Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Dr. Astrid Auer-Reinsdorff ist Rechtsanwältin und Fachanwältin für IT-Recht in Berlin und Lissabon. (Foto: Andreas Burkhardt)
Nachgefragt bei Dr. Astrid Auer-Reinsdorff

„Datenschutz noch nicht selbstverständlicher Bestandteil des Lösungsprozesses”

ESV-Redaktion ConsultingBay
20.04.2021
Von der Buchung über Essgewohnheiten bis hin zu Begleitpersonen und Check-out: In fast allen Bereichen wird in der Hotellerie mit hochsensiblen, personenbezogenen Daten gearbeitet. Wir sprachen mit Dr. Astrid Auer-Reinsdorff, Fachanwältin für IT-Recht aus Berlin, über die Fallstricke von IT, Datenschutz und Digitalisierung im Hotel.
Frau Dr. Auer-Reinsdorff, was sind die größten Fehler, die Hotels in Sachen IT und Digitalisierung machen können?

Astrid Auer-Reinsdorff: Allein schon das Thema nicht zur Leitungssache zu machen, ist ein Fehler. IT und Digitalisierung den großen Plattformen zu überlassen und sich damit in nahezu unumkehrbare Abhängigkeiten zu begeben. Es muss investiert, probiert und vor allem müssen hergebrachte Standards und Abläufe durchdacht werden – vielleicht geht es mit dem Einsatz von IT schlanker und schneller und sichtbarer im Gästekontakt.

Können Sie für die vergangenen Jahre eine gesteigerte Sensibilität in der Hotellerie im Umgang mit Daten feststellen?

Astrid Auer-Reinsdorff: Mit dem Wirksamwerden der DSGVO in der EU ist die Aufmerksamkeit für das Thema Datenschutz automatisch gewachsen und auch die Branchenriesen und Bonusprogramme sowie Lösungsanbieter mit oft US-amerikanischem Hintergrund beschäftigen sich mit diesen Themen. Die Anforderungen an IT-Sicherheit steigen, und die kürzlichen Angriffe auf die Microsoft Exchange Server haben wieder sehr deutlich gemacht, wie schnell jedes Unternehmen Opfer von Sicherheitslücken werden kann.

Nicht alles ist über ein technisches Risikomanagement abzufedern


Allerdings ist nicht alles über ein perfektes technisches Risikomanagement abzufedern. Oft sind es einfache organisatorische Maßnahmen und fehlende Sensibilisierung von Mitarbeitern, etwa durch den Einsatz von schwachen Passwörtern und eine Stimmung von Unwissenheit und Angst, bei möglichen Fehlern die IT-Verantwortlichen zu informieren, zum Beispiel wenn ein Anhang einer gut gemachten E-Mail mit Trojaner geöffnet wurde.

Die DSGVO ist nun seit drei Jahren einzuhalten. Anfangs herrschte vielerorts Unsicherheit. Wie geht die Hotelbranche mittlerweile damit um?

Astrid Auer-Reinsdorff: Wie in allen Branchen hat sich die Aufregung etwas gelegt, und mit Mustern und Arbeitshilfen kommen die Hoteliers inzwischen recht gut klar. Oftmals bestehen noch Unsicherheiten im Erheben von Daten, um Stammgäste mit Kenntnissen über deren Bedarf und deren Wünsche begeistern zu können. Außerdem kommen oft Systeme zum Einsatz, deren Anbieter nicht aus der EU stammen oder die Daten nicht in der EU verarbeiten, ohne dass die Bedingungen für eine Übermittlung von Daten in Drittstaaten erfüllt werden – beachte: Auch UK ist ein Drittstaat, und natürlich die USA.

Bei der Wiederöffnung der Gastronomie im vergangenen Jahr mit Corona-Kontaktlisten war der Datenschutz vergessen worden und die Listen mit den Daten der vorherigen Gäste lagen vielleicht noch auf dem Tisch oder es wurde sowieso eine Liste verwandt, auf die sich mehrere Gästegruppen eintrugen. Es war verständlich, dass dies, weil eine schnelle und unkomplizierte Lösung gesucht wurde, vielerorts übersehen wurde. Dies zeigt deutlich, dass Datenschutz noch nicht selbstverständlicher Bestandteil des Lösungsprozesses ist – die DSGVO fordert aber privacy-by-design – also immer eine Prüffrage: Haben wir den Datenschutz mitbedacht?

Dr. Astrid Auer-Reinsdorff
Dr. Astrid Auer-Reinsdorff ist Fachanwältin für IT-Recht sowie Anwältin in Berlin und Lissabon. Sie berät Unternehmen bei IT- und Webprojekten, AGB sowie den rechtlichen Rahmenbedingungen des eCommerce und Social Media. Für die Deutsche Gesellschaft für Recht und Informatik (DGRI) ist sie als Schlichterin tätig. Bei der DeutschenAnwaltAkademie (DAA) bildet sie die Fachanwälte für IT-Recht aus, hält Fortbildungsseminare und lehrt an der WWU. Unternehmen der Hotelbranche berät sie umfassend in den vertragsrechtlichen Fragestellungen

Wie kann es zu einem Bußgeld wegen eines Datenschutzverstoßes kommen?

Astrid Auer-Reinsdorff:  Auslöser sind meist entweder Beschwerden von Gästen oder aber eine Datenpanne. Die DSGVO gibt jedem Betroffenen das Recht, sich bei der Datenschutzaufsicht zu beschweren, wenn ihre oder seine Daten nicht rechtmäßig verarbeitet wurden – also auch schon bei einem Newsletter-Versand ohne Einwilligung.

Datenpannen sind binnen 72 Stunden bei der Aufsichtsbehörde zu melden


Ich habe erlebt, dass die Rezeption eines 5-Sterne-Hotels nach meiner E-Mail-Adresse für den digitalen Rechnungsversand fragte und meine Daten dann im Newsletter-Adressbuch landeten – ungefragt und ohne Einwilligung. Ich persönlich bin niemand, der wegen einem Newsletter-Versand ein Fass aufmacht, aber korrekt ist das eben nun wirklich nicht. Datenpannen, also schon bei dem Verdacht, dass zum Beispiel Hacker Kenntnis von personenbezogenen Daten erlangen konnten, sind binnen 72 Stunden bei der Aufsichtsbehörde zu melden – und Achtung: Die 71 Stunden laufen auch über das Wochenende oder über Feiertage ohne Unterbrechung – so wie jeder Hotelbetrieb. Die Aufsicht wird dann den Fall prüfen und üblicherweise, wenn jedenfalls die Grundlagen des Datenschutzes und der IT-Sicherheit eingehalten wurden, beraten und ermahnen. Und auch wenn die DSGVO nun schon bald drei Jahre wirksam ist, klettern die Bußgeldhöhen normalerweise noch moderat in die Höhe und werden bei hartnäckigen oder wiederholten Verstößen festgesetzt.

Die Statistik aus 2019 gibt 41 verhängte Bußgelder an und für Anfang 2019 85 laufende Verfahren. Unter den Adressaten der Bußgeldbescheide fand sich auch ein Hotel, das nicht ausschließen konnte, dass Dritte unberechtigt durch einen Verschlüsselungstrojaner Zugriff auf Gästedaten erlangt hatten. Rekordbußgelder wurden gegen British Airways und Marriott verhängt.

Lesen Sie den zweiten Teil des Interviews auf ConsultingBay.

IT-Recht und Datenschutz im Hotel

Herausgegeben von Dr. Astrid Auer-Reinsdorff
Mit Beiträgen von Dr. Astrid Auer-Reinsdorff und Anna Cardillo

Eine gelungene digitale Customer Journey ist heute die Visitenkarte jedes erfolgreichen Hotels: vom Finden eines Angebotes bis zur Post-Stay-Kommunikation, vom Buchen bis zum Schutz der Unternehmens- und Gästedaten. Auch Fragen der IT-Ausstattung und Datenverwaltung gehören daher zum unverzichtbaren Teil eines professionellen Gästeservices.

Wie Sie digitale Potenziale in der Hotellerie in allen wichtigen Prozessen heben und dabei rechtlich auf der sicheren Seite sind, erfahren Sie von dem Expertenteam um Astrid Auer-Reinsdorff.

  • Beschaffung von Hard- und Software: Vertragskonstellationen, Fallstricke, Mängelhaftung u.a.
  • Steuerung von IT-Projekten: z.B. zur Planung, Konzeption und Einführung von Hotelverwaltungssystemen, Websites oder spezieller Software
  • Digitales Gästemanagement: Booking Engines, Social Media Strategien, Guest Relation Apps, Chatbots u.v.m.
  • IT-Sicherheit und Datenschutz: Gefährdungsszenarien, DSGVO, Umgang mit Cloud-Services und Dienstleistern, interne Briefings u.a.

Entscheiden Sie auf Augenhöhe mit: ein Praxisbuch zu allen typischen IT-rechtlichen Fragen, die im Hotel entstehen.


(ESV, uw)

Programmbereich: Management und Wirtschaft