DATENSCHUTZ IM TOURISMUS - AKTUELLE BASICS

1. Jedes datenverarbeitende Unternehmen in Deutschland ist zur Einhaltung der Datenschutzregelungen verpflichtet.
2. Die Verarbeitung und Speicherung persönlicher Informationen ist nur mit Einwilligung oder aufgrund einer Rechtsgrundlage zulässig.
3. Persönliche Daten von Kunden oder auch Mitarbeitern dürfen grundsätzlich nicht ohne deren Einverständnis oder aufgrund einer gesetzlichen Regelung gespeichert, verarbeitet oder an Dritte übermittelt werden.
4. Die Verarbeitung zur Durchführung eines Vertrages ist erlaubt, da andernfalls der freie Wirtschaftsverkehr zu sehr eingeschränkt wäre. Hierbei müssen Unternehmen aber den Grundsatz der Datensparsamkeit beachten.
5. Unternehmen sind verpflichtet, ihren Kunden umfassend Auskunft über die gespeicherten Daten zu erteilen. Wird dies nicht eingehalten, drohen Prüfungen von Aufsichtsbehörden und ggf. Bußgelder.

Die Auslagerung der Datenverarbeitung findet im Zeitalter von Cloud-Computing immer mehr Anhänger, auch auf Unternehmensseite. Was technisch durch wenige Klicks möglich gemacht wird, ist datenschutzrechtlich mit vielen Hürden verbunden. Denn sobald Personendaten außerhalb des eigenen Unternehmens gespeichert werden, ist hierfür die Einwilligung der Kunden (schwierig zu bekommen und widerruflich) oder eine Rechtsgrundlage notwendig.

Alternativ gibt es die sogenannte Auftragsdatenverarbeitung, welche beispielsweise den Cloud-Anbieter verpflichtet, die Daten nicht für eigene Zwecke zu nutzen und gegenüber dem Auftraggeber technische Vorkehrungen der Datensicherheit auferlegt. Unternehmen müssen diese Anforderungen bei allen Auslagerungen und Datenspeicherungen auf fremden Servern einhalten. Die Auftragsdatenverarbeitung ist zudem mit dem Dienstleister schriftlich zu vereinbaren. Neben Cloud-Diensten wie Google Drive, Dropbox oder Office 365 gehört dazu auch das Exchange E-Mail-Postfach oder das Buchungssystem auf der Website, wenn die Informationen auf fremden Servern von Dienstleistern gespeichert sind. Selbst der Dienst Google Analytics ist nur mit einer Auftragsdatenverarbeitung datenschutzkonform nutzbar, da hierbei durch Google IP-Adressen verarbeitet werden, welche laut herrschender Ansicht personenbezogene Daten darstellen.

Für Unternehmen wird es immer schwieriger die umfangreichen Regelungen zum Datenschutz einzuhalten. Auch aus diesem Grund fordert das deutsche Gesetz die Bestellung eines Datenschutzbeauftragten. Diese Pflicht bestimmt sich nach der Anzahl der Mitarbeiter. Ab zehn Beschäftigten, die regelmäßig mit der Verarbeitung personenbezogener Daten betraut sind, ist die Schwelle bereits erreicht und das Unternehmen muss einen Datenschutzbeauftragten bestellen. Dabei genügt bereits die Zugriffsmöglichkeit auf eine Kundendatenbank, um als Mitarbeiter in den Kreis der "Datenverarbeiter" mit einbezogen zu werden. Unerheblich ist zudem auch die Art der Anstellung, weshalb auch Freelancer und Praktikanten mitgezählt werden. Da nahezu alle Unternehmen zumindest über ein E-Mail-Programm verfügen, ist so gut wie jede Firma ab dem zehnten Mitarbeiter von der Bestellpflicht erfasst. Ab 2018 wird es in Europa ein einheitliches Datenschutzrecht mit der EU-Datenschutzgrundverordnung (EU-DSGVO) geben. Diese sieht erstmals europaweit die Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Allerdings gilt diese Pflicht nur in den Bereichen, in denen die Kerntätigkeit in der Verarbeitung von personenbezogenen Daten liegt. In Deutschland wird sich hingegen an der jetzigen Regelung wohl nichts ändern. Die EU-DSGVO beinhaltet nämlich eine sogenannte Öffnungsklausel, welche den Mitgliedsstaaten eigene Regelungen zur Bestellpflicht ermöglicht. Deutschland wird aller Voraussicht nach bei der jetzigen Regelung bleiben.

In der Tourismusbranche findet sich die Besonderheit, dass privatrechtlich auftretende Gesellschaften häufig öffentlich-rechtliche Träger haben. Es stellt sich die Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) auch in diesen Fällen beachtet werden müssen, da eine Abgrenzung zwischen privater Unternehmung und öffentlicher Gemeinde häufig Schwierigkeiten bereitet. Um es kurz zu halten: Die Antwort lautet "Ja".

Auch wenn sich auf Landesebene zum Teil eigene Vorschriften zum Datenschutz finden, gelten die allgemeinen Bestimmungen des BDSG sowohl für öffentliche als auch "nicht-öffentliche" Stellen. Hierzu zählt auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in § 4f BDSG, weshalb es auf eine Differenzierung zwischen privat und öffentlich in diesem Fall nicht ankommt. Im Übrigen finden sich auch in den Landesgesetzen zusätzliche Regelungen zur Bestellpflicht des behördlichen Datenschutzbeauftragten (z.B. Artikel 25 Bayerisches Landesdatenschutzgesetz).

Der Datenschutzbeauftragte wirkt auf die Einhaltung der Datenschutzgesetze hin und ist der erste Ansprechpartner im Unternehmen, wenn es um Fragen zum Datenschutzrecht und der Datensicherheit geht. Primäre Aufgaben eines Datenschutzbeauftragten sind:

• Aufbau eines Datenschutzmanagements
• Prüfung und Bewertung der Datenverarbeitung
• Schulung und Sensibilisierung der Mitarbeiter/KollegInnen

Der Datenschutzbeauftragte muss dabei zwingend die nötige Fachkunde im Datenschutz besitzen. Aus diesem Grund entscheiden sich Unternehmen vermehrt für die Beauftragung externer Berater, da diese weder geschult noch von der Arbeit freigestellt werden müssen. Zudem gibt es noch einen weiteren Vorteil: Um die Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten, genießt dieser einen Kündigungsschutz. Wird also ein interner Datenschutzbeauftragter bestellt, ist dieser – vergleichbar mit einem Betriebsrat – nur schwer zu kündigen.

Insbesondere die neuen Entwicklungen im europäischen Datenschutz erfordern die stetige Beachtung der aktuellen Rechtsprechung und Gesetzgebung. Gerade durch die Einführung der EU-DSGVO kommen zahlreiche Neuerungen auf die Unternehmen zu.

Im Zeitalter der datengetriebenen Geschäftsmodelle werden auch die Kunden sensibler, wenn es um die Verarbeitung ihrer persönlichen Daten geht. Zudem drohen Datenschutzbehörden mit empfindlichen Bußgeldern von zukünftig bis zu 20.000.000 EUR bei Verstößen gegen das Datenschutzrecht.

Einen aktuellen Überblick zu datenschutzrechtlichen Themen erhalten Sie im Blog der Datenschutzkanzlei. Hier können Sie sich auch für unser regelmäßiges und kostenloses "Datenschutz-Update" per E-Mail eintragen.

• Foto von Sora Shimazaki von Pexels