Nichts überstürzen, aber handeln

Nichts überstürzen, aber handeln

Mit der neuen EU-Datenschutzgrundverordnung kommen neue Herausforderungen auf die Tourismusbranche zu. Hier einige Tipps, auf welche Bereiche besonders zu achten ist.

Die Datenschutzgrundverordnung (DSGVO) tritt im Mai 2018 in Kraft, und damit ein weitestgehend einheitliches Datenschutzrecht für die gesamte Europäische Union. Unternehmen jeder Branche und Größe werden stärker in die Pflicht genommen, personenbezogene Daten zu schützen. Viele der Regelungen bestehen bereits jetzt, denn Österreichs Datenschutzbestimmungen zählen international zu den strengsten. Ab Mai werden Verstöße aber unter anderem mit hohen Geldstrafen geahndet, die nun aufhorchen lassen. Es können Geldbußen von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes verhängt werden. Außerdem haften die Geschäftsführer unter Umständen auch persönlich für Verstöße.

TOURISMUS STARK BETROFFEN

Die neuen Regelungen haben wesentliche Bedeutung für die Tourismusbranche, denn in touristischen Unternehmen wie Hotels und Gastronomiebetrieben gibt es jede Menge Daten – ob von Mitarbeitern oder Gästen, ob Geburtstag oder Lieblingswein. „Bisher wurden in vielen Betrieben einfach Daten gesammelt, aber niemand hat sich darum gekümmert, was damit passiert“, weiß Juliane Messner, Rechtsanwältin in der Kanzlei Geistwert. Viele Unternehmen wüssten gar nicht, über welche personenbezogenen Daten sie verfügen. Die Verunsicherung in der Branche sei groß, denn die Regelungen seien komplex und häufig schlecht formuliert, so Messner. Die neuen Bestimmungen legen sich über die gesamte Rechtsordnung und betreffen etwa Bereiche wie das Persönlichkeitsrecht und das Urheberrecht.

LANGFRISTIG VON NUTZEN

„Der Urgedanke der Verordnung ist es, die Menschen wieder Herr ihrer Daten werden zu lassen, das ist eine gute Sache“, weiß Michael Buller, Vorstand des deutschen Verbandes Internet Reisevertrieb (VIR). Zunächst werden die Vorschriften für die Betriebe zwar eine große Belastung sein und viel Geld kosten. Wenn die vorhandenen Daten einmal strukturiert seien, könnten sie langfristig auch sinnvoll eingesetzt werden, ist der Experte überzeugt.

RISIKOAFFINE BRANCHE

Konkret geht es um die Verarbeitung bzw. Dokumentation personenbezogener Daten. Touristiker sollten nicht in Panik verfallen, sich aber geordnet mit dem Thema auseinandersetzen, rät Messner. In einem ersten Schritt sollten sie sich die Frage stellen, welche Daten vorliegen und wie diese bereits verarbeitet werden. Das beginnt schon bei der IP-Adresse eines Computers, die von so ziemlich jeder Website erfasst wird. In vielen Unternehmen liegen auch sensible Daten vor, was die Branche zu einem risikoaffinen Bereich macht. So verfügen beispielswiese Hoteliers oft über gesundheitsbezogene Daten wie beispielsweise Allergien und Informationen über die religiöse Zugehörigkeit ihrer Gäste. In diesem Bereich sind die Vorgaben besonders strikt und die höchsten Anforderungen müssen erfüllt werden.

RECHTE FÜR BETROFFENE

Besonders wichtig sind die sogenannten Betroffenenrechte: Die Menschen haben das Recht, darüber informiert zu werden, welche Daten bearbeitet werden und wie diese verwendet werden. Sie müssen zu jeder Zeit Auskunft erhalten und dürfen auch Kopien ihre Daten anfordern. Ebenso sind die Betroffenen berechtigt, Daten löschen, richtigstellen oder an andere Unternehmen übertragen zu lassen. Wenn sie mit der Verarbeitung nicht einverstanden sind, können sie auch Widerspruch einlegen oder sich bei der Aufsichtsbehörde beschweren. Unternehmen müssen in der Lage sein, grundsätzlich innerhalb eines Monats die geforderten Maßnahmen zu setzen. Außerdem müssen sie umfassend dokumentieren, wie sie die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen. Das ist besonders wichtig, weil die DSGVO zahlreiche Nachweis und Rechenschaftspflichten vorgibt.

IT-SICHERHEIT VERBESSERN

Unternehmer haben mit dem Wissen über ihre Kunden vertraulich umzugehen. Daher sollte auch dem Bereich IT-Sicherheit Aufmerksamkeit geschenkt werden. Die stetig wachsende Zahl an großen Datenpannen zeigt, dass kein Unternehmen vor Angriffen gefeit ist, wenn die grundlegenden Prinzipien des Datenschutzes nicht eingehalten werden.  

Checkliste (Auswahl)

1. VORBEREITUNG

  • Für die Anpassung an die DSGVO zuständige Personen (intern/extern) nominieren
  • Zeit- und Budgetplanung

2. STATUS-QUO-ERHEBUNG UND ERMITTLUNG DES ANPASSUNGSBEDARFS

  • Welche personenbezogenen Daten werden verarbeitet?
  • Welche Datenanwendungen bestehen?
  • Was sind die Zwecke meiner Datenverarbeitungen?
  • Was ist die Rechtsgrundlage der Datenverarbeitung?
  • Welche sensiblen Daten werden verarbeitet?
  • Werden Auftragsverarbeiter herangezogen?
  • Wie werden die Informationspflichten und die Betroffenenrechte erfüllt?
  • Welche Datensicherheitsmaßnahmen sind vorhanden?
  • Besteht für meine Datenverarbeitungen Dokumentationspflicht? Wie wird sie erfüllt?
  • Welche Vorkehrungen gegen Datenschutzverletzungen existieren?
  • Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig?
  • Brauche ich einen Datenschutzbeauftragten?
  • Welcher Datenverkehr mit dem EU-Ausland besteht und auf welcher Rechtsgrundlage?
  • Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform erfolgen?
  • Besonderheiten beim Arbeitnehmerdatenschutz beachten
  • Auseinandersetzung mit der Rechtsdurchsetzung und mit Strafen

3. MASSNAHMENPLAN

  • Zeitliche und budgetäre Planung
  • Maßnahmen festlegen und umsetzen

Quelle: WKO - www.wko.at/service