Aufwachen bitte!!! möchte man rufen.
Am 25. Mai 2018 tritt die neue Datenschutzverordnung der EU in Kraft, die den Umgang mit personenbezogenen Daten völlig neu regelt.


Doch noch immer gibt es viele Hotelbetreiber, die wenige Wochen vor Ablauf der Frist recht entspannt mit dieser Herausforderung umgehen. Dies war Anlass für die Betreiber des Hotelkompetenzzentrums in Oberschleißheim, Christian Peter und Peter Nistelberger, am 21. März 2018 ein Fachseminar rund um die Datenschutz-Grundverordnung (DSGVO) auf die Agenda zu setzen. Ein ausverkauftes Haus gab ihnen Recht, dass sie die Brisanz der Stunde erkannt und renommierte Referenten zu diesem Thema eingeladen haben.

Hotelbetrieb ohne Verarbeiten personenbezogener Daten nicht möglich

Laura-Sophie Franze, Justitiarin des Hotelverbands Deutschland, Datenschutz Franzepräsentierte einen Auszug aus der aktuellen Roadshow des IHA. Für sie wird schon jetzt deutlich: „Viele Hoteliers sind verunsichert, welche Daten sie überhaupt noch speichern dürfen. Allerdings greifen gerade für Hotelbetreiber viele gesetzliche Erlaubnistatbestände, welche nicht nur zur Datenerhebung berechtigen, sondern sogar verpflichten.“

Die wichtigste Änderung zuerst: um persönliche Gastdaten zu nutzen, muss dieser ausdrücklich einwilligen. Hierzu empfiehlt die Juristin aufgrund der Nachweispflicht immer die Schriftform und weist darauf hin, dass ein Widerruf jederzeit möglich sein muss und eine vorangekreuzte Einwilligung nicht mehr erlaubt ist. Eine Einwilligung auf dem Meldeschein ist grundsätzlich möglich, so Frau Franze. Allerdings rät sie zu einer optischen Trennung der Felder, in denen Daten nach dem Meldegesetzt erfasst werden und alle anderen Informationen, denn weder die E-Mail-Adresse des Gastes noch sein KFZ-Kennzeichen dürfen an die Meldebehörde weitergegeben werden. In jedem Fall sind 2 Unterschriften notwendig.

Unterschiedlich behandelt werden übrigens Pre- und Post-Stay-Mails. Während eine Pre-Stay-Email laut neuer Verordnung zum Service oder formal ausgedrückt in den Bereich der Vertragserfüllung  gehört, wird für die Zusendung einer Post-Stay-E-Mail genau wie für den Newsletter die oben erwähnte ausdrückliche Einwilligung notwendig.

Vorsicht bei sensiblen Daten

Besondere Aufmerksamkeit ist geboten, wenn es um die Speicherung der Daten von Kindern (selbst bei auf diese Zielgruppe spezialisierten Hotels) geht. Diese ist nur mit der ausdrücklichen Einwilligung der Eltern möglich. Sensibel ist auch das Speichern von Gesundheitsdaten, Allergenen – oder „bad marks“ wie Rauchen im Nichtraucherzimmer. Hier wird zu einer Umstellung auf Symbole statt negativer Anmerkungen geraten.

Ausdrücklich weist die Juristin auf die umfassende Dokumentationspflicht hin – aus ihrer Schätzung sind das rund 150 Prozesse, die dokumentiert werden müssen. Es gibt Musterformulare für Verarbeitungstätigkeiten, durch deren Nutzung man auf der sicheren Seite sei. Ein eigener Datenschutzbeauftragter ist nur notwendig, wenn mindestens 10 Personen ständig mit der Verarbeitung von Daten beschäftigt sind, von der Reservierung und Rezeption bis zur Buchhaltung oder eine Videoüberwachung des Betriebes stattfindet. Ein solcher Beauftragter muss nicht nur benannt, sondern auch bei den zuständigen Aufsichtsbehörden gemeldet werden.

Es gibt keine Rechtssicherheit

Einen Leitfaden des Hotelverbandes Deutschland kann unter www.iha-service.de gegen eine Gebühr von 45,00 € bezogen werden. IHA-und DEHOGA-Mitglieder erhalten ihn über die jeweiligen Verbände kostenfrei.

