Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) hat einen neuen Praxisleitfaden zur datenschutzkonformen Verarbeitung personenbezogener Daten in Beherbergungsbetrieben veröffentlicht. Anlass ist insbesondere die digitale Kurkarte, deren Ausgabe und Nutzung in der Praxis zu erheblichen Unsicherheiten geführt hat.

Der Leitfaden soll rechtliche Anforderungen verständlich aufbereiten und Beherbergungsbetriebe dabei unterstützen, datenschutzkonforme Prozesse mit angemessenem Aufwand umzusetzen.

Wegfall bundesrechtlicher Meldepflichten als Auslöser

Ein wesentlicher Hintergrund der Veröffentlichung ist der Wegfall der bundesrechtlichen Meldepflichten für inländische Touristen. Seitdem besteht in vielen Betrieben Unsicherheit darüber, welche personenbezogenen Daten weiterhin erhoben und verarbeitet werden dürfen. Zugleich verzeichnete der LfDI MV eine zunehmende Zahl von Beschwerden über den Umgang mit personenbezogenen Daten in Beherbergungsbetrieben, insbesondere im Zusammenhang mit der Kurabgabe und der digitalen Kurkarte.

Datenschutzrechtlich bedeutet der Wegfall der gesetzlichen Erhebungspflicht nicht, dass jede Datenerhebung unzulässig ist. Er erfordert jedoch eine sorgfältige Prüfung, auf welcher Rechtsgrundlage Daten verarbeitet werden, zu welchem Zweck dies geschieht und welche Daten hierfür tatsächlich erforderlich sind. Diese Orientierung soll der Leitfaden des LfDI MV bieten.

Digitale Kurkarte und Kurabgabe

Besondere Praxisrelevanz hat die digitale Kurkarte. Der LfDI MV weist darauf hin, dass im Austausch mit der Region Usedom bereits eine Praxislösung für deren Ausgabe erarbeitet wurde. Dabei ging es unter anderem die Möglichkeit, die digitale Kurkarte im Single-Opt-In-Verfahren zu versenden und dadurch den Prozess zu vereinfachen.

Aus datenschutzrechtlicher Sicht bleibt dabei entscheidend, dass Gäste verständlich, vollständig und rechtzeitig über die Verarbeitung ihrer personenbezogenen Daten informiert werden.

Die digitale Ausgestaltung der Kurkarte darf nicht dazu führen, dass mehr Daten verarbeitet werden als für Kurabgabe und Kurkartenausgabe erforderlich sind. Maßgeblich sind neben der DSGVO und dem BDSG auch die einschlägigen spezialgesetzlichen Vorgaben sowie die jeweiligen kommunalen Satzungen.

Verarbeitung von Gäste- und Beschäftigtendaten

Der Leitfaden richtet sich in erster Linie an kleine und mittelständische Beherbergungsbetriebe.

Er nimmt dabei nicht nur Gästedaten, sondern auch personenbezogene Daten von Mitarbeitenden in den Blick. Bei Gästedaten kommen insbesondere allgemeine Kontaktdaten, buchungsbezogene Angaben und gesetzlich vorgeschriebene Informationen in Betracht. Beschäftigtendaten betreffen regelmäßig Stammdaten, abrechnungs- und einsatzbezogene Angaben sowie Daten aus Bewerbungsverfahren.

Für beide Bereiche gilt, dass nur solche Daten verarbeitet werden sollten, die für den jeweiligen Zweck tatsächlich erforderlich sind. Besonders sensible Daten, etwa Gesundheitsdaten oder Angaben zu Religion und Weltanschauung, unterliegen den besonderen Anforderungen des Art. 9 DSGVO und dürfen nur verarbeitet werden, wenn hierfür eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage besteht.

Datenpannen: Meldepflichten frühzeitig beachten

Beherbergungsbetriebe sollten nicht nur die rechtmäßige Erhebung und Verarbeitung personenbezogener Daten organisieren, sondern auch den Umgang mit möglichen Datenschutzverletzungen vorbereiten. Gerade bei digitalisierten können unbefugte Zugriffe, Fehlversendungen oder technische Sicherheitsvorfälle datenschutzrechtlich relevant werden.

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, ist unverzüglich zu prüfen, ob eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich ist und ob betroffene Gäste zusätzlich zu benachrichtigen sind.

Beherbergungsbetriebe sollten daher interne Zuständigkeiten, Meldewege und Dokumentationsprozesse vorab festlegen.

Fazit

Der Praxisleitfaden des LfDI MV ist ein wichtiger Baustein für mehr Rechtssicherheit im Beherbergungsgewerbe. Gerade die digitale Kurkarte zeigt, dass Digitalisierung und Datenschutz nicht im Widerspruch stehen müssen.

Voraussetzung ist jedoch, dass Beherbergungsbetriebe ihre Datenverarbeitung transparent und zweckgebunden organisieren. Wer verarbeitete Datenkategorien festhält, Rechtsgrundlagen sauber prüft und Gäste rechtzeitig informiert, kann digitale Abläufe rechtskonform und praxistauglich gestalten.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern