Schwarze Liste für unerwünschte Gäste?
Jeder Hotelbetreiber darf völlig frei entscheiden, welche Gäste er aufnehmen möchte. Schließlich gilt der Grundsatz der Vertragsfreiheit. Doch darf in dem Hotel eine schwarze Liste unerwünschter Gäste geführt werden, denen Hausverbot erteilt wurde? Möglicherweise noch mit Angabe des Grundes für das Hausverbot? Grundsätzlich ist dies tatsächlich erlaubt. Allerdings müssen die Betroffenen laut Art. 13 DSGVO auch über diese Datenverarbeitung informiert werden. Auch im Rahmen eines Auskunftsersuchens müssten die Betroffenen über diese Datenverarbeitung informiert werden.
Der Aufsichtsbehörde in Berlin lag ein Fall vor, in dem ein Hotel diese Auskunft im Rahmen eines Auskunftsersuchens nicht gab und dies damit begründete, dass es sich um eine interne Liste handele, die nicht öffentlich zugänglich sei. Diese Unterscheidung machen allerdings weder die DSGVO noch das BDSG in seiner alten Fassung, weshalb man der Argumentation nicht folgte.
Umgang mit sensiblen Daten
Auch sensible Daten werden in Hotels verarbeitet, seien es Konto- oder Gesundheitsdaten. Folglich muss auch in der Hotellerie die Datensicherheit gewahrt werden. Art. 32 DSGVO gibt den Verantwortlichen vor, dass die Datenverarbeitung von den Verantwortlichen mit geeigneten organisatorischen und technischen Vorkehrungen abzusichern ist. Wird dies nicht getan, können Bußgelder verhängt werden. Wie kürzlich in Großbritannien, wo die Datenschutzbehörde vor einigen Jahren ein Bußgeld von etwa 20 Millionen Euro verhängte: Die Hotelkette Marriott hatte Daten von mehr als 300 Millionen Kunden nicht sicher verwahrt. So wurden sensible Daten – Kreditkarten- und Passinformationen – nicht verschlüsselt.
Manchmal liegt die Tücke im Detail
Auch bei ganz einfachen Geschäftsvorgängen sollte man die Anforderungen des Datenschutzes immer im Blick haben, wie zwei Fälle aus Baden-Württemberg zeigen: Über eine Online-Buchung erhoben Hotelbetreiber Informationen zu Kreditkarten, wobei eine sichere TLS-Verschlüsselung eingesetzt wurde. Danach jedoch wurden die sensiblen Kreditkartendaten in dem einen Fall mit einer Reservierungsbestätigung an den Gast gesandt. In dem zweiten Fall wurde der Gast darum gebeten, die Daten der Kreditkarte per Mail zu senden, weil diese noch nicht angegeben wurden. Das Problem war beide Male, dass diese sensiblen Daten mit einer E-Mail ohne die wichtige Ende-zu-Ende-Verschlüsselung gesandt wurden. Das waren Verstöße gegen Art. 32 DSGVO, so das Bayerische Landesamt für Datenschutzaufsicht und auch laut Payment Card Industry Data Security Standard, auf den sich die Kreditkartendienstleister für Hotels geeinigt haben: Es ist nicht sicher genug, die sensiblen Kreditkartendaten in einer E-Mail zu versenden, die lediglich transportverschlüsselt ist.
Mehr Informationen zum Umgang mit sensiblen Daten …
… erhalten Sie von unserem Team. Wir beraten Sie gern zu Ihrer speziellen Situation. Rufen Sie uns doch einfach unter Telefon 09122 6937302 an oder schreiben Sie uns Ihre Nachricht. Wir unterstützen Sie sehr gern!
Ihr Team von Datenschutz Prinz
Lesen Sie auch hier weiter:
- Folge 1: Erst die Daten, dann der Schlüssel
- Folge 2: Meldeschein und Ausweiskopie – was geht?
- Folge 4: Werbung für die Gäste – erlaubt oder verboten?
- Folge 5: Infos zur Videoüberwachung in Hotels