Geduldig beantwortete Laura-Sophie Franze die zahlreichen Fragen, welche den Tagungsteilnehmern unter den Nägeln brannten. Doch eine Entscheidung kann sie keinem Hotelbetreiber abnehmen:

„Das Abwägen des Risikos muss jeder für sich umsetzen“

Dies gilt auch für die Entscheidung, ob man für die Umsetzung einen Berater benötigt, von denen sich zahlreiche aktuell im Markt tummeln und ebenfalls zur Verunsicherung der Hoteliers beitragen.

…und auch keinen Königsweg!

Dies ist die Erkenntnis von Klaus Michael Schindlmeier, Geschäftsleiter des BEST WESTERN PLUS Palatin Kongresshotels. Er sieht die neue Verordnung als Chance, die Branche weiterzubringen und junge Leute zu begeistern. Für sich und seinen Betrieb hat er einen radikalen Schritt unternommen, alte Daten komplett gelöscht und alles neu aufgestellt. Heute ist das Palatin das erste Hotel in Deutschland, das im Bereich Datenschutz zertifiziert wurde.

In einem erfrischenden Vortrag verstand es Herr Schindlmeier, den Zuhörern die Angst vor dem großen Dämon Datenschutzgrundverordnung zu nehmen. Gleichzeitig lieferte er nicht nur eine nachvollziehbare Beschreibung seines Wegs von der Idee bis zur Umsetzung, sondern auch viele Praxisbeispiele, die sich für viele zeitnah umsetzen lassen.

Eine große und wichtige Aufgabe ist es dabei, alle Mitarbeiter für den sorgsamen Umgang mit Gastdaten zu sensibilisieren und zu motivieren. Dies beginnt mit Bildschirmschonern mit Hinweisen zum Datenschutz und einem individuellen Passwort für jeden. Immer, wenn eine Person den Arbeitsplatz verlässt, ist sie zu einem Logout verpflichtet. Die Guest Journey im Hotel startet morgens mit – für jeden hörbar – der Abfrage von Name und Zimmernummer – auf dem Rückweg liegen die Housekeeping-Listen für jeden einsehbar auf dem Etagenwagen. Hinter den Kulissen sind kritische Punkte offen herumliegende Post oder Sticks, auf denen unterschiedliche Informationen gespeichert sind. Dies gilt ganz besonders, wenn diese an Gäste augehändigt werden – hier herrscht im Palatin absolute Pflicht zum Löschen.

Datenschutz

Photo von Brina Blum auf Unsplash


Es geht nicht nur um Gast-, sondern auch um Mitarbeiterdaten

Das Bewerberhandling hat Klaus M. Schindlmeier übrigens komplett auf online umgestellt. Dies ermöglicht eine sofortige Rückantwort, wie sie gerade für die Generation Y sehr wichtig ist. Beigefügt ist ein kleiner Test, der zusätzliche Informationen zur Persönlichkeit des Bewerbers liefert. Auch das weitere Procedere wird online abgewickelt. Damit werden z.B. herumliegende Personalakten vermieden.

Der Rat des Vollblut-Hoteliers an alle mit Berühungsängsten zur neuen Verordnung: „Die jungen Leute machen lassen!“ Er hat damit ganz offensichtlich beste Erfahrungen gemacht.

Danke an die Gastgeber für die interessante und informative Veranstaltung. Das Hotel-Kompetenz-Zentrum ist Partner zahlreicher Hersteller aus dem Kreis der Fördermitglieder des FCSI und gerne besuchte Ausstellungsfläche – gemeinsam mit Kunden – von FCSI Beratern und Planern http://www.hotelkompetenzzentrum.de

Die IHA-Roadshow zur neuen Datenschutzverordnung sowie der ab dem 1. Juli 2018 gültigen Pauschalreise-Richtlinie geht in die Verlängerung und macht noch Station in Düsseldorf, Saarbrücken, Stuttgart und Berlin. Termine und weitere Informationen finden Sie unter http://www.hotellerie.de

Konkrete Fragen an die Justiziarin des Hotelverbandes Deutschland, Laura-Sophie Franze, richten Sie bitte an franze@hotellerie.de