Jetzt wird’s ernst beim Datenschutz

10.11.2017

Brüssel greiſt ein: Ab 25. Mai 2018 regelt die EU, wie in