PDF downloaden

Datenschutz und Abmahnrisiko im Gastgewerbe

Am 25. Mai 2018 ist die Übergangsfrist zur Umsetzung der Datenschutzgrundverordnung DSGVO abgelaufen. Seither müssen vor allem Unternehmen, bei denen außerhalb der Personalabteilung personenbezogene Daten verarbeitet werden, besonders auf die Sicherheit der ihnen anvertrauten Daten achten.

Jeder wurde deshalb in den Wochen vor dem Umsetzungszeitpunkt mit E-Mails und Briefen förmlich bombardiert. Alle möglichen sinnigen und unsinnigen Hinweise, Erklärungen, Opt-Ins, Re-Opt-Ins, Opt-outs und Einwilligungen wurde da erklärt, erbeten, eingefordert oder ermöglicht. Die DSGVO hat also vor allem eines bewirkt: einen gewaltigen Papierkrieg (einschließlich Datenflut) und eine enorme Verunsicherung aller verantwortlichen Akteure der mittelständischen Wirtschaft.
Diese Verunsicherung war geradezu programmiert. Denn eines der Grundprobleme der DSGVO ist, dass sie unterhalb des Schwellenwerts von 250 Mitarbeitern zwar eigentlich keine Anwendung finden soll, bei bestimmten Verarbeitungen aber dennoch zu einer Anwendbarkeit des „vollen datenschutzrechtlichen Programms“ einschließlich der kostspieligen Pflicht zur Benennung eines Datenschutzbeauftragten führt.

Leider handelt es sich dabei oftmals nicht, wie man vielleicht erwarten könnte, um hochspezialisierte Verarbeitungen in winzigen Nischen der heimischen Wirtschaft. Nein, das gesamte Gastgewerbe und somit eine Säule des Mittelstands ist im Kern betroffen. Denn Art. 9 der DSGVO bestimmt:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.


Daten wie die ethnische Herkunft, politische oder religiöse Überzeugung, Gewerkschaftszugehörigkeit, genetische Merkmale oder Gesundheitsdaten sind aber ebenso wie Bank- und Kreditkartenverbindungen laufend Gegenstand von Mailkorrespondenzen rund um die Hotelzimmerbuchung. Dazu ein konstruiertes, aber gar nicht besonders abwegiges Beispiel:


Der LGBT e.V. (die Abkürzung LGBT steht für Lesbian, Gay, Bisexual, Transgender, also Lesben, Schwule, Bisexuelle und Transgender) fragt über das Kontaktaufnahmeformular auf der Internetpräsenz eines Hotels Tagungsräume und Übernachtungskapazitäten für eine Veranstaltung an. Es soll sich um eine Podiumsdiskussion in Sälen des Hotels handeln, die auch im Rundfunk übertragen und mit Pressberichterstattung garniert werden soll. Als Teilnehmer sind neben dem Vereinsvorsitzenden vorgesehen ein Mitglied des Landtags, ein Gewerkschaftsfunktionär und ein Kirchenvertreter, die alle im Hotel übernachten sollen, wobei darauf hingewiesen wird, dass das Mitglied des Landtags gegen Nüsse allergisch ist und der Gewerkschaftsvertreter wegen einer (erblich bedingten) Zystenniere nur salzarme Kost verträgt. Die Zahlung soll per SEPA-Lastschriftmandat von einer per Mail übermittelten Kontoverbindung des Vereins erfolgen. Natürlich sollen außerdem die Zimmermädchen Betten machen, Handtücher und Toilettenartikel austauschen, die Minibar befüllen, Schlaf- und Badezimmer reinigen und dabei weitreichende Einblicke in den intimsten Lebensbereich der Gäste und ihrer Gewohnheiten erhalten. Alle diese Daten und Kenntnisse werden ja zur Erfüllung des Beherbergungsvertrags durchaus benötigt.

Im Nu sind also zahlreiche besonders sensible personenbezogene Daten Gegenstand einer Datenverarbeitung. Daraus folgt zwar nicht, dass alle diese Daten rechtswidrig erlangt werden oder dass deren Verarbeitung per se unzulässig wäre. Denn dann würde das gesamte Gastgewerbe einem Berufsverbot unterliegen. Das Beispiel zeigt aber, dass selbst „harmlose“ Hotelbetreiber schnell in den Anwendungsbereich einer Vorschrift geraten können, die eigentlich für multinational operierende Konzerne mit ihren vielköpfigen HR-/Compliance-Abteilungen und Syndici gedacht ist.
Davon zeugen nicht zuletzt die drastischen Bußgelddrohungen.

Und genau da setzt ein anderer Wirtschaftszweig an: die Abmahner. Abmahnungen wegen echter oder angeblicher Verstöße gegen die DSGVO und das neue Bundesdatenschutzgesetz waren absehbar und sind erwartungsgemäß bereits am 28. Mai 2018 bekanntgeworden. Wegen der momentanen Rechtsunsicherheit auf allen Seiten sind die Abmahner derzeit zwar allem Anschein nach eher zurückhaltend mit ihren Forderungen. Das darf aber nicht darüber hinwegtäuschen, dass es augenblicklich vielmehr darum geht, von den Gerichten zu erfahren, welche Arten von Verstößen denn in Zukunft als abmahnfähig angesehen werden, und welche nicht. Es dürfte dann außerdem davon auszugehen sein, dass erfolgreiche Abmahnungen in einem nächsten Schritt kostspielige Schadenersatzklagen nach sich ziehen werden. 

Wer sich bis jetzt noch nicht mit dem Thema Datenschutz befasst hat, für den ist deshalb noch nichts verloren. Die wichtigsten Überprüfungen und Maßnahmen sollten aber jetzt dennoch als Chefsache umgesetzt werden:

  • Ist der Internetauftritt datenschutzkonform?
  • Wird ein Datenschutzbeauftragter benötigt?
  • Gibt es im Unternehmen ein
  • Verzeichnis der Verarbeitungstätigkeiten (VVT),
  • wurde eine Datenschutzfolgeabschätzung durchgeführt,
  • sind aktuelle Datenschutzinformationen für Mitarbeiter, Kunden und sonstige Betroffene, sowie ein Löschkonzept vorhanden,
  • gibt es Vorgaben für eine effiziente Bearbeitung von Betroffenenrechten?

Und wenn vor der Umsetzung dieser Punkte doch eine Abmahnung ins Haus flattert, sollte unbedingt anwaltlicher Rat eingeholt werden. Denn solange eine höchstrichterliche Klärung der zahlreichen Rechtsfragen im Umgang mit der DSGVO aussteht, bieten sich nicht nur zahlreiche Angriffsstrategien, sondern ebenso auch Verteidigungsmöglichkeiten.
 

Erschienen am

Der Organisationsablauf unserer Kanzleien ist zertifiziert z.B. durch

TÜV Rheinland - nach CERT ISO 9001
TÜV Rheinland
nach CERT ISO 9001
DEKRA - nach CERT ISO 9001
DEKRA
nach CERT ISO 9001
TÜV HESSEN - nach CERT ISO 9001
TÜV HESSEN
nach CERT ISO 9001