Aktualisiert: 10.5.2018, 3.1.2019
Die aufgeführten Inhalte habe ich aus mehreren Quellen, aus Facebook-Diskussionen und aus der Korrespondenz mit einer befreundeten Schweizer Juristin zusammengetragen. Mir ging es dabei vor allem um verständliche, pragmatische und praktisch umsetzbare Empfehlungen, da ich die meisten offiziellen Quellen zum Thema auch für mich sehr schlecht verständlich finde. Dazu kommt, dass die genaue Umsetzung der Verordnung auch gestandenen Juristen alles andere als klar ist, sodass man im Moment im Netz einige Widersprüche findet. Jeder wartet auf die ersten Gerichtsurteile – zu deren Protagonisten man natürlich nicht gehören möchte. Im Folgenden also allerlei Zusammengetragenes und (nicht juristische) Empfehlungen zur baldigen Umsetzung der neuen Datenschutzvorgaben der EU.
Vorbemerkung und Empfehlung für KMU/Hotels
Lesen Sie sich alles durch und dann – Empfehlung einer Schweizer Juristin – machen Sie allerwenigstens das Minimum: gute Datenschutzerklärung auf die Webseite und Daten-Grunddokumentation für alle Fälle (Verarbeitungsverzeichnis und Konzept für Datensicherheit und Datenminimierung).
(Übrigens: GDPR bedeutet General Data Protection Regulation und ist der englische „Name“ der EU DSGVO)
Die Grundsätze der DSGVO
Sind grundsätzlich lobenswert, in ihrer Umsetzung jedoch ergeben sie ein ziemliches Bürokratie-Monster:
• Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
• Sie dürfen nur für den erhobenen Zweck genutzt werden
• Datensparsamkeit: es sollen nur die wirklich benötigen Daten erhoben werden
• Daten sollen nur so lange wie nötig gespeichert werden
• die Sicherheit der Daten muss gewährleistet sein
• die Verarbeitung muss dokumentiert werden
sowie
• Benutzer müssen ihre Einwilligung zur Speicherung ihrer Daten geben
• Benutzer müssen genau informiert werden, was mit den Daten passiert
• Benutzer müssen ihre Daten einsehen, berichtigen und auch löschen können
Anmerkung für Mitglieder von hotelleriesuisse
hotelleriesuisse hat am 19.4. ein Whitepaper und Vorlagen für Datenschutzerklärungen und -verzeichnisse für Mitglieder angekündigt.
Geltungsbereich: Für wen gilt die DSGVO?
Die EU DSGVO bezieht sich auf das Angebot von Waren und Dienstleistungen an sich in der EU befindende Personen.
Das bedeutet, alle personenbezogene Daten von bestehenden oder potentiellen Gästen, die in EU-Ländern leben, fallen unter die neue Verordnung, wenn Sie im Zusammenhang mit dem Angebot von Waren und Dienstleistungen an diese Personen bearbeitet werden.
Die Personen müssen in EU-Ländern ansässig sein – d.h. Daten von EU-Bürgern, die in der Schweiz ansässig sind, fallen nicht unter die EU-DSGVO.
Die Daten von Mitarbeitenden von Schweizer Unternehmen, die EU-Bürger oder Grenzgänger (dieser Punkt ist unklar) sind, fallen nicht in den Anwendungsbereich der EU-DSGVO.
Hier ein erster praktischer Online-Check von economiesuisse (wurde von einzelnen Juristen mir gegenüber allerdings auch als „Schrott“ bezeichnet – also auch hier nicht alles glauben):
https://www.economiesuisse.ch/de/artikel/neuer-eu-datenschutz-praxishilfen-fuer-die-umsetzung
DSGVO – Zusammengetragenes von A bis Z
Auftragsdatenverarbeitungsverträge
Sie sollten mit jedem Drittunternehmen, das Zugang auf ihre Kundendaten hat, einen Auftragsdatenverarbeitungsvertrag abschliessen, z.B. mit
– dem Webhoster, wenn über die Webseite Daten erhoben werden (zB. Formulare)
– dem Newsletter-Hoster, über den Newsletter versendet werden
– der SEO oder SEM-Agentur, die Analytics betreut
– dem PMS-Anbieter
– dem CRS-Anbieter
– etc.
Empfehlung: Erstellen Sie eine Liste aller Drittleister, die Zugriff auf Kundendaten haben und fragen Sie jeden einzelnen nach einem ADVV.
Cookies
Der Einsatz von Cookies auf der Webseite (auch Analytics nutzt Cookies) wird von der DSgVO nicht eindeutig geklärt, das dann 2019 die ePrivacy-Verordnung übernehmen. Bis dahin wird empfohlen, ein so genanntes Cookie-Banner auf der Webseite einzusetzen.
Wer gar kein Risiko eingehen will, nutzt ein Cookiebanner mit Einwilligungs-Checkbox für den Nutzer. Auch okay sind Banner, die den Nutzer lediglich darüber informieren, dass Cookies verwendet werden und dass er oder sie mit der fortgesetzten Nutzung der Seite dazu sein Einverständnis gibt.
Egal, wie Sie es formulieren, Sie sollten auf jeden Fall einen Passus in der Datenschutzerklärung zum Thema Cookies einbauen mit Hinweisen auch für den Nutzer, wie er das Setzen von Cookies verhindern kann.
Fragen Sie Ihren Webmaster oder IBE-Anbieter nach Cookie-Einwilligungsformularen für Ihre Webseite.
Ich habe auf meiner Seite die kostenlose Version von Cookiebot getestet. Der dabei generierte Report zeigt auch, welche und wie viele Cookies auf der Webseite im Einsatz sind.
Wer Google AdSense nutzt, wird von Google dazu verpflichtet, Nutzern einen Hinweis auf die Google-Cookies anzuzeigen: https://www.google.com/about/company/user-consent-policy.html
Google zum Thema Cookies:
https://www.google.com/about/company/consentstaging.html
Datenschutzvertreter in der EU
Unternehmen, welche die Daten von Personen in EU-Ländern verarbeiten, müssen einen Vertreter in diesen Ländern benennen, der sie (die Unternehmen) in Datenschutzfragen vertreten kann. Erste Angebote dazu gibt es bereits, z.B. hier bei www.datenschutzpartner.ch
Wer braucht einen solchen Vertreter:
– Unternehmen/Organisation mit Sitz in der Schweiz
– deren Angebote (auch kostenlose Angebote) sich an Personen in Deutschland oder anderen EU-Staaten richten
– und/oder welche das Verhalten solcher Personen beobachten, zum Beispiel durch Analyse der Webseite-Aktivitäten von Besuchern aus der EU ( = z.B. Google Analytics und ähnliche Programme)
Ernennen Sie einen EU-Vertreter, wenigstens in den Ländern, in denen die meisten Ihrer europäischen Gäste leben.
Datenminimierung und Einverständniserklärungen
Es gilt das Kriterium der Erforderlichkeit: Welche Daten sind wirklich wichtig für den Zweck, zu dem sie erhoben werden? Das bezieht sich z.B. auf Webseitenformulare oder auch Newsletter-Abomasken.
Für den Newsletter ist im Grunde nur die Emailadresse erforderlich. Wer dazu noch, z.B. für die Personalisierung, Anrede, Name, Vorname erfassen möchte, benötigt nicht nur die ausdrückliche Einwilligung zur Speicherung und Verarbeitung der Daten, sondern muss auch angeben, wofür und wie lange sie gespeichert werden.
Wenn Sie Daten wie die Anrede nutzen möchten, um Ihre Newsletter zu segmentieren oder dynamisch spezifische Produkte/Leistungen anbieten zu können, muss das aufgeführt und die Einwilligung des Abonnenten eingeholt werden.
Auch externe Services oder Server wie z.B. Mailchimp oder allfällige weitere Auftragsverarbeiter der Daten müssen benannt werden und das Einverständnis des Abonnenten eingeholt werden.
Prüfen Sie Ihre Webseite. Verzichten Sie, wenn möglich, auf Formulare bzw. ergänzen Sie Ihre Formulare mit einer Datennutzungs- und Datenschutzerklärung und einer Checkbox, damit Webseitenbesucher ihr Einverständnis geben können.
Hinweis: Bei einer Bestellung, Reservierung oder Buchung liegt natürlich berechtigtes Interesse vor und es ist keine Einwilligung nötig – solange nur die erforderlichen Daten erhoben werden.
Prüfen Sie Ihre IBE bzw. Ihren Buchungsprozess durch und sprechen Sie mit Ihrem IBE-Anbieter bez. Auftragsdatenverarbeitungsvertrag.
Datenverarbeitungsverzeichnis
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis darüber anlegen mit dem folgenden Inhalt für jede Art von Daten:
1. Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
2. Zweck der Datenverarbeitung
3. Art der Personen, deren Daten bearbeitet werden
4. Art der Daten, die erhoben und bearbeitet werden
5. Wer Zugriff auf diese Daten hat oder erhält
6. Länder, in welche diese Daten ggfs. übermittelt werden
7. Fristen für die Löschung der Daten
8. Massnahmen zur Datensicherheit
Gute, aber nicht ganz unkomplizierte Vorlagen dazu gibt es hier:
https://dsat.ch/download/
Legen Sie ein Datenverarbeitungsverzeichnis an! Im Ernstfall haben Sie 72 Stunden, um einer Person gegenüber Auskunft über ihre Daten zu erteilen – dafür sollten Sie gerüstet sein.
Datenschutz Self-Assessment
Ein gutes, wenn auch nicht völlig unkompliziertes Tool zur Selbstanalyse punkto Datenschutz-Bedarf in Bezug auf die DSGVO gibt es hier:
https://dsat.ch/download/
Datenschutzerklärung und Disclaimer auf der Webseite
Ich kann Ihnen Muster liefern, die ich von einer Juristin erhalten habe. Mitglieder von hotelleriesuisse können Muster hier im Downloadcenter herunterladen.
Auf den Rechtberatungs-Abolinks (siehe weiter unten “juristischer Rat”) gibt es Muster zum Ausfüllen. Dort bekommt man aktuell noch den Rat, mit dem Veröffentlichen bis Ende Mai zu warten – vielleicht kann sich noch etwas am empfohlenen Wortlaut ändern.
Datenschutzbeauftragter
Je umfangreicher und regelmässiger die Datenverarbeitung und je sensibler die bearbeiteten Daten, desto eher braucht ein Betrieb einen Datenschutzbeauftragten. Da Hotels regelmässig Daten verarbeiten, gehe ich unbedingt davon aus, dass Sie einen geeigneten Mitarbeiter ernennen sollten.
Facebook hält sich bedeckt und bietet nur den Nutzern neue Informationen und Möglichkeiten zur Beschränkung der Einsicht und Weitergabe ihrer Daten:
https://www.thomashutter.com/index.php/2018/04/facebook-einhaltung-der-dsgvo-facebook-bietet-neue-datenschutzbestimmungen-fuer-alle/
In allen Fällen, wo Daten übermittelt werden ohne dass der Nutzer seine Einwilligung erteilen konnte (z.B. Page Plugin), sollten diese Widgets deaktiviert werden.
Fotografie
Es scheint, als wäre ab 26.5. auch jedes digital aufgenommene Foto mit einer erkennbaren Person darauf eine erlaubnisbedürftige Datenerhebung. Denn jedes digitale Foto wird von der Kamera mit weiteren Daten abgespeichert, die Rückschluss auf die Person zulassen: GPS-Daten, Datum, Tageszeit etc.
Das heisst noch mehr als bisher: Keine Personenaufnahmen ohne Erlaubnis.
Wo die Einholung einer Einwilligung möglich ist, sollte das unbedingt gemacht werden. Allerdings hat der Fotografierende (das betrifft auch Privatpersonen) grundsätzlich die Beweislast für das Vorliegen einer Einwilligung und die Einwilligung kann jederzeit und ohne Begründung widerrufen werden.
Das heisst:
• Ist mind. eine lebende Person auf dem Foto erkennbar, wird eine Einwilligung oder Ausnahme benötigt.
• Alle Abgebildeten müssen vollumfassend über die mit den Fotos beabsichtigten Nutzungen aufgeklärt werden.
• Alle Einwilligungen und Aufklärungen müssen schriftlich dauerhaft dokumentiert werden.
• Bei Widerruf einer Einwilligung muss das betroffene Bildmaterial unverzüglich gelöscht und diese Löschung beweissicher dokumentiert werden. Betroffene haben umfangreiche Auskunftsrechte.
Mehr dazu: https://www.ipcl-rieck.com/allgemein/wissen-zur-dsgvo-7-tipps-fuer-fotografen.html
Google Adwords und Analytics
Für Adwords-Kunden gelten die Datenverarbeitungsbedingungen von Google. Wer im Zusammenhang mit Adwords-Kampagnen keine Kundendatenabgleiche durchführt oder Cookies setzt, sollte auch nicht unter „Verarbeitung personenbezogener Daten“ fallen.
BITTE erkundigen Sie sich bei Ihrem Adwords-Dienstleister!
https://privacy.google.com/businesses/adsservices/
Unternehmen, welche Google Analytics nutzen, sollten den von Google vorformulierten Vertrag zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht ausfüllen. Der Vertrag muss ausgedruckt, in zwei Exemplaren ausgefüllt und unterschrieben an Google Ireland Ltd. geschickt werden. Google sendet dann ein gegengezeichnetes Exemplar zurück.
BITTE prüfen Sie, oder erkundigen Sie sich bei Ihrem Analytics-Dienstleister, falls dieser ein Tracking für Sie aufgesetzt hat, ob die IP-Adressen anonymisiert erfasst werden.
Die Google Terms of Service gibt es hier:
https://www.google.com/analytics/terms/de.html
Den Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG gibt es hier:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
Alternativ könnten Webseiten-Besucher aus EU-Ländern auch in der Datenanalyse via Google Analytics ausgeschlossen werden, sodass nur das Verhalten von Besuchern aus der Schweiz analysiert wurde.
Bitte erkundigen Sie sich bei Ihrem Analytics-Dienstleister.
Hier können Sie einstellen, wie lange Daten in Analytics aufbewahrt werden, bevor sie automatisch gelöscht werden:
https://support.google.com/analytics/answer/7667196
Hilfestellung dazugibt auch dieser Artikel:
https://marketing4results.de/datenspeicherung-in-analytics-begrenzen/
Zusatz zur Datenverarbeitung
In Ihrem Analytics-Konto sollten Sie den Zusatz zur Datenverarbeitung betätigen:
https://support.google.com/analytics/answer/3379636?hl=de
Und ggfs. einen Opt-out für Analytics auf der Webseite anbieten.
Google wird in Kürze auch ein Tool zum Löschen von Nutzern einführen.
Datenschutzangaben von Google
https://support.google.com/analytics/answer/6004245
Analytics: IPs anonymisieren
Bitten Sie Ihren Webdienstleister den Google Analytics Tracking-Code auf der Webseite so anzupassen, dass die IP-Adressen von Nutzern anonymisiert werden.
Infos dazu gibt es hier bei Ryte: https://de.ryte.com/wiki/Google_Analytics_anonymisieren
Juristischer Rat
Preislich günstige Hilfestellungen und Vorlagen-Downloads im Abo-Format gibt es hier:
https://www.it-recht-kanzlei.de/viewTopic.php?folder=836
https://www.it-recht-kanzlei.de/agb-starterpaket.php
Dieser Anbieter wurde mir von einer Schweizer Juristin empfohlen.
Newsletter
Unbedingt auf Double Opt-in statt Single Opt-in umstellen. In der Schweiz ist der Single Opt-in zwar (noch) völlig legal – damit lässt sich die Einwilligung eines Empfängers später aber nicht mehr nachweisen.
Wenn Sie nicht nachweisen können, dass Ihre Empfänger dem Empfang von Newslettern zugestimmt haben, sollten Sie idealerweise eine Email an alle richten, mit der Bitte, dem Erhalt noch einmal explizit zuzustimmen.
Bestehende Gäste sind – denke ich – ausgenommen – hier können Sie ein berechtigtes Interesse begründen.
Infos zu Segmentierung und Profilierung:
https://www.mailjet.com/gdpr/profiling/
https://www.mailjet.com/gdpr/email-marketing-checklist/
Alle Angaben sind definitiv ohne Gewähr.
Gabriele Bryant