Wer Daten von Personen aus dem EU-Raum erhebt, kommt auch hierzulande nicht darum herum, sich mit der europäischen Datenschutzgrundverordnung auseinanderzusetzen. Die wichtigsten Punkte kurz zusammengefasst.
Nach all dem Trubel und den Warnungen ist es seit Ende Mai wieder sehr ruhig geworden um die europäische Datenschutzgrundverordnung (DSGVO). Die erwartete Abmahnwelle blieb aus und es sind aus Hotellerie und Gastronomie keine Fälle bekannt, in denen ein Betrieb in punkto Datenschutz angegangen worden wäre.
Das ist jedoch kein Grund, sich zurückzulehnen! Die DSGVO ist und bleibt Gesetz und gilt für alle Schweizer Betriebe, die Kunden oder Gästen aus der EU Waren oder Dienstleistungen anbieten und dazu die Daten dieser Personen verarbeiten. Zudem wird die Schweiz im Laufe des Jahres mit einem Pendant zur DSGVO nachziehen, welches dann für alle Schweizer Unternehmen gelten wird. Wer sich jetzt gut vorbereitet, spart später Zeit und Umtriebe.
Die Grundsätze der DSGVO
Die Ziele der DSGVO sind grundsätzlich lobenswert, denn es geht um den Schutz privater Daten. Diese dürfen nur rechtmässig erhoben und verarbeitet werden und nur für den angegebenen Zweck. Sie sollen auf ein Mindestmass beschränkt und nur so lange wie unbedingt nötig gespeichert werden. Ihre Sicherheit muss gewährleistet und ihre Verarbeitung der Daten dokumentiert werden. Zudem muss die Einwilligung der betroffenen Personen eingeholt werden, sie müssen über die Nutzung informiert werden und können jederzeit die Einsicht, Korrektur, Übertragung oder Löschung ihrer Daten verlangen.
So weit so gut. In der Umsetzung ist die DSGVO jedoch – vor allem für kleinere Betriebe – ein ziemliches Bürokratiemonster und stellt diese vor Aufgaben, die ihnen zum Teil gar nicht bewusst sind. Im Folgenden finden Sie die wichtigsten Aspekte der DSGVO für Hoteliers und Gastronomen.
Die DSGVO und Ihre Webseite
Sorgen Sie zuallererst dafür, dass Ihre Webseite datenschutzkonform gestaltet ist. Dabei geht es vor allem um Dinge wie Datenschutzerklärung, Cookie Banner, Datenerhebungs-Einwilligungen und die Analysedienste.
Datenschutzerklärung (DSE)
Vorlagen für die Datenschutzerklärung finden Sie im Internet oder als Mitglied auch beim Verband hotelleriesuisse. Jede lautet ein bisschen anders, wichtig sind vor allem folgende Punkte:
• Jede Datenerhebung und -Speicherung, ob auf der Webseite über Formulare oder im Betrieb im Zusammenhang mit Reservierungen oder Buchungen, muss in der DSE erwähnt werden – zusammen mit allfälligen externen Dienstleistern, die diese Daten weiterverarbeiten (z.B. Webhosting, Newsletter-System, PMS- oder CRS-Anbieter, etc.)
• Cookies: Die meisten Webseiten sammeln so genannte «Cookies», welche ebenfalls in der DSE aufgeführt werden müssen.
• Google Analytics oder andere Analyseprogramme sammeln Daten über die Nutzung der Webseite durch Besucher und müssen in der DSE aufgeführt werden.
• Social Media: Dynamische «Widgets» von Facebook und anderen Social Media sammeln Daten über Webseitennutzer und müssen ebenfalls in der DSE erwähnt werden.
Cookie-Banner
Cookies sind kurze Textinformationen, die Ihre Webseite auf dem Computer des Besuchers platziert – z.B. um wiederkehrende Besucher zu erkennen, Produkte im Warenkorb zu sammeln, etc. So genannte Cookie-Banner, die beim ersten Aufruf der Webseite erscheinen, weisen Besucher darauf hin. Die genauen Anforderungen an ein rechtssicheres Cookie-Banner sind auch unter Experten noch nicht restlos geklärt. Ihre Webseite sollte Besucher jedoch mindestens auf den Einsatz von Cookies hinweisen und ihre Einwilligung dazu abholen.
Datenminimierung und Einwilligung
Alle Formulare auf Ihrer Webseite, ob Kontaktformular, Reservierungsanfrage oder Newsletter-Abo, sollten nur die unbedingt nötigen Informationen abfragen. Zudem sollten sie eine Erklärung zur Nutzung der Daten enthalten sowie eine Einwilligungs-Checkbox, die der Besucher anklicken muss, um das Formular abzusenden.
Google Analytics
Google Analytics zeichnet alle Besuche Ihrer Webseite auf, um Sie über Nutzung und Leistung Ihrer Webseite zu informieren – und überträgt diese Daten zudem auf Server in den USA. Diese Daten sollten nur für den Mindestzeitraum von 14 Monaten gespeichert und die IP-Adressen der Besucher sollten anonymisiert werden. Auch sollten Sie mit Google einen Auftragsdatenverarbeitungsvertrag abschliessen. Falls Sie Werbung mit Google Adwords betreiben, fragen Sie Ihren Adwords-Partner, ob und wie Sie Ihre Datenschutzerklärung entsprechend anpassen müssen.