Quantcast
Channel: Videoüberwachung Archiv | Dr. Datenschutz
Viewing all articles
Browse latest Browse all 141

Datenschutz im Hotel: Diese Daten dürfen verarbeitet werden

October 8, 2024, 9:08 am
$
0
0

In einem Hotel zu übernachten, gehört für viele Menschen zum Alltag, egal ob man privat oder beruflich unterwegs ist. Und natürlich werden dabei auch viele personenbezogene Daten der Hotelgäste verarbeitet. Doch welche Daten dürfen Hotelbetreiber überhaupt verarbeiten? Wir möchten die typischen Fälle der Datenverarbeitung im Hotel in diesem Beitrag genauer beleuchten.

Hotelbesuche, wer kennt das nicht…

Der Aufenthalt beginnt bekanntlich mit dem Check-In. Man könnte aber auch sagen, er beginnt mit der Erhebung personenbezogener Daten. Das Prozedere läuft meistens gleich ab. Im Empfangsbereich des Hotels bewegt man sich zunächst zur Rezeption. Dort sagt man seinen Namen, füllt schnell irgendeinen Zettel aus und bekommt einen Schlüssel bzw. den Zugangscode. Die wenigsten machen sich Gedanken darüber, ob die Datenerhebung überhaupt zulässig ist, welche weiteren Informationen man im Laufe des Aufenthalts preisgibt und was mit den gemachten Angaben passiert. Doch in Anbetracht der möglichen Einblicke in das Leben der Gäste durch den Betreiber des Hotels sind diese Fragen legitim, ja vielleicht sogar notwendig.

Datenschutz bei typischen Datenverarbeitungen im Hotel

Datenschutz beim Meldeschein im Hotel

Bei einem Hotel handelt es sich um eine Beherbergungsstätte nach dem Bundesmeldegesetz (BMG), da eine Einrichtung vorliegt, die der gewerbs- oder geschäftsmäßigen Aufnahme von Personen dient. Die Folge ist, dass in Hotels die besondere Meldepflicht gem. § 29 ff. BMG gilt. Gäste haben damit am Tag der Ankunft (Check-In) einen besonderen Meldeschein handschriftlich zu unterschreiben, der die in § 30 Abs. 2 BMG aufgeführten Daten enthält. Dieser Meldeschein darf grundsätzlich nur enthalten:

  • Datum der Ankunft und der voraussichtlichen Abreise,
  • Familiennamen,
  • Vornamen,
  • Geburtsdatum,
  • Staatsangehörigkeiten,
  • Anschrift,
  • Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Absatz 2 Satz 2 und 3 BMG sowie
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.

Die Erhebung von Angaben darüber hinaus ist zumindest nicht durch die Meldepflicht gerechtfertigt. Die Meldeformulare müssen für den Fall der Einsicht durch die Polizei für eine gewisse Zeit vor der Vernichtung aufbewahrt werden. Die Dauer der Aufbewahrung beträgt vom Tag der Anreise der beherbergten Person an ein Jahr. Nach Ablauf der Aufbewahrungsfrist, sind die Meldescheine innerhalb von drei Monaten zu vernichten.

Die oben genannten Pflichten gelten zukünftig allerdings nur noch bezüglich ausländischer Gäste. Eine entsprechende Änderung des § 29 Abs. 2 BMG wurde bereits vom Bundestag beschlossen.

Einsatz von Videoüberwachung auf dem Hotelgelände

Auch das Thema Videoüberwachung spielt im Datenschutz bekanntlich immer wieder eine Rolle. Da in Hotels naturgemäß viele Gäste ein- und ausgehen und auch die Fluktuation unter den Beschäftigten im Hotelbetrieb sicherlich höher ist als anderswo, kann man nachvollziehen, dass viele Hotelbetreiber ihr Eigentum mit Hilfe von Kameras schützen wollen. Aus datenschutzrechtlicher Sicht ist dies natürlich nicht unproblematisch, da natürlich auch das Interesse der Gäste am Schutz ihrer persönlichen Daten zu berücksichtigen ist.

Eine Videoüberwachung kann in der Regel nur auf das berechtigte Interesse des Hotelbetreibers gestützt werden, es muss also das mildeste Mittel sein. Nicht weniger kompliziert ist die Überwachung in Bezug auf die Mitarbeiter im Hotel. Pausen- oder Umkleideräume und ähnliches sind tabu. Aber auch der Einsatz von Kameras im Außenbereich und beim Empfang kann aufgrund eines möglichen Überwachungsdrucks für die Beschäftigten datenschutzrechtlich bedenklich sein.

Personalausweis kopieren im Hotel erlaubt?

Personalausweise werden an Rezeptionen in Hotels in vielen Fällen noch immer kopiert. Aber auch die Verarbeitung dieser Daten bedarf natürlich einer Rechtsgrundlage. Zunächst kommt Art. 6 Abs. 1 lit. b DSGVO in Betracht, da in aller Regel ein Beherbergungsvertrag zwischen Hotelbetreiber und Gast vorliegt. Entscheidend ist dann aber für die Rechtmäßigkeit der Datenverarbeitung, ob diese zur Erfüllung des Vertrags erforderlich ist. Dazu gehören beispielsweise Abrechnungsdaten über Speisen und Getränke und sicherlich auch Informationen über konkret in Anspruch genommene Leistungen wie beispielsweise Wellness-, Ausflugs- oder Transportangebote.

Da stets der Grundsatz der Datenminimierung einzuhalten ist, dürfte eine Erforderlichkeit nur in wenigen Ausnahmefällen gegeben sein. Nach Ansicht der Baden-Württembergischen Aufsichtsbehörde sollte Folgendes beachtet werden:

  • Die Erstellung einer Kopie muss erforderlich sein.
  • Dabei ist insbesondere zu prüfen, ob nicht die Vorlage des Personalausweises und ggf. die Anfertigung eines entsprechenden Vermerks (z. B.: „Personalausweis hat vorgelegen.“) ausreichend ist.
  • Die Kopie darf ausschließlich zu ldentifizierungszwecken verwendet werden.
  • Die Kopie muss als solche erkennbar sein.
  • Daten, die nicht zur ldentifizierung benötigt werden, können und sollen von den Betroffenen auf der Kopie geschwärzt werden, insbesondere die auf dem Ausweis aufgedruckte Zugangs- und Seriennummer oder das Foto. Die Betroffenen sind auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen.
  • Die Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der mit der Kopie verfolgte
  • Zweck erreicht ist.

Auch die Berliner Aufsichtsbehörde weist ausdrücklich darauf hin, dass die Hinterlegung aller in Ausweisdokumenten enthaltenen Daten weder melderechtlich noch für die Durchführung des Beherbergungsvertrages notwendig sind. Beim Kopieren von Ausweisdokumenten ist aus Sicht des Verantwortlichen also immer Vorsicht geboten. Gesetzliche Verpflichtungen greifen in der Regel eher für Kreditinstitute oder Finanzdienstleister, aber nicht für Hotelbetreiber. Die Regelungen des BMG sind insoweit abschließend. Daher ist das Anfertigen von Ausweiskopien auch nicht gerechtfertigt, um Meldedaten der Gäste überprüfen zu können oder etwaige Schadensfälle besser verfolgen zu können. Zum einen ist die Überprüfung der Richtigkeit der Meldedaten nicht die Aufgabe von privatrechtlichen Unternehmen und zum anderen ergeben sich die für die Vertragserfüllung notwendigen Angaben – einschließlich der Geltendmachung möglicher Schadensersatzansprüche – ja schon aus dem zuvor ausgefüllten Meldeschein.

Auch das Allheilmittel der Einwilligung ist kaum umsetzbar, da es in aller Regel schon an der Freiwilligkeit fehlt. Schließlich wird den Gästen oftmals weisgemacht, es bestände eine rechtliche Pflicht zur Anfertigung der Ausweiskopie oder dies geschehe „auf Anweisung der Geschäftsführung“.

