Ein Wegbegleiter digitalisierter Hotels ist der Datenschutz. Hoteliers meistern den Datenschutz entweder mit Bravour, oder scheitern daran. Über die Niederlage von Marriott und Hotels als Sammelstellen für Daten.
Die Datenpanne der Hotelgruppe Marriott zeigt Hoteliers, wie Datenschutz nicht geht. Betroffen ist der Tochterkonzern Starwood, dem verschiedene Hotelketten angehören. Kriminelle verübten einen der größten Hackerangriffe der Geschichte: Sie stahlen die Daten von bis zu 500 Millionen Hotelgästen. Bei 327 Millionen Gästen betraf der Angriff personenbezogene Daten, wie etwa Namen, Anschriften, E-Mail-Adressen, Geburtsdaten und Passnummern. Viel schlimmer war jedoch: Die Hacker haben auch verschlüsselte Kreditkarten-Daten gestohlen. Ob die Angreifer die zur Entschlüsselung nötigen Dateien erbeuteten, konnte Marriott nicht ausschließen. Hätte Marriott seine Mitarbeiter im Datenschutz qualifiziert, wäre dem IT-Personal die Datenpanne viel früher aufgefallen.
In der Hotelbranche sind Daten allgegenwärtig – ihr Schutz ist Aufgabe des Hotels. Bezahlinformationen gibt der Gast schon bei seiner Buchung preis: Ein klares Angriffsziel für Hacker, die diese Daten für einen Betrug einsetzen möchten. Hotels verarbeiten Daten beim Check-in an der Rezeption, beim Versand von Newslettern und indem sie Überwachungskameras einsetzen.
Im März 2019 fand die Reisemesse ITB in Berlin statt. Sie zeichnete ein klares Bild: Die Bedeutung von Technik nimmt in der Hotelbranche zu. Zukünftig bringt der Roboter den Wein auf das Zimmer. Der Gast checkt über sein Smartphone ein, die Zimmertüre öffnet sich via Bluetooth. Hotels profitieren von der Digitalisierung. Sie wirkt dem Fachkräftemangel entgegen, erschließt neue Erlösquellen und senkt die Kosten – das moderne Hotel benötigt weniger Mitarbeiter. Die Bezahlung regelt sich von allein, die Rechnung kommt per E-Mail. Allerdings treten mit fortschreitender Digitalisierung Risiken auf: Datenlecks schaden dem Image, und unsichere IT-Systeme schaffen neue Angriffsmöglichkeiten für Hacker.
Das digitalisierte Hotel steigert die Umsätze und verringert den Personalbedarf. Die Digitalisierung hat jedoch eine Kehrseite: Vernachlässigen Hoteliers den Datenschutz im Hotel, drohen Bußgelder und Imageschäden. Wie Hotelbetreiber den Datenschutz im Hotel umsetzen, klärt die folgende Checkliste.
Der Datenschutz endet nicht bei externen Dienstleistern. Die Aufgabe von Hotels ist, einen rechtskonformen Umgang mit Daten zu gewährleisten. Hier hilft ein Vertrag zur Auftragsverarbeitung.
Fragt ein Hotelgast nach, welche Daten das Hotel über ihn speichert, hat der Hotelier für die Antwort einen Monat Zeit. Bleibt er untätig und beschwert sich ein Gast bei der Aufsichtsbehörde, kann diese ein Bußgeld verhängen.
Für Datenpannen besteht eine Meldepflicht, jedenfalls gegenüber der Aufsichtsbehörde, manchmal zusätzlich gegenüber den Hotelgästen. Ob eine Meldepflicht besteht, überprüfen Hoteliers durch eine Risikoeinschätzung. Damit die richtigen Kriterien als Prüfungsgrundlage herangezogen werden, braucht es Kompetenz und geschulte Mitarbeiter. Die Dokumentation kann Hoteliers bei einer behördlichen Anhörung entlasten. Zudem schützt der Einsatz von datenschutzfreundlichen Mitarbeiterplattformapps, wie beekeeper, das Unternehmen, Mitarbeiter und Gäste vor Datenpannen.
Greifen im Hotel mehr als neun Mitarbeiter auf personenbezogene Daten zu, schreibt das Gesetz einen internen oder externen Datenschutzbeauftragten vor. Bestellt das Hotel keinen Datenschutzbeauftragten, droht ein Bußgeld.
Hoteliers müssen Meldescheine ein Jahr lang aufbewahren und vor Fremdzugriffen schützen. Im Meldeschein erfassen Hoteliers die gesetzlich vorgeschriebenen Daten, jedoch nicht mehr Informationen als notwendig. Das Hotel informiert den Gast über die Rechtsgrundlage und den Zweck der Datenerhebung.
Stellt sich ein Gast als deutscher Staatsbürger vor, darf der Hotelier nicht dessen Personalausweis verlangen. Bei ausländischen Gästen ist das anders: Das Gesetz verlangt, dass der Hotelier die Richtigkeit ihrer Meldedaten überprüft.
Erteilt ein Gast seine Einwilligung, darf ihm das Hotel Werbung zustellen. Allerdings: Der Gast muss seine Einwilligung freiwillig erteilen. Der Hotelbetreiber informiert den Gast darüber, dass er seine Einwilligung jederzeit widerrufen darf.
Durch ein Datenschutzmanagementsystem (DSMS) minimieren Hotelbetreiber Risiken, sie standardisieren den Datenschutz im Hotel. Datenschutzverletzungen treten seltener auf und sind nicht so schwerwiegend.
Hoteliers qualifizieren ihre Mitarbeiter gezielt über einstündige Online-Schulungen im Datenschutz. Der klare Vorteil: Jeder Teilnehmer erhält ein Zertifikat. Hotels können Zertifikate bei einer behördlichen Anhörung vorlegen – so entgehen sie in der Regel einer Geldbuße. Zudem: Bei Online-Schulungen können Mitarbeiter bei Krankheit oder Urlaub den die Schulung jederzeit nachholen.
Berechtigungskonzepte gewähren oder untersagen den Zugriff auf Daten. Mitarbeiter erhalten nur Zugriff auf Daten, wenn sie diese für ihre Arbeit benötigen.
Beachten Hoteliers diese 10 Gebote, sind sie im Datenschutz schon einen Schritt weiter. Allerdings: Tritt ein Datenschutzverstoß ein, brauchen Hoteliers Zertifikate. Damit entlasten sie sich gegenüber den Aufsichtsbehörden. Ansonsten setzen sie sich dem Vorwurf aus, sie hätten die Datenpanne fahrlässig verursacht. Solche Zertifikate erhalten Hoteliers bei Online-Schulungen zum Datenschutz im Hotel.