Bei jedem Hotelaufenthalt werden von der Buchung an personenbezogene Daten der Gäste erfasst. Das große Aufkommen an personenbezogenen Daten macht sie in besonderem Maß anfällig für Datenschutzverstöße.
Kaum ein Dienstleister erfährt so viel über seine Kunden wie ein Hotel. Beim Sammeln und Verarbeiten von Daten sind ihm jedoch enge Grenzen gesetzt. In Deutschland sieht das Bundesmeldegesetz in § 29 eine besondere Meldepflicht in Beherbergungsstätten vor, in § 30 begrenzt es den Umfang der personenbezogenen Daten, die dafür zu erheben sind. Weitere Daten können, der DSGVO entsprechend, nur mit Einwilligung des Betroffenen erfasst und genutzt werden oder nur für bestimmte Zwecke erhoben und nur so lange gespeichert werden, wie sie für diese Zwecke benötigt werden.
Hotels arbeiten häufig unter Rahmenbedingungen, die in Betrieben vergleichbarer Größe in anderen Branchen in dieser Form selten anzutreffen sind. Beispielsweise werden an den Rechnern der Rezeption und im Office Mitarbeiter in Voll- und Teilzeit, Aushilfen, Auszubildende, Praktikanten in raschem Wechsel eingesetzt, im Schichtbetrieb und in Zeiten mit sehr unterschiedlicher Arbeitsauslastung. Hier sind drei Tipps, was beim Schutz der Daten und Systeme im Hotel berücksichtigt werden sollte:
Eigene Mitarbeiter für den Schutz von Daten und IT-Systemen
Die meisten Unternehmen kommen mit externen Spezialisten für den Schutz der Daten und der IT-Systeme gut über die Runden. Sind Sicherheitsrichtlinien einmal eingeführt, reichen die Überwachung und die Fortschreibung der Richtlinien in regelmäßigen Abständen aus. Personaleinsatz und Arbeitssituation im Hotel machen die ständige Überwachung und Verbesserung und die fortlaufende Beobachtung der IT-Systeme notwendig. Kleine Störungen, kleine Fehler, kleine Unachtsamkeiten können sich schnell zu einem großen Problem mit der Gefahr von Datenschutzverletzungen entwickeln. Der enge Kontakt zu den Mitarbeitern und eine feinmaschige Beobachtung sollte deshalb durch eigene Spezialisten für IT-Sicherheit im Haus geleistet werden.
Schutz vor Insider-Bedrohungen
An einem Gutteil des unerwünschten Datentransfers und der Datenschutzverstöße sind Mitarbeiter beteiligt, in Form von Bedienfehlern, Versehen oder auch absichtlichen Handlungen. Hotels sind ebenfalls davon betroffen. Aufgrund der Mitarbeiterstruktur und der Arbeitsbedingungen ist es vom Zeit- und Kostenaufwand her im Hotel kaum zu schaffen, alle Mitarbeiter gleichermaßen allein durch Schulungen zu erreichen und auf dem aktuellen Stand zu halten. Technische Maßnahmen können diese Lücken schließen und Defizite ausgleichen. Zu den geeigneten Maßnahmen gehört die Beschränkung des Zugangs zu sensiblen Daten auf diejenigen Mitarbeiter, die sie zur Ausübung ihrer Arbeit benötigen. Mit Lösungen für Data Loss Prevention (DLP) können darüber hinaus die Nutzung von privaten Mobiltelefonen oder tragbaren Speichergeräten am Arbeitsplatz sowie der Transfer personenbezogener Daten überwacht und eingeschränkt werden. Weiterhin erlauben sie die Suche nach sensiblen Daten im gesamten Netzwerk und die Löschung von Daten an nicht für die Speicherung vorgesehenen Orten. Solche Suchfunktionen erleichtern es zudem, den Löschpflichten aus der DSGVO nachzukommen.
Internationale Standards einhalten
Im Gefolge der DSGVO haben Staaten weltweit Datenschutzgesetze erlassen oder verbessert. Hotels bieten Dienstleistungen über Grenzen hinweg an, die von überall auf der Welt gebucht werden können. Sie müssen daher prüfen, woher ihre Kunden kommen, welche Datenschutzgesetze ihren Herkunftsländern gelten und bei extraterritorialer Anwendung sicherstellen, dass sie die sensiblen Daten auch dieser Gäste schützen können.
Die Einhaltung auch unterschiedlicher Vorschriften ist machbar: Die meisten Datenschutzgesetze weisen große Schnittmengen auf, da sie auf denselben internationalen Standards basieren. Die Einhaltung dieser Standards sollte sicherstellen, dass Hotels vor den meisten potenziellen Datenschutzverstößen geschützt sind.