Zulässigkeit von schwarzen Listen für unliebsame Gäste des Hotels (Hausverbot)

Im Rahmen der Vertragsfreiheit dürfen Hotelbetreiber frei entscheiden, wen sie als Gäste empfangen möchten. Wenn jemand gegen das Rauchverbot im Hotel verstoßen oder sich anderweitig vertragswidrig verhalten, kann das für Hotelbetreiber sehr lästig sein. Oftmals führen Hotels daher sogenannte schwarze Listen mit den Namen auffällig gewordener Gäste einschließlich eines Zusatzes mit dem Vermerk des entsprechenden Verstoßes.

Doch ist dies überhaupt zulässig? Sofern das in der Liste vermerkte Verhalten nachweislich vorgelegen hat, spricht grundsätzlich nichts dagegen. Wichtig ist in diesem Zusammenhang auch, dass Betroffene über die Datenverarbeitung gemäß Art. 13 DSGVO informiert werden müssen. Zudem würden diese Daten auch Gegenstand eines Auskunftsersuchens gemäß Art. 15 DSGVO sein. In einem Fall, welcher bei der Berliner Aufsichtsbehörde gelandet ist, hatte das Hotel die Auskunft nicht erteilt mit der Begründung, dass die Liste nur innerhalb des Hotels geführt werde und nicht öffentlich sei. Da aber weder die DSGVO noch die alte Fassung des BDSG eine solche Unterscheidung kennen, war die Argumentation des Hotelbetreibers wenig überzeugend.

ToM: Unverschlüsselte Übertragung von Kreditkartendaten

Da in Hotels normalerweise nicht nur Daten in einem großen Umfang verarbeitet werden, sondern auch sensible Informationen wie Gesundheitsdaten oder Kontodaten vorhanden sind, spielen natürlich auch Maßnahmen zur Datensicherheit eine große Rolle. Gemäß Art. 32 DSGVO müssen Verantwortliche zum Schutz der Rechte und Freiheiten der Betroffenen ihre Datenverarbeitungen durch geeignete technische und organisatorische Maßnahmen absichern.

Wenn diese Vorgaben nicht eingehalten werden, drohen Bußgelder. So hatte die britische Datenschutzbehörde vor vier Jahren ein Bußgeld in Höhe von umgerechnet ca. 20 Mio. EUR gegen die Hotelkette Marriott verhängt, weil diese es versäumt hatte, Daten von über 300 Millionen Kunden sicher zu verwahren. Insbesondere wurde die fehlende Verschlüsselung von sensiblen Daten wie Pass- und Kreditkarteninformationen bemängelt. Zunächst hatte das Bußgeld sogar umgerechnet ca. 110 Mio. EUR betragen. Dem Unternehmen war es aber durch eine gute Kooperation mit der Behörde und auf Grund der Tatsache, dass keine vorherigen Verstöße vorgelegen hatten, gelungen, das Bußgeld deutlich zu verringern.

Aber auch bei scheinbar simplen Vorgängen drohen Datenpannen. In zwei ähnlich gelagerten Fällen beim LfDI Baden-Württemberg hatten Hotelbetreiber Kreditkarteninformationen über ein Online-Buchungsformular mittels sicherer TLS-Verschlüsselung erhoben. Anschließend wurden die Kreditkartendaten einmal in der Reservierungsbestätigung dem Gast zugeschickt und einmal um das Nachreichen der nicht angegebenen Kreditkartendaten per Mail gebeten. In beiden Fällen lief es darauf hinaus, dass sensible Daten mittels „gewöhnlicher“ Mail ohne Ende-zu-Ende-Verschlüsselung versandt und somit gegen Art. 32 DSGVO verstoßen wurde. Denn nach Ansicht des Bayerischen Landesamtes für Datenschutzaufsicht und laut dem Payment Card Industry Data Security Standard für Hotels der großen Kreditkartendienstleister ist eine Übertragung von Kreditkartendaten in einer transportverschlüsselten E-Mail kategorisch auszuschließen.

Weiterverarbeitung der Gästedaten für Werbung

Kaum hat man ein Hotelzimmer für den nächsten Urlaub gebucht, bekommt man auch schon E-Mails mit weiteren Angeboten desselben Betreibers oder von einem seiner zahlreichen Vertragspartner. Oder der Urlaub ist gerade vorbei und schon möchten die Betreiber wissen, wie es uns im Hotel gefallen hat. Da solche und ähnliche Aktionen stets als Werbung zu klassifizieren sind, müssen auch hier datenschutzrechtliche Vorgaben (und auch die des UWG) eingehalten werden. Marketing- oder Werbecharakter hat eine Mail immer dann, wenn der Empfänger auf irgendeine Weise zum Kauf oder zur Entgegennahme einer angebotenen Dienstleistung animiert wird. Die Rechtsprechung legt den Begriff der Werbung dabei sehr weit aus, so dass im Zweifel bei jeder Maßnahme, welche auf irgendeine Weise den Absatz fördern soll, von Werbung auszugehen ist.

Es ist daher sicherlich verlockend, die privaten Anschriften oder auch E-Mail-Adressen für Newsletter oder Zufriedenheitsumfragen zu verwenden. Hier ist aber Vorsicht geboten, da dies in der Regel nur auf Grund einer ausdrücklichen Einwilligung möglich ist. Denn die persönlichen Adressdaten werden üblicherweise zum Zwecke der Vertragsdurchführung und -abwicklung erhoben. Der Erhalt von Werbung ist davon also erst einmal nicht erfasst. Ausnahmen sind nur möglich im Rahmen der sogenannten Bestandskundenausnahme, wenn also zwischen Hotelbetreiber und Gast bereits ein Vertragsverhältnis bestanden hat und sich die Werbung zudem auf ähnliche Produkte oder Dienstleistungen bezieht.

Auch bei der Nutzung von Bewertungsportalen sind datenschutzrechtliche Vorgaben einzuhalten. Nicht selten kommt es offenbar vor, dass Klarnamen in Bewertungsportalen auftauchen, obwohl diese von den Gästen im Rahmen der Bewertung gar nicht angegeben worden sind. Hier sollten Hotelbetreiber also darauf achten, neutrale Formulierungen zu verwenden oder Bewertungen durch die Gäste unter Nutzung von Pseudonymen zuzulassen.

Ist ein Datenschutzbeauftragter im Hotel verpflichtend?

Eine generelle Verpflichtung zur Bestellung eines Datenschutzbeauftragten gibt es für Hotelbetreiber nicht. Es gelten die allgemeinen Vorgaben auch Art. 37 DSGVO bzw. § 38 BDSG. Es kommt also auch hier auf den jeweiligen Einzelfall an. Sobald aber mindestens 20 Beschäftigte im Hotelbetrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind oder zum Beispiel eine umfangreiche Videoüberwachung stattfindet, ist die Bestellung eines Datenschutzbeauftragten verpflichtend. Darüber hinaus kann es natürlich sinnvoll sein, auch freiwillig eine solche Kontrollinstanz einzurichten. Schließlich können Datenschutzverstöße oder Datenpannen einschließlich negativer Publicity insbesondere in der Hotelbranche das Vertrauen in den Betrieb stark beschädigen.

Weniger ist manchmal mehr

Sicherlich dürfte dem Großteil der Hotelbetreiber inzwischen bewusst sein, dass sie personenbezogene Daten ihrer Gäste stets nur im Einklang mit den gesetzlichen Anforderungen erheben dürfen. Allerdings zeigen die oben genannten Beispiele auf, dass es natürlich auch in dieser Branche schwarze Schafe gibt, welche den Datenschutz und die Privatsphäre ihrer Gäste nicht allzu genau nehmen. Vor allem beim Kopieren von Personalausweisen oder beim Versenden von Werbung scheinen sich hartnäckig Irrtümer bezüglich der Grenzen des Erlaubten zu halten. Insofern dürften Aufsichtsbehörden und Gerichte auch hier weiterhin genug Arbeit haben.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
Search
Viewing all articles
Browse latest Browse all 141
Search