Die Datenschutz-Grundverordnung (DSGVO) stellt Hotels und gastronomische Unternehmen immer wieder vor besondere Herausforderungen, wenn es darum geht, personenbezogene Daten von Gästen, Mitarbeitern und Geschäftspartnern sicher zu verwalten. Ein zentraler Bestandteil der DSGVO-Compliance sind Verträge zur Auftragsdatenverarbeitung (ADV), die sicherstellen, dass externe Dienstleister, die personenbezogene Daten im Auftrag des Hotels oder Restaurants verarbeiten, den strengen Datenschutzanforderungen gerecht werden.
In diesem Blogbeitrag erfahren Sie, mit welchen Dienstleistern Hotels und gastronomische Betriebe ADV-Verträge abschließen müssen, um ihre Gäste sowie sich selbst zu schützen und welche Ausnahmen es gibt, um in Ihrem Unternehmen den Datenschutz rechtssicher gestalten können.
Was ist ein Vertrag zur Auftragsdatenverarbeitung überhaupt?
Ein Vertrag zur Auftragsdatenverarbeitung ist ein rechtliches Dokument, das zwischen einem Verantwortlichen (dem Unternehmen, das die personenbezogenen Daten erhebt, z.B. Gästedaten) und einem Auftragsverarbeiter (dem Dienstleister, der die Daten im Auftrag des Unternehmens verarbeitet) geschlossen wird. Dieser Vertrag stellt sicher, dass der Auftragsverarbeiter die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen und unter Einhaltung der DSGVO verarbeitet.
Warum sind ADV-Verträge notwendig?
ADV-Verträge sind notwendig, damit die Verarbeitung personenbezogener Daten durch Dritte datenschutzkonform erfolgt. Sie legen die Verantwortlichkeiten sowie die Pflichten des Auftragsverarbeiters fest und bieten den betroffenen Personen Schutz vor Missbrauch ihrer Daten. Zudem dienen sie als Nachweis dafür, dass das Unternehmen seinen Verpflichtungen gemäß der DSGVO nachkommt.
Mit welchen Dienstleistern müssen ADV-Verträge geschlossen werden?
Die Notwendigkeit eines ADV-Vertrags ergibt sich immer dann, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens direkt oder indirekt verarbeitet. Nachfolgend sind typische Beispiele von Dienstleistern aufgeführt, mit denen ein entsprechender ADV- Vertrag abzuschließen ist:
1. Cloud-Dienstleister
Unternehmen wie Hotels oder Restaurants, die Cloud-Speicher oder Cloud-Computing-Dienste nutzen, müssen ADV-Verträge mit ihren Cloud-Anbietern abschließen. Diese Anbieter speichern und verarbeiten oft große Mengen personenbezogener (Gäste-) Daten und müssen daher strenge Datenschutzstandards einhalten.
2. IT-Dienstleister
IT-Dienstleister, die Wartung, Support und andere IT-bezogene Dienstleistungen anbieten, haben in der Regel Zugriff auf personenbezogene Daten. Ein ADV-Vertrag stellt sicher, dass sie diese Daten nur im Rahmen ihrer Aufgaben, dem Zweck entsprechend und unter Einhaltung der strengen DSGVO-Vorgaben verarbeiten dürfen.
3. Rechenzentren
Betreiber von physischen Rechenzentren (z.B. für Switches, Server, Firewalls etc.), in denen z.B. auch Gäste-Daten gespeichert und verarbeitet werden, müssen ebenfalls vertraglich gebunden werden.
4. Marketing- und Werbedienstleister
Agenturen, die Marketingkampagnen und Werbung im Auftrag eines Hotels oder Restaurants durchführen, verarbeiten unter Umständen personenbezogene Gäste-Daten, wie z.B. E-Mail-Adressen und Gäste-Adressen.
5. Lohn- und Gehaltsabrechnungsdienste
Externe Dienstleister, die die Lohn- und Gehaltsabrechnungen abwickeln bzw. erstellen, haben Zugang zu umfangreichen Mitarbeiterdaten. Ein ADV-Vertrag ist deshalb auch hier notwendig, um sicherzustellen, dass diese (zum Teil sensiblen) Daten ordnungsgemäß geschützt werden.
6. Kundenservice-Anbieter
Callcenter und andere Anbieter von Kundensupport-Dienstleistungen verarbeiten regelmäßig personenbezogene Daten von Gästen und Geschäftspartnern. Ein ADV-Vertrag stellt sicher, dass diese Dienstleister die Daten nur für die vereinbarten Zwecke verwenden und diese nicht an andere, fremde Dienstleiter weitergeben dürfen.
7. Archivierungs- und Aktenvernichtungsdienste
Dienstleister, die physische oder digitale Archivierung und/oder die sichere Vernichtung von Daten durchführen, müssen ebenfalls vertraglich gebunden werden, um eine datenschutzkonforme Einhaltung der Datenvernichtung/-Löschung sicherstellen zu können.
8. Beratungsunternehmen
Beratungsfirmen, die Unterstützung bei Projekten anbieten, bei denen personenbezogene Daten verarbeitet werden bzw. auch Daten von Mitarbeitern und Gästen eingesehen werden können, benötigen ebenfalls ADV-Verträge. Dadurch wird sichergestellt, dass die möglicherweise einzusehenden Daten nur im Rahmen der Beratungstätigkeiten und unter Einhaltung der Datenschutzbestimmungen verarbeitet werden.
9. Zahlungsdienstleister
Dienstleister, die Zahlungsabwicklungen wie Kreditkarten- oder Online-Zahlungen im Auftrag eines Hotels oder Restaurants durchführen, haben Zugang zu zum Teil sensiblen Zahlungsdaten. Auch hier ist der Abschluss eines ADV-Vertrages in jedem Fall notwendig.
10. Analysetools und Web-Tracking-Dienste
Dienstleister, die Analysetools bereitstellen oder Web-Tracking mit Hilfe von z.B. Google-Tools durchführen, verarbeiten regelmäßig personenbezogene Daten. Auch in diesen Fällen ist der Abschluss eines ADV-Vertrages zwingend erforderlich.
(Die hier aufgeführten Beispiele erheben keinen Anspruch auf Vollständigkeit)
Was sind die Inhalte und Mindestanforderungen an einen ADV-Vertrag?
Ein ADV-Vertrag muss bestimmte Mindestanforderungen erfüllen, um den gesetzlichen Vorgaben der DSGVO zu entsprechen. Dazu gehören:
- Gegenstand und Dauer der Verarbeitung: Eine Beschreibung der Dienstleistungen und der Zeitraum, in dem die Daten verarbeitet werden.
- Art und Zweck der Verarbeitung: Details zur Art der verarbeiteten Daten und dem Zweck der Verarbeitung.
- Art der verarbeiteten Daten: Eine genaue Auflistung der Kategorien personenbezogener Daten, die verarbeitet werden.
- Kategorien betroffener Personen: Angaben zu den betroffenen Personen, deren Daten verarbeitet werden.
- Pflichten und Rechte des Verantwortlichen: Die Rechte und Pflichten des Unternehmens, das die Daten erhebt.
- Pflichten und Rechte des Auftragsverarbeiters: Die Verpflichtungen des Dienstleisters, die Daten nur im Rahmen der Weisungen des Verantwortlichen und gemäß der DSGVO zu verarbeiten.
- Technische und organisatorische Maßnahmen: Eine detaillierte Beschreibung der Maßnahmen, die der Dienstleister ergreift, um die Daten ausreichend zu schützen.
Übrigens:
Auftragsdatenverarbeitungsverträge können nur von Auftragsverarbeitern (Dienstleistern) ausgearbeitet und zur Verfügung gestellt werden, da nur sie die eigenen Vorkehrungen zum Schutz der anvertrauten personenbezogenen Daten im eigenen Unternehmen kennen können. Es gibt immer wieder Dienstleiter, die den Verantwortlichen um die Erstellung eines solchen ADV-Vertrages bitten, da sie sich selber nicht die Mühe machen möchten. Ein solches Vorgehen ist rechtswidrig und kann mit einem empfindlichen Bußgeld für beide Parteien belegt werden, sollte nachgewiesen werden können, dass das verantwortliche Unternehmen für den Dienstleister einen solchen ADV-Vertrag, ohne vorherige Abklärung der Schutzmaßnahmen, erstellt haben..
Mit welchen Dienstleistern ist kein ADV-Vertrag abzuschließen?
Die Datenschutz-Grundverordnung sieht bestimmte Ausnahmen vor, bei denen kein Vertrag zur ADV erforderlich ist. Hier sind einige Ausnahmen aufgeführt:
1. Reine Telekommunikations- und Postdienste
Telekommunikations- und Postdienste, die lediglich als Vermittler fungieren und keine eigenständige Verarbeitung von personenbezogenen Daten im Sinne eines Auftragsverarbeiters durchführen, sind von der Verpflichtung zur ADV befreit. Diese Anbieter übermitteln die Daten nur, ohne sie selbst zu verarbeiten oder zu speichern.
2. Datenverarbeitung durch Dritte im Rahmen gesetzlicher Verpflichtungen
Wenn ein Dritter gesetzlich dazu verpflichtet ist, personenbezogene Daten zu verarbeiten, handelt er nicht als Auftragsverarbeiter. Ein Beispiel hierfür ist die Verarbeitung durch Behörden und Gerichte im Rahmen ihrer gesetzlichen Aufgaben.
3. Eigenständige Verantwortliche
Wenn ein Dienstleister die Daten nicht im Auftrag des Unternehmens, sondern als eigenständiger Verantwortlicher verarbeitet, ist kein ADV-Vertrag erforderlich. Dies liegt vor, wenn der Dienstleister selbst über die Mittel und Zwecke der Verarbeitung entscheidet. Klassische Beispiele hierfür sind Steuerberater oder Anwälte, die Daten im Rahmen ihrer eigenen beruflichen Pflichten verarbeiten.
4. Empfänger von Datenübermittlungen
Empfänger von Datenübermittlungen, die die Daten für eigene Zwecke verarbeiten und nicht im Auftrag des Datenübermittelnden handeln, benötigen keinen ADV-Vertrag. Hierzu zählen beispielsweise Behörden, die Daten im Rahmen ihrer hoheitlichen Aufgaben erhalten.
5. Rein interne Datenverarbeitung
Wenn die Datenverarbeitung innerhalb derselben Organisation oder Unternehmensgruppe erfolgt und keine externe Verarbeitung durch einen Dritten stattfindet, ist kein ADV-Vertrag notwendig. Hierunter fällt beispielsweise die Datenverarbeitung innerhalb eines Konzerns. Wichtig hierbei ist allerdings, dass der Zweck, wofür die Daten erhoben wurden, auch erfüllt bleibt.
6. Eigenständige Serviceanbieter
Serviceanbieter, die zwar Dienstleistungen für ein Unternehmen erbringen, dabei aber keine personenbezogenen Daten im Auftrag des Unternehmens verarbeiten, sind nicht verpflichtet, einen ADV-Vertrag zu schließen. Beispiele können Anbieter von physischen Sicherheitsdiensten oder Handwerksbetriebe sein, die keinen direkten Zugriff auf personenbezogene Daten haben.
7. Offenlegungspflichten und öffentliche Register
Wenn personenbezogene Daten aufgrund gesetzlicher Offenlegungspflichten oder zur Veröffentlichung in öffentlichen Registern verarbeitet werden, ist kein ADV-Vertrag erforderlich. Dies betrifft z.B. Handelsregister oder Grundbücher.
(Die hier aufgeführten Beispiele erheben keinen Anspruch auf Vollständigkeit)
Fazit
Der Abschluss von Verträgen zur Auftragsdatenverarbeitung mit entsprechenden Dienstleistern ist ein wesentlicher Bestandteil der DSGVO-Compliance. Unternehmen müssen sicherstellen, dass alle externen Dienstleister, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten, vertraglich an die Einhaltung der Datenschutzstandards gebunden sind.
Dies schützt nicht nur die Daten der betroffenen Personen, sondern auch das Unternehmen vor möglichen Datenschutzverstößen und den damit verbundenen rechtlichen Konsequenzen.
Es gibt aber auch Ausnahmen, bei denen kein ADV-Vertrag notwendig ist.
Unternehmen sollten deshalb genau prüfen, ob eine solche Ausnahme im konkreten Fall zutrifft, da die Anforderungen und Ausnahmen im Datenschutz komplex und vielfach interpretierbar sind. Eine genaue rechtliche Beratung kann dabei helfen, Unsicherheiten zu klären und sicherzustellen, dass alle datenschutzrechtlichen Verpflichtungen erfüllt werden.
Es sind übrigens alle Unternehmungen, unabhängig von ihrer Firmierung, Größe und Anzahl ihrer Mitarbeiter, dazu verpflichtet, bei entsprechender Notwendigkeit, ADV-Verträge mit externen Dienstleistern abzuschließen.
Herzlichst,
Ihr Jan Schmidt-Gehring
Beim Impulsblog für erfolgreiche Hotels
voriger Beitrag
Nachdem Sie sich nun in den vergangenen Blogs über Ihre Wünsche und Werte Gedanken gemacht haben, nimmt Ihr Ziel den gewünschten Endzustand, den Sie durch Ihr Handeln erreichen wollen, gedanklich vorweg.
Diskutieren Sie mit!
Hinterlassen Sie hier Ihren Kommentar!
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.