Datenerhebung durch Hotels
Der typische Ablauf für die meisten Urlauber und Geschäftsreisenden dürfte bekannt sein: Nach der Ankunft an der Rezeption erfolgt zunächst der Check-in, bei dem ein Ausweisdokument vorgelegt und gegebenenfalls eine Kopie davon angefertigt wird. Zusätzlich werden die Gäste freundlich gebeten, ein Formular auszufüllen. Doch welche personenbezogenen Daten darf das Hotel tatsächlich im Einklang mit dem Datenschutz und der Datenschutzgrundverordnung (DSGVO) erheben? Maßgeblich ist hierfür der Zweck der Datenerhebung und die damit verbundene Rechtsgrundlage.
Verbot mit Erlaubnisvorbehalt – Erfüllung einer gesetzlichen Plicht
Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass jegliche Verarbeitung personenbezogener Daten (Erhebung, Speicherung, Weitergabe) zunächst verboten ist. Eine Ausnahme von diesem Verbot besteht dann, wenn hierfür eine rechtliche Grundlage gegeben ist.
Im Falle der Erhebung von Daten mittels eines sogenannten Meldescheins findet sich eine gesetzliche Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. §§ 29 ff. Bundesmeldegesetz (BMG). Gemäß § 30 Abs. 2 BMG haben Hotelgäste am Tag ihrer Ankunft einen Meldeschein mit der Angabe folgenden Daten auszufüllen:
- Datum der Ankunft und der voraussichtlichen Abreise,
- Familienname,
- Vorname,
- Geburtsdatum,
- Staatsangehörigkeit,
- Anschrift,
- Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Abs. 2 S. 2, 3 BMG,
- Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.
Im Umkehrschluss bedeutet dies, dass die Erhebung zusätzlicher personenbezogener Daten nicht mehr durch die oben genannte Rechtsgrundlage gerechtfertigt ist. Besonders hervorzuheben ist, dass die Anfertigung einer Kopie des Ausweisdokuments gesetzlich nicht vorgeschrieben und daher auch nicht notwendig ist. Es reicht aus, die Seriennummer des Ausweisdokuments zu erfassen, die über den Meldeschein abgefragt wird.
Daten zur Vertragsabwicklung
Selbstverständlich können neben den oben genannten Daten auch weitere personenbezogene Informationen, die zur Erfüllung des Beherbergungsvertrages erforderlich sind, datenschutzkonform erhoben werden. Die Rechtsgrundlage für diese Datenverarbeitung ist in diesem Fall Art. 6 Abs. 1 S. 1 lit. b DSGVO. Dazu zählen beispielsweise die Kontodaten des Hotelgastes, um eine Abrechnung vornehmen zu können.
Datenverarbeitung infolge einer Einwilligung
Sollten weitere personenbezogene Daten des Hotelgastes für andere Zwecke als die oben genannten erhoben werden, ist in der Regel eine datenschutzrechtliche Einwilligung erforderlich (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Ob eine Einwilligung für den jeweiligen Fall eingeholt werden kann, hängt vom Einzelfall ab.
Aufbewahrungsfrist der Meldescheine durch das Hotel
Die personenbezogenen Daten auf den Meldescheinen müssen ab dem Anreisetag des Hotelgastes für ein Jahr aufbewahrt werden. Nach Ablauf dieser Frist sind die Meldescheine innerhalb von drei Monaten zu vernichten (Art. 6 Abs. 1 S. 1 lit. c DSGVO in Verbindung mit § 30 Abs. 4 BMG).
Hotels müssen zudem besonderen Wert auf die Einhaltung des Prinzips der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO legen. Dabei ist das sogenannte „Need-to-Know-Prinzip“ anzuwenden, nach dem nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten erhalten, die diese für ihre Aufgaben benötigen. Ein umfassendes Rollen- und Berechtigungskonzept ist daher unerlässlich und sollte unter Zuhilfenahme rechtlicher Verantwortlichkeit erstellt und ausgearbeitet werden.
Datenschutzrechtliche Verantwortung der Hotels
Zusätzlich müssen technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umgesetzt werden, um ein angemessenes Schutzniveau für die personenbezogenen Daten sicherzustellen. Fehlende oder unzureichende TOMs können zu Datenschutzverletzungen führen, etwa durch unbefugten Zugriff auf die Daten. Ein Beispiel aus dem vergangenen Jahr ist der Hackerangriff auf die Hotelkette „Motel One“, bei dem Millionen von Namen und Reisedaten gestohlen und im Darknet veröffentlicht wurden (vgl. https://www.tagesschau.de/wirtschaft/unternehmen/motel-one-hackerangriff-100.html) Die Cyberkriminellen erbeuteten insgesamt sechs Terabyte an Daten, darunter auch sensible Kreditkartendaten sowie den Namen und die Reisedaten der Gäste.
Sollten auch Sie von etwaigen Datenschutzverstößen betroffen sein, können Sie sich direkt und unkompliziert über unsere digitale Mandatsannahme – abrufbar unter https://dima.steinbock-partner.de/datenschutzvorfall – vertrauensvoll an uns wenden.
Alternativ können Sie uns jedoch auch direkt kontaktieren, um einen persönlichen oder auch einen Telefon-Termin zu vereinbaren oder um uns sonstige Fragen zu stellen. Als Full Service-Kanzlei deckt die Beratung von Steinbock & Partner nicht nur die gesamte Bandbreite des IT-Rechts sowie Datenschutzrechts ab, sondern auch die Vertretung von Mandanten in Gerichtsverfahren.
Wir freuen uns auf Ihre Kontaktaufnahme – telefonisch unter der 0931-22222 oder per E-Mail an info@steinbock-partner.de.