Datenschutz im Tourismus: DSGVO in touristischen Organisationen

DSGVO im Tourismus

Datenschutz ist nicht wirklich ein Thema, das Spaß macht. Dennoch kommst du nicht darum herum. Ich habe Ingo Busch deshalb einmal zum Thema Datenschutzgrundverordnung (DSGVO) in DMOs befragt. Was gilt es in diesem Rahmen für dich als Organisation zu beachten? Woran solltest du denken?

Direkt vorab als Hinweis zu diesem Beitrag: Ich bin keine Anwältin und Ingo kein Anwalt. Aber Ingo ist zertifizierter Datenschutz-Berater. Also einer, der weiß, wovon er redet.

 

Hi Ingo, was hast du eigentlich mit dem Thema DSGVO zu tun?

Hallo Kristine, wie Du weißt, blogge ich seit vielen Jahren und biete auch als Blog-Doktor Unterstützung rund um WordPress an. Und wie Du Dir vorstellen kannst, war ich in letzter Funktion in den Wochen und Monaten vor dem 25. Mai ein gefragter Mann! ;-)

Ja, das weiß ich. Schließlich war ich eine, die deine Unterstützung in diesem Bereich angefragt hat.

Da ich mich seit Ende letzten Jahres halt immer tiefer in den Datenschutz und die DSGVO eingearbeitet hatte, habe ich mich letztendlich dazu entschieden, mich „richtig“ in der Materie weiterzubilden und mich durch die DEKRA im Datenschutz zertifizieren zu lassen. Seitdem berate und unterstütze ich als Datenschutz-Beratung Köln Unternehmen und Institutionen bei der Umsetzung des Datenschutzes. Durch manche Mandanten bin ich auch als externer Datenschutzbeauftragter bestellt.

Ingo Busch, Datenschutz-Berater aus Köln

Ingo Busch, Datenschutz-Berater aus Köln

Nach all der Aufregung vor dem 25.5.2018 rund um die DSGVO auf allen Kanälen scheint es, das Thema landet langsam wieder in der Versenkung. Durch ist das Thema aber noch nicht, oder doch?

Nein, keinesfalls. Und zwar aus mehreren Gründen: Zum einen haben zwar viele Unternehmen zum 25.5.2018 ihrer Website eine Datenschutzerklärung verpasst bzw. diese aktualisiert. Andererseits ist es damit noch längst nicht getan! Denn auch ein Verarbeitungsverzeichnis muss(te) erstellt werden und auch die nötigen Verträge zur Auftragsverarbeitung sind mit den Auftragsverarbeitern abzuschließen. Und diese Dinge sind in vielen Unternehmen – wie ich in meiner täglichen Arbeit erlebe – noch längst nicht umgesetzt.
Und machen wir uns nichts vor: Der Datenschutz ist da und geht auch nicht mehr weg ;-) Ich muss mich als Unternehmen um den Datenschutz genauso kümmern, wie um Buchhaltung und Steuern :-)

Post ganz offline. Auch da braucht es Daten für.

Post ganz offline. Funktioniert auch nur mit Daten.

Okay, wenn wir uns schon drum kümmern müssen, schauen wir uns das doch mal etwas genauer an. Bei Valerie Wagner von Hotelomotion hast du bereits einen sehr mfangreichen Blick in Richtung Datenschutz in der Hotellerie geworfen. Ich würde mit dir gerne den Datenschutz in lokalen und regionalen touristischen Organisationen angehen. Welche Bereiche sind von diesem Thema betroffen?

Wir haben es auch in touristischen Organisationen, wie in vielen anderen Branchen, mit einem ganzen Bündel von datenschutz-relevanten Themen zu tun. Da wäre zu aller erst der Beschäftigten-Datenschutz zu nennen. Sprich: Alles, was mit der Verarbeitung personenbezogener Daten der Mitarbeiter zu tun hat. Dazu gehört auch der Bewerbungsprozess potenzieller Mitarbeiter oder Praktikanten.

Der Versand von Newslettern / Mailings ist und war immer auch schon ein „heißes Eisen“. Musste man bisher darauf achten, dass das Abonnement eines Newsletters über ein „Double Opt-In“ bewerkstelligt wird, kommen jetzt noch zusätzliche Informations- und Nachweispflichten hinzu. Schließlich muss ich als Newsletter-Versender nachweisen können, dass der Empfänger seine Einwilligung erteilt hat…

Kaum eine Destination lädt nicht hin und wieder Journalisten bzw. Blogger in ihre Region ein. Zur Organisation so einer Medienreise werden in der Regel auch personenbezogene Daten der Teilnehmer verarbeitet. Zum Teil sogar Informationen über gesundheitliche Beeinträchtigungen. Daher spielt der Datenschutz auch hier eine wichtige Rolle.

Last but not least haben wir da noch eventuell das Thema Videoüberwachung. Das ist ein Dauerbrenner, der auch besondere Konsequenzen auf die interne Datenschutz-Organisation hat. Denn fast immer wird bei einer Überwachung durch Video-Kameras auch eine sogenannte Datenschutz-Folgenabschätzung (DSFA) notwendig sein. Und so eine DSFA hat in Deutschland die Folge, dass ein Datenschutz-Beauftragter zu bestellen ist. Und zwar unabhängig von der Unternehmensgröße!

Im B2C-Bereich werden in erster Linie Kundendaten benötigt, um Broschüren oder E-Mail-Newsletter zu versenden. Dürfen diese denn noch gespeichert werden und worauf ist dabei zu achten?

Natürlich dürfen diese weiterhin gespeichert werden. Allerdings haben sich, wie bereits oben erwähnt, die Informationspflichten geändert. Ich sollte vor allem darauf hinweisen, wofür ich die Daten im Einzelnen benötige und wie lange ich diese speichern möchte bzw. wann ich diese wieder löschen werde. Z.B. beim Broschüren-Versand kann so ein Hinweis sinnvoll sein: „Ihren Namen und Ihre Anschrift benötigen wir für den Versand der angeforderten Broschüre(n). Nach erfolgtem Versand werden wir diese Daten unverzüglich löschen.“

Auf den touristischen Websites werden darüber hinaus ja auch jede Menge Informationen gesammelt. Reicht es, eine neue Datenschutzerklärung zu erstellen und einen Cookie-Hinweis zu integrieren?

Nein. Zumindest nicht, wenn man nicht auch alle Prozesse und Formulare überprüft. Das passiert zum Beispiel bei der Erstellung des Verfahrensverzeichnisses. Vor allem sollte man überprüfen, ob man alle bisher abgefragten Informationen wirklich benötigt.
Um auf den Versand von Broschüren zurückzukommen: Ist die Angabe einer E-Mail-Adresse tatsächlich unumgänglich? In den meisten Fällen dürfte die Antwort „Nein“ lauten. Also sollte ich sie auch nicht erfassen. Denn es gilt der Grundsatz der Datensparsamkeit bzw. -minimierung. Das heißt, ich darf und sollte nur diejenigen Daten erfassen, die für einen Prozess absolut notwendig sind.

Adressdaten speichern

Adressdaten speichern

Im B2B-Bereich ist das ganze Thema aber unkomplizierter, oder? Genügt es, dass ich hier von einem berechtigten Interesse von Seiten der Unternehmen und Ansprechpartner ausgehen kann? Welche Stichworte beim Thema Datenschutz sind hier zu beachten?

Auch im B2B-Bereich ist man als Unternehmen / Organisation zum Schutz personenbezogener Daten verpflichtet. Und da in den seltensten Fällen nur Unternehmens-Namen, sondern auch die Namen der Ansprechpartner, deren persönlichen E-Mail-Adressen etc. gespeichert werden, müssen hier genauso die Anforderungen aus dem Datenschutz erfüllt und eingehalten werden. Dazu gehören selbstverständlich auch die Informationspflichten. Und gerade über die Weitergabe von Daten sollten bei der Erhebung oder zumindest bei der Weitergabe dieser Daten die betroffenen Personen informiert werden.
Allerdings werde ich in der Praxis beim gegenseitigen Austausch von Visitenkarten nicht auch noch die jeweiligen Datenschutzerklärungen austauschen ;-) Wenn ich jedoch die Informationen von einer Visitenkarte in ein CRM oder eine andere Kontaktdatenbank übernehme sollte ich auch notieren, dass ich diese Daten beim Austausch von Visitenkarten erhalten habe. Ich würde auch den Anlass (Veranstaltung etc.) und das Datum im CRM notieren.

Was würdest Du abschließend lokalen und regionalen touristischen Organisationen empfehlen?

Auf jeden Fall die noch offenen Punkte erledigen. Dazu gehört auch die eventuell notwendige Bestellung eines Datenschutzbeauftragten. Das hätte zwar prinzipiell bis zum 25. Mai geschehen müssen, jedoch haben die Aufsichtsbehörden in den einzelnen Bundesländern diese Frist teilweise bis Jahresende (z.B. in NRW) verlängert.

Und wenn immer noch Unklarheit besteht, was noch zu tun ist und ob alle Prozesse datenschutz-konform umgesetzt sind, kann und sollte man sich externe Hilfe holen. Als Datenschutz-Berater helfen meine Kollegen und ich gerne jeder touristischen Organisation und jedem touristischen Unternehmen bei der Umsetzung des Datenschutzes.

Danke dir, Ingo, dass du die wesentlichen Punkte hier einmal auf den Punkt gebracht hast. Gibt, denke ich, einen sehr guten Einblick für die DMOs, wo noch Handlungsbedarf für sie besteht.

 

Das könnte dich auch interessieren:

Ich unterstütze touristische Unternehmen bei ihrer Strategie, v.a. in Bezug auf Stakeholder-Management, Zielgruppen und Produkt-Entwicklung. Auf diesem Blog schreibe ich darüber sowie über meine Herzensthemen Barcamps und das Bloggen an sich. Mehr gibt es bei „Über mich“. Du kannst mich übrigens auch buchen. Ich bin Beraterin und Netzwerkpartnerin bei Tourismuszukunft. Infos sowie Kontaktdaten: Kontakt.

Schreibe einen Kommentar