über einen sog. Meldeschein ist gesetzlich vorgeschrieben in Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. §§ 29 ff. Bundesmeldegesetz (BMG), denn Hotels unterliegen einer besonderen Meldepflicht. Gemäß § 30 Abs. 2 BMG haben Hotelgäste am Tag ihrer Ankunft einen Meldeschein mit der Angabe folgenden Daten auszufüllen:

  • Datum der Ankunft und der voraussichtlichen Abreise,
  • Familienname,
  • Vorname,
  • Geburtsdatum,
  • Staatsangehörigkeit,
  • Anschrift,
  • Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Abs. 2 S. 2, 3 BMG,
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.

Dies bedeutet im Umkehrschluss, dass die Erhebung weiterer personenbezogener Daten nicht mehr von der oben genannten Rechtsgrundlage gedeckt ist. Insbesondere ist die Kopie eines Ausweisdokuments gerade nicht gesetzlich vorgeschrieben und im Ergebnis auch nicht erforderlich, da allein die Seriennummer des Ausweisdokuments relevant ist, welche über den Meldeschein abgefragt wird.

Erforderlich zur Vertragsabwicklung

Selbstverständlich können neben den oben aufgelisteten Daten noch weitere personenbezogene Daten, welche zur Erfüllung des Beherbergungsvertrages zwischen dem Hotelgast und dem Hotel erforderlich sind, datenschutzkonform erhoben werden. Rechtsgrundlage für diese Datenverarbeitung ist dann Art. 6 Abs. 1 S. 1 lit. b DSGVO. Darunter fallen bspw. die Kontodaten des Hotelgastes, da dieser eine Vergütung für den Hotelaufenthalt zu leisten hat.

Einwilligung

Sollen weitere personenbezogene Daten vom Hotelgast zu anderen als den oben genannten Zwecken erhoben werden, ist i. d. R. eine datenschutzrechtliche Einwilligung erforderlich (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Ob eine Einwilligung für das jeweilige Datum eingeholt werden kann, ist abhängig vom jeweiligen Einzelfall.

So ist bspw. die Erhebung der E-Mail-Adresse eines Hotelgastes weder gesetzlich vorgeschrieben noch zur Vertragserfüllung erforderlich, weshalb die oben genannten Rechtsgrundlagen nicht greifen. Es bedarf also einer Einwilligung.

Möchte das Hotel dem Gast nach dem Hotelaufenthalt Werbung per E-Mail zukommen lassen, sind insbesondere auch die Reglungen über das Gesetz gegen den unlauteren Wettbewerb zu beachten (§ 7 UWG), wonach grundsätzlich die vorherige ausdrückliche Einwilligung des Hotelgastes erforderlich ist.

Aufbewahrungsfrist der Meldescheine

Die Dauer der Aufbewahrung der personenbezogenen Daten beträgt vom Tag der Anreise des Hotelgastes an ein Jahr. Nach Ablauf der Aufbewahrungsfrist müssen die Meldescheine innerhalb von drei Monaten zu vernichtet werden (Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. § 30 Abs. 4 BMG).

Sichere Aufbewahrung der Meldescheine

Ein besonderes Augenmerk ist auch bei Hotels auf die Einhaltung des Grundsatzes der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO zu legen.

Es greift das sog. „Need-to-Know-Prinzip“, wonach nur diejenigen Hotelangestellten auf die personenbezogenen Daten zugreifen dürfen, welche diese für die Durchführung ihrer Tätigkeit auch benötigen. Unerlässlich ist daher ein ausgereiftes Rollen- und Berechtigungskonzept.

Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO zu ergreifen, um ein angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten. Im Falle von unzureichend gewährleisteten TOMs drohen Datenschutzverletzungen aufgrund eines Zugriffs auf die personenbezogenen Daten durch unberechtigte Dritte. Im vergangenen Jahr sorgte bspw. die Hotelkette „Motel One“ für Schlagzeilen, der bei einem Hackerangriff Millionen Namen und Reisedaten von Gästen gestohlen und anschließend im Darknet veröffentlicht wurden. Insgesamt sechs Terabyte Daten erbeuteten Cyberkriminelle – darunter auch sensible Kreditkartendaten. Ebenfalls vom Datenleck betroffen waren sog. Notfalllisten, die eigentlich für den Fall einer Systemstörung gedacht sind und den Namen des Gastes, das Check-in-Datum und die Zimmernummern enthalten.