Zur LTV Website
Start » Aktuelles » News » digital-Impuls: Datenschutz im Tourismus (Nachlese)
17.01.2024

digital-Impuls: Datenschutz im Tourismus (Nachlese)

aktuelle Informationen, praktische Tipps und Beispiele // 16. Januar 2024

Datenschutz-im-Tourismus_Veranstaltung_16.01.2024

Am 16. Januar war es wieder Zeit für einen digital-Impuls unserer Initiative „360 Grad digital“, der Erste im neuen Jahr 2024. Dafür haben wir uns ein spezielles, aber wichtiges Thema ausgesucht: Datenschutz im Tourismus. Aber es sollte kein grauer und trister Vortrag werden, wie unser Referent Robert Harzewski es angekündigt hatte, sondern ein Vortrag voll mit Informationen und Praxisbeispielen rund um das Thema Datenschutz.

Ein Rechtsstreit um Gesundheitsdaten

Der Einstieg führte über ein Praxisbeispiel, bei dem ein Reiseveranstalter vor der Fahrt seine Teilnehmer*innen in einem Fragebogen aufforderte, den Gesundheitszustand, Operationen in der Vergangenheit und die einzunehmenden Medikamente anzugeben. Eine Streitfrage! Der Kläger, ein Teilnehmer der Reise, beschwerte sich über die Nichtrelevanz der Abfrage, welcher sich schlussendlich auch die Aufsichtsbehörde mit der Aussage anschloss, dass es keine Rechtsgrundlage gibt, die vorsieht, dass ein Reiseveranstalter diese persönlichen Daten erheben darf.

Die Grundlagen des Datenschutzes

… und da waren wir auch schon mitten im Thema, denn Wer Daten erhebt, benötigt eine Rechtsgrundlage. Neben der Rechtsgrundlage sind aber auch weitere Faktoren wichtig, wie zum Beispiel die Einwilligung der Kunden*innen oder die Interessenabwägung. Das bedeutet, man benötigt für die Datenerhebung immer die Einwilligung des Gegenübers und das eigene Interesse an der Speicherung und Verarbeitung von Daten überwiegt dem Interesse des Datengebenden.

Weiter fuhr Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski fort, dass das Verarbeiten personenbezogener Daten bestimmten Grundsätzen entsprechen muss. Diese sind zum Beispiel Rechtmäßigkeit, die Integrität und Vertraulichkeit, die Zweckbindung und die Speicherbegrenzung.

Die häufigsten Fehler beim Datenschutz

Die fünf größten Fehler beim Datenschutz im Tourismus sind:

  • unbeabsichtigte Offenlegung der Daten (eine E-Mail versenden mit allen Adressen in „CC“ anstatt „BCC“)
  • Versand einer E-Mail oder eines Briefs an eine falsche Empfänger*in
  • der Verlust von Dienstgeräten, wie Diensttelefon oder Laptop
  • Versand sensibler Daten, wie Anmelde- oder Registrierungsdaten unverschlüsselt als E-Mail-Anhang
  • der Diebstahl oder die fehlerhafte Entsorgung von Akten, Datenträgern oder Kundendaten (Papier wird nicht geschreddert oder in Datenschutzbehältern entsorgt, sondern nur zerrissen und im Papierkorb entsorgt)

Die Zwiebel-Metapher für den Datenschutz

Eine sehr schöne visuelle Darstellung der gesamten Datenschutzproblematik zeigte Robert Harzewski dann in Form einer Zwiebel. Der weiße Kern der Zwiebel sind die zu sichernden Daten und die diese umgebenden Zwiebelschalen sind die verschiedenen Schutzschichten, die diese Daten sichern sollen. Je schützenswerter also die Daten im Inneren sind, umso sicherer, besser und schärfer müssten auch die Schutzschichten, sprich Schutzmaßnahmen sein.

Typische Fehler mit Datenschutz im Tourismus

Im weiteren Verlauf des digital-Impulses ging Herr Harzewski auf typische Fehler in Zusammenhang mit dem Datenschutz im Tourismus ein. Diese Fehler können zu Bußgeldern, Abmahnungen oder Rechtsstreitigkeiten führen, wenn sie nicht vermieden oder behoben werden. In diesem Artikel werden einige dieser Fehler und ihre möglichen Konsequenzen beschrieben.

Die Informationspflicht bei der Datenerhebung

Ein besonders typischer Fehler ist, dass die Empfänger*innen vergessen werden, also nicht korrekt benannt werden, wer überhaupt alles die erhobenen Daten (weiter)verarbeitet. Dabei gibt es doch laut Artikel 13 Abs. 1 DSGVO eine Informationspflicht bei der Erhebung von personenbezogenen Daten, die eindeutig regelt, welche Daten dabei der betroffenen Person mitzuteilen sind. Kleiner Tipp: Schauen Sie mal in die Datenschutzhinweise auf Ihrer Webseite, ob auch wirklich alle Personen und Unternehmen genannt wurden, die mit Ihren erhobenen Daten arbeiten.

Die Einwilligung zur Werbung

Ein weiterer Fehler wird häufig auch im Umgang mit der Zusendung von Werbung ohne Einwilligung gemacht. Ohne Einwilligung ist Werbung nur dann zulässig, wenn die eigenen berechtigten Interessen an der Werbung die Interessen oder Grundrechte und Freiheiten der Betroffenen überwiegen. Damit fällt auch die alljährlich gut gemeinte Weihnachtspost(karte) unter diese Kategorie. Denn entweder Sie haben eine vorherige Einwilligung zum Versenden der Weihnachtsglückwünsche oder müssen den sogenannten erlaubten Medienbruch nutzen. Dieser besagt, dass dem Betroffenen die Grundangaben, die in Art. 13 Abs. 1 bzw. Art. 14 Abs. 1 DSGVO aufgeführt sind, direkt auf dem Dokument mitgeteilt werden müssen. Dabei ist ein Verweis auf die Veröffentlichung dieser Grundangaben und auf die weiteren allgemeinen Pflichtangaben auf Ihrer Homepage möglich. Sollten Sie diese Angaben allerdings vergessen haben und Sie deshalb verklagt werden, wird es beim Gerichtsprozess auf „berechtigtes Interesse bei der Zusendung der Weihnachtspost“ hinauslaufen, so Harzewski.

Das eigene berechtigte Interesse überwiegt und somit bedarf der Versand von Werbung keiner Einwilligung bei Werbung per Briefpost, nicht persönlich adressierten oder teiladressierten Postwurfsendungen und bei E-Mails an Bestandskund*innen, die bereits ein ähnliches Angebot oder eine ähnliche Dienstleistung in Anspruch genommen haben und die Vorgaben nach § 7 Abs. 3 UWG eingehalten werden.

Gängige Praxis zum Beispiel bei der Anmeldung zum Bezug eines Newsletters ist die doppelte Bestätigung der Anmeldung. Nach der Eintragung in eine Newsletter-Abonnentenliste erhält die Anmelder*in in der Regel eine E-Mail-Nachricht mit der Bitte um Bestätigung an die eingetragene E-Mail-Adresse gesendet. Die Registrierung beim „Double-Opt-in“ erfolgt erst dann, wenn sie mit dieser E-Mail bestätigt wird.

Die Gefahr von Phishing-Mails

Ein letzter großer Fehler besteht zum Beispiel auch beim Umgang mit sogenannten Phishing-Mails. Dabei werden gefälschte E-Mails versendet, um an vertrauliche Daten, wie Passwörter, Kontodaten, Zugangsdaten) der Empfänger*innen zu kommen. Hier sollten Sie alle Mitarbeiter*innen im Unternehmen regelmäßig sensibilisieren, denn der Schaden und die Nebenwirkungen können teils erheblich sein. Wenn Ihnen etwas „spanisch“ vorkommen sollte, können/sollten Sie folgende Dinge tun:

  • Telefonisch Nachfragen bei Versender der E-Mail
  • Nicht auf den Link in der E-Mail klicken
  • Verschieben der E-Mail in den Spam-Ordner – NICHT weiterleiten!
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung
  • Eingabe von Passwörtern nur direkt beim Anbieter, auf der offiziellen Webseite, eingeben
  • Für Online-Dienste nicht in öffentlichen WLAN-Netzen einloggen

Praxisfälle Datenschutz im Tourismus

Im letzten Programmteil nahm uns Herr Harzewski mit in seine tagtägliche Arbeit als Datenschutzexperte in deutschen Unternehmen. Dabei gab er uns einige Beispiele für typische Situationen, in denen der Datenschutz beachtet werden muss:

  • Bei Gästebewertungen, in denen der Gast seinen Namen nicht ausdrücklich genannt hat, sollten Sie auch keine persönliche Anrede verwenden
  • Die Hinterlegung einer Ausweiskopie zum Buchen einer Ferienunterkunft ist ebenso rechtswidrig, wie das Hinterlegen des Personalausweises als Pfand
  • Erstellen Sie ein Backup Ihres Servers nach der 3-2-1 Backup-Regel: 3 Kopien auf zwei verschiedenen Speichermedien, davon eine außerhalb des Unternehmens
  • Einwilligungen zum Datenschutz sind zweckgebunden und damit zeitlich begrenzt
  • Erstellen Sie für Ihre Daten ein Löschkonzept, welches unternehmensintern genau regelt, wer wann welche Daten zu löschen hat, wo die Daten gespeichert werden und wie die Löschung ablaufen muss.
  • regelt, wer wann welche Daten zu löschen hat, wo die Daten gespeichert werden und wie die Löschung ablaufen muss.

Bei Fragen zum Thema Datenschutz:

Robert Harzewski
Rechtsanwalt & Datenschutzbeauftragter aus Dresden
Telefon: 0351/ 418866840
E-Mail: rechtsanwalt-harzewski.de

Der digital-Impuls wurde aufgezeichnet und kann hier auf dem YouTube-Kanal des LTV SACHSEN noch einmal angeschaut werden. Die Präsentation zum digital-Impuls finden Sie hier.

Torsten-Meier
Kontakt:

Torsten Meier

+49 351 49191-26

Diese Artikel könnten Sie interessieren.

digital-Impuls_Bildrechte_07.02.2024
14.02.2024

digital-Impuls: Bildrechte im Internet (Nachlese)
23.11.2023

Das EU Förderprojekt DigiTOUR
Social Ads-bezahlte Werbung in Social Media_14.11.2023
16.11.2023

digital-Impuls: Social Ads (Nachlese)
Shape
Logo Landestourismusverband Sachsen

Landestourismusverband Sachsen e.V.
"Tourismus 360Grad digital"
Messering 8 - Haus E
01067 Dresden

+49 351 49191-0
digital@ltv-sachsen.de

Diese Maßnahme wird mitfinanziert durch Steuermittel auf der Grundlage des vom Sächsischen Landtag beschlossenen Haushaltes.

©2024 Landestourismusverband Sachsen e.V.