Dass ein Gast während eines Hotelaufenthaltes verschiedenste Informationen von sich preisgibt und er in der Folge sogar Gefahr läuft, gegenüber dem Hotelbetreiber gläsern zu sein, stellten wir bereits in unserem ersten Teil der Beitragsreihe fest. Doch nicht nur beim Check-In-Prozess erhebt der Hotelier Daten von seinen Gästen. Vielmehr können Gäste während ihres Aufenthaltes auf Wunsch gewisse, zum Teil nicht separat abrechenbare, Extraleistungen, wie beispielsweise freies WLAN oder Poolnutzung, in Anspruch nehmen oder sie werden in bestimmten Bereichen auf einer Videoüberwachungskamera aufgenommen.
Erstellen von Kundenprofilen
Informationen über Ess- und Trinkgewohnheiten, Begleitpersonen, Besucher, Gesundheitszustände, Behinderungen, sexuelle Orientierung sowie Freizeitverhalten – alles Eigenarten von Gästen, über die ein Hotelier in der Regel neben den in Anspruch genommenen nicht separat zu vergütenden Zusatzleistungen Kenntnis erlangt und sich entsprechende Notizen fertigt. Dabei handelt es sich ebenfalls um personenbezogene Daten iSd. § 3 BSDG, woraus sich dann zusammen mit den ohnehin aufgrund des Meldegesetzes erlangten Daten durchaus das eine oder andere detaillierte Profil eines Gastes erstellen lässt. Von Seiten des Hotels wird ein solches Vorgehen damit gerechtfertigt, dass man auf den Gast bei seinem nächsten Besuch vorbereitet ist und daher optimaler auf ihn eingehen könne. Gleichwohl sollte sich der Hotelbetreiber darüber bewusst sein, dass diese Art von Daten gerade nicht der geschuldeten Leistungserbringung und -abrechnung aus dem Beherbergungsvertrag dient, sodass sowohl das Erheben, Verarbeiten und Nutzen solcher Daten als auch die Datenweitergabe an Dritte der ausdrücklichen Einwilligungserklärung des Gastes bedarf. Um eine solche Einwilligung des Gastes wirksam einzuholen, muss die Erklärung einen bestimmten Inhalt haben. Wie schon des Öfteren thematisiert bedarf es iSd. § 4a BDSG einer vorherigen, ausdrücklich freiwilligen, eindeutigen, schriftlichen Erklärung, in welcher der Gast über den Zweck und Umfang der Einwilligung informiert sowie über die jederzeitige Widerrufbarkeit der Erklärung hingewiesen wird (vgl. z.B. hier).
Nimmt ein Gast während seines Aufenthaltes demgegenüber extra abzurechnende Zusatzleistungen in Anspruch, wie etwa Pay-TV, Wellnessleistungen oder Getränke aus der Minibar, ist es zulässig, diese Daten ohne Einwilligung des Gastes zu speichern (vgl. § 28 Abs. 1 Satz 1 Nr. 1 BDSG). Nach Abreise bzw. Begleichung des Betrages sind die Daten jedoch unverzüglich, das heißt ohne schuldhaftes Zögern was einem sofortigen Handeln sehr nahe kommt, zu löschen (vgl. § 35 Abs. 2 BDSG).
Darüber hinaus ist Vorsicht geboten bei Hotels derselben Kette. Agieren die verschiedenen Häuser als rechtlich eigenständige Personen, sind sie ebenfalls Dritte im datenschutzrechtlichen Sinn, sodass bereits die Weitergabe von Daten der Hotelgäste zwischen den Hotels nicht einfach so möglich ist (kein Konzernprivileg), sondern wiederum einer Einwilligung bedarf. Ein diesbezüglicher pauschaler Hinweis in den AGBs, wie etwa „[…] Durch das Bestätigen der AGBs willigt der Gast in eine umfangreiche Weitergabe sämtlicher personenbezogener Daten iSd. § 4 Abs. 1 BDSG ein […]“ ist daher nicht ausreichend.
Videoüberwachung
… ebenfalls ein durchaus wichtiges Thema im Hotelgewerbe. Grundsätzlich ist eine Videoüberwachung nur zur Wahrung des Hausrechts und Erhöhung der Sicherheit der Gäste zulässig (§ 6b Abs. 1 BDSG). Klar unzulässig ist eine Videoüberwachung demgegenüber in Hotelzimmern, im Restaurant, in Toilettenräumen oder im Wellness-Bereich, aber ebenso in der Küche und in Bereichen, die Angestellten vorbehalten sind. In der Regel kann die Lobby und das Außengelände überwacht werden. Für eine zulässige Videoüberwachung sind allerdings auch hier strenge Regeln zu beachten. So ist eine Kennzeichnung der überwachten Bereiche unumgänglich. Die Speicherdauer ist so kurz wie möglich zu halten und darf 48 Stunden, so die Orientierungshilfe, nicht überschreiten. Der Düsseldorfer Kreis, die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, hat zudem eine Orientierungshilfe speziell für die „Videoüberwachung durch nicht-öffentliche Stellen“ herausgegeben, welche auf Detailfragen eingeht und zur Hilfe herangezogen werden kann.
– und darüber hinaus? Was muss ein Hotelier noch alles tun?
Wichtig ist, dass alle Mitarbeiter des Hotels auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Zudem sollten allgemeine datenschutzrechtliche Standards, wie ein Verfahrensverzeichnis über alle Verfahren, in denen personenbezogene Daten verarbeitet werden oder die nach § 11 BDSG notwendigen Verträge zur Auftragsdatenverarbeitung mit externen Dienstleistern, beispielsweise Auslagerung von Kundenzufriedenheitsbefragungen, gewahrt sein.
Des Weiteren von erheblicher Bedeutung auf Seiten des Hoteliers ist, dass er bei eingesetzten Datenverarbeitungsprogrammen einen angemessen Datenschutz gewährleistet. Wie stellt er das an? Ganz einfach: Durch Treffen und vor allem durch Einhalten von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen (vgl. § 9 BDSG iVm. der Anlage zu § 9 BDSG). Im Einzelnen sind dies folgende Sicherheitsmaßnahmen, von denen wir einige in unserer Beitragsreihe „TOM und der Datenschutz“ schon konkret dargestellt haben:
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Zutrittskontrolle);
- Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle);
- Gewährleisten, dass die zur Nutzung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zurückgreifen können (Zugriffskontrolle);
- Gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten erfolgt (Weitergabekontrolle);
- Gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle);
- Gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
- Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) und
- Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Trennungsprinzip).
Fazit
Wenn also der Gast bei seinem nächsten Hotelaufenthalt diverse Informationen angeben soll, sollte er sich stets fragen, ob das tatsächlich relevant bzw. notwendig ist für den dortigen Aufenthalt. Zudem sollte er nicht leichtfertig mit der Erteilung einer Einwilligung in die Datenverarbeitung umgehen. Demgegenüber hat der Hotelier einen angemessen Datenschutz zu gewährleisten, was für den einen oder anderen nicht zuletzt angesichts der oft umständlich einzuholenden Einwilligung des Gastes eine gewisse Hürde darstellen könnte. Na dann kann der nächste Urlaub ja kommen!
Joachim Jakobs
15. August 2015 @ 23:20
Guten Tag Herr Hamal,
womöglich ist Ihnen dieser [1] Artikel entgangen. Das ist angesichts Ihrer Praxiserfahrung schon bemerkenswert. Das Gegenteil von Angstmachen nenne ich übrigens totschweigen.
Mit freundlichem Gruß
Joachim Jakobs
[1] http://www.focus.de/digital/multimedia/tid-7650/big-brother-awards_aid_135689.html
Klaus Hamal
12. Juni 2015 @ 16:25
Rein nach Datenschutz haben Sie natürlich recht, aber wo rein theoretisch alles möglich ist, sieht es in der Praxis völlig anders aus. Wir selbst betreuen ungefähr rund 1000 Kamera-Installationen bei unseren Kunden und können von der Praxis definitiv sagen, dass es dem Hotel-Besitzer um Diebstahlsproblematik an 1. Stelle geht, gefolgt von Sicherheitsgedanken vor Einbruch.
Dass rein theoretisch alles möglich ist und Kundenprofile erstellt werden könnten, ist verlaube gesagt, reiner Theorie-Glaube. Das macht in der Praxis wirklich niemand und will auch keiner haben, außer vielleicht die Behörden oder Verfassungsschutz etc. – Hoteliers und Gastronomen verfolgen ein völlig anders Ziel, als der Datenschutz glauben möchte.
Deshalb lieber in der Praxis mal nachfragen, was wirklich geschieht, bevor solche Berichte als Angstmache den Bürger und Hotelgast verunsichern…
Viele Grüße, Klaus Hamal
Jennifer Jähn
15. Juni 2015 @ 11:49
Guten Tag Herr Hamal,
natürlich wollen wir unseren Lesern keine Angst machen. Vielmehr geht es mit den Beiträgen auf datenschutz notizen um eine gewisse Sensibilisierung für datenschutzrechtliche Themen. Für die vorliegende Beitragsreihe zum Datenschutz im Hotelgewerbe heißt das, dass wir zum einen auf bestimmte gesetzliche Voraussetzungen hinweisen möchten, die ein Hotelier einhalten muss, damit sich ein Gast rundum wohl fühlen kann und sich keine Sorgen über seine Daten zu machen braucht. Andererseits dienen die Beiträge ebenso dazu, mögliche mit der Preisgabe von Daten einhergehende Gefahrenquellen und Risiken aufzuzeigen. Nur dann ist auch ein bewusster Umgang mit Daten möglich.
Soweit Sie den Einsatz von Videoüberwachungsanlagen thematisiert haben, gibt es eindeutige Vorgaben von Seiten des Gesetzgebers (Stichwort: Vorabkontrolle). Folglich kann die Inbetriebnahme einer Videokamera gerade nicht ausschließlich mit generellen Erfahrungen aus der Praxis gerechtfertigt werden. Insofern finden Sie auf unserer Webseite https://www.datenschutz-nord.de/datenschutz/datenschutz-bei-videoeinsatz.html eine kurze Zusammenstellung der wichtigsten rechtlichen Aspekte, die beachtet werden müssen.
Mit freundlichen Grüßen
Jennifer Jähn