Die Datenschutzverordnung DSGVO – bürokratischer Fluch oder erste Schritte in eine neue digitale Ordnung?
Das neue Datenschutz-Gesetz: Fluch oder Segen?
Die Datenschutz-Verordnung DSGVO, die am 25.05. in Kraft tritt, bereitet noch so manchem von uns Kopfzerbrechen. Obwohl die Richtlinien klar sind, steckt der Teufel im Detail. Auf die leichte Schulter sollten Hoteliers und Gastronomen diese Verordnung auf keinen Fall nehmen. Bei Verstößen gegen die Richtlinien der EU-DSGVO drohen gewaltige Strafen!
Bis zum 25.05. ist ja noch ziemlich lang hin, dachte ich mir Ende letzten Jahres. Und grundsätzlich ist auch alles in Ordnung, was Datensicherheit und Umgang mit sensiblen Daten anbelangt. Alles wurde nach besten Wissen und Gewissen behandelt und ausgeführt. Was sollte da noch sehr viel mehr an Datenschutz dazu kommen?!
Nachdem ich jedoch aus Erfahrung weiß, dass ein tieferer Blick in die entsprechende Materie sinnvoll ist, um up to date zu sein, besuchte ich ein Seminar zum Thema: „Das neue Datenschutzrecht. Datenschutz-Grundverordnung: Bescheid wissen zahlt sich aus!“.
Und, ganz ehrlich, mein Frust danach war riesengroß! Gleichfalls derselbige der anderen Seminarteilnehmer. Als erstes ging mir immer wieder durch den Kopf: Wer soll das umsetzen und wann soll das umgesetzt werden? Mehr Arbeitszeit dafür steht einfach nicht zur Verfügung! Und wie genau muss das umgesetzt werden? Wie dokumentieren? Wie viel dokumentieren? usw.
Gleichzeitig fragte ich mich, wozu das alles gut sein soll? Wieviel Bürokratie ist sinnvoll für mein Unternehmen und was ist überflüssig? Auch fragte ich mich immer wieder, ob unsere Gesellschaft nicht doch zu krankhaftem, hysterischem und überdimensioniertem Verhalten tendiert, wenn es um Datensicherheit geht!
Zudem sagte mir ein Blick auf das Google Suchergebnis, dass mal wieder hunderte, wahrscheinlich tausende Wissensanbieter in Sachen Datenschutz ihrerseits ihre Geschäfte machen wollen und werden. Mir wurde klar, dass der Zeitpunkt gekommen ist, mich der Sache tiefer anzunehmen. Denn Jammern und Schimpfen ist keine Lösung. Anpacken und tun dagegen hilft weiter und schafft Klarheit.
Nun sind ein paar Tage ins Land gezogen nach dem Seminar. Und ich habe mir viele weitere Gedanken dazu gemacht. Und Grundlegendes (hoffe ich) verstanden und in Umsetzung gebracht!
Was soll nun die Datenschutzverordnung bringen?
Sie betrifft drei große Bereiche:
Schutz der Daten vor fremdem Zugriff – Datensicherheit
mehr Rechte für die von der Datenspeicherung Betroffenen
Pflichten für die Datenspeicherer (Unternehmen & Hoteliers & Gastronomen) und hier geht es ganz besonders um Selbstverantwortung und Weiterentwicklung!
Datensicherheit
Zu Recht ein Bereich, den man sich genau ansehen sollte.
Im Bereich Datensicherheit muss ein angemessenes Schutzniveau geboten werden. Kommt es zu einem Datenvorfall und der Verletzung der Datensicherheit, ist die Aufsichtsbehörde zu informieren, möglichst innerhalb von 72 Stunden. Zuständig sind die Landesdatenschutzämter der jeweiligen Bundesländer. Hier erhalten Sie auch wertvolle Informationen zur Umsetzung der Datenschutzverordnung. Schauen Sie doch mal auf die jeweilige Webseite.
Bei der Meldung eines Datenvorfalls geht es nicht nur um die (eventuelle) Straftat, sondern auch um die Reputation und das Image Ihres Unternehmens.
Sicherlich haben Sie noch alle den prominenten Datenskandal um Facebook im Gedächtnis. Er hat eindrucksvoll gezeigt, dass Nutzerdaten der begehrte Zukunfts-Rohstoff für IT-Unternehmen (und nicht nur die) sind. Das wird sicherlich auch weiter so bleiben. Doch zeugt ein verantwortungsvoller Umgang und eine entsprechende Sicherung und Anonymisierung der Daten von hoher Professionalität und erzeugt vor allem Vertrauen beim Kunden.
Datenspeicherung von Betroffenen
Klingt ein bisschen komisch: „Betroffene“. Damit sind unsere Gäste, unsere Kunden, unsere Kooperationspartner und unsere MitarbeiterInnen gemeint.
Von all diesen Personengruppen bearbeiten und speichern wir (mehr oder weniger) personenbezogene Daten. Daher sind diese ganz besonders schutzwürdig.
In Zukunft heißt es, personenbezogene Daten nur dort zu nutzen, wo es wirklich notwendig ist. Das muss eingehalten und auch nachgewiesen (!) werden. Betroffene (also Ihre Gäste/MitarbeiterInnen) haben das Recht auf Information über die verwendeten Daten und das Recht auf Löschung dieser. Sie als Unternehmer, haben eine Rechenschafts- und Dokumentationspflicht gegenüber den Betroffenen.
Genau an diesem Punkt werden die Dinge etwas komplizierter, da wir Unternehmer uns zuerst klar darüber werden müssen, wie die Datenströme in unseren Betrieben verlaufen, wo überall Daten von Betroffenen gespeichert und eventuell für Unbefugte sichtbar sind.
Erst danach können Handlungsfelder erkannt und definiert werden.
Stellen Sie sich mal einen Online-Buchungsvorgang über ein Online-Portal, mit Schnittstelle zu Ihrem Hotelprogramm, vor. Wer ist nun an der personenbezogenen Datenspeicherung beteiligt?
Das Online-Buchungsportal, bei dem der Gast seine Daten eingibt
Der Channel-Manager, über den die nicht anonymisierten Daten laufen
Sie als Hotel mit Ihrer Hotelsoftware, in der letztendlich die personenbezogene Buchung eingeht und gespeichert wird.
Bei allen drei Beteiligten am Buchungsvorgang findet eine Daten-Speicherung für ein und denselben Gast statt. Wenn ein Datenmissbrauch auf diesem Weg der Buchung passiert, ist es für jeden der an dieser Transaktion Beteiligten wichtig, dass er seine Datenschutz-Hausaufgaben gemacht und dokumentiert hat. Nur so kann nachvollzogen werden, wo ein Fehler/eventueller Missbrauch passiert ist.
Ihre Pflicht ist es auch, sicherzustellen, dass alle Beteiligten ihrerseits ihre „Hausaufgaben“ gemacht haben, indem Sie sich dies schriftlich bestätigen lassen.
Also, es geht darum, gegenüber Betroffenen den Weg der Daten transparent darzustellen und auch, was mit den Daten passiert. Die einfachste Möglichkeit, dies klar darzustellen, ist Ihre Homepage, unter dem Punkt „Datenschutz“.
Das schafft Vertrauen und gibt den Betroffenen unter Umständen die Möglichkeit, sich bei einer Reklamation oder bei Fragen zur Speicherung seiner Daten an den Datenschutzbeauftragten Ihres Unternehmens zu wenden.
Pflichten der Datenspeicherer – Unternehmen & Unternehmer
Davon gibt es sehr viele. In diesem Punkt kann ich, als Unternehmerin, Ihnen nur dringend raten, sich selbst ein Bild davon zu machen (Selbstverantwortung und Weiterentwicklung)! Auch, wenn es verlockend (und sicherlich auch sinnvoll) ist, sich externe professionelle Hilfe zu holen. Sie allein sind im Außenverhältnis für die Sicherheit und den rechtskonformen Umgang mit den Daten verantwortlich! Und Sie, nicht der (externe) Datenschutzbeauftragte, haften für Verstöße gegen die Datenschutzverordnung.
Hier ist Selbstverantwortung gefragt! Zum Wohle Ihres Unternehmens und natürlich auch zu Ihrem persönlichen Wohl.
Tipp:
Besuchen Sie die Seminarreihe der Unternehmermanufaktur GmbH „Ausbildung zum Datenschutzbeauftragten“
(3 aufeinander aufbauende Termine + optionale Prüfung)
In der Seminarbeschreibung finden Sie auch zwei Download-Dokumente für einen Selbstcheck und eine Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz.
Wie bereits erwähnt, finden Sie professionelle Anleitungen zur Umsetzung des DSGVO bei den Landesämtern für Datenschutzaufsicht in Ihrem jeweiligen Bundesland.
Hier finden Sie auch Hinweise auf Datenschutzprüfungen, die durch die Landesämter durchgeführt werden. Es finden auch Prüfungen vor Ort statt, die normalerweise 4 bis 6 Wochen vorher angekündigt werden (vgl. Webseite Landesämter für Datenschutzaufsicht).
Wenn man die Hinweise zu den „fokussierten“ Kontrollen vor Ort liest, wird schnell klar, dass es den Behörden hier nicht um Strafen geht. Vielmehr ist es ein gezieltes, leider angeordnetes „Anstupsen“, also Verbessern, Ausbauen, Absichern in Sachen Datenschutz. Denn Strafen sind erst nach Nachbesserungen innerhalb einer bestimmten Frist fällig (Ausnahme: bestehende Ordnungswidrigkeiten).
Fazit
Sicherlich kann man über die Sinnhaftigkeit einiger Maßnahmen des DSGVO streiten, insbesondere was den bürokratischen Aufwand anbelangt. Doch sicher ist eines: Wir sind tatsächlich und endgültig im digitalen Zeitalter angekommen. Oft nicht bei der Hardware und Infrastruktur, doch mit Sicherheit bei der Cyber-Kriminalität.
Daten sind DER Zukunftsrohstoff und wir Normal-Konsumenten machen uns kaum ein Bild davon, was alles mit unseren Daten gemacht wird bzw. gemacht werden könnte!
Dieser Tage hat das WWW seinen 25-sten Geburtstag gefeiert. Was wurde alles möglich durch Datenverarbeitung?! Unendlich viel! Und unendlich viel, was uns unseren Alltag einfacher, schneller, schlauer :o)) und schöner macht. Jedoch hat alles enorm an Dynamik zugelegt, alle Weiterentwicklungen, und damit auch Auswüchse, sind nicht mehr überschaubar. Daher ist es richtig und wichtig, sich jetzt für einen verantwortungsvollen, transparenten und sicheren Umgang mit Daten stark zu machen.
Auch, wenn es schwer fällt, nervig ist und vor allem zeitraubend – wir werden uns dadurch weiterentwickeln und den Umgang mit Daten brauchbarer und verantwortungsbewusster gestalten.
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.
Wollen Sie MEHR?
Schließen Sie sich dem Impuls-Netzwerk an und abonnieren Sie den Hotelberatungs-Newsletter!
Spezielle Inhalte für die Hotellerie und Gastronomie. Gutschein für die UMA-HoGa-Akademie, akt. Weiterbildungstermine, Rabattaktionen, Tipps zu Förderungen sowie Tools für Ihre Unternehmensführung.
Diskutieren Sie mit!
Hinterlassen Sie hier Ihren Kommentar!
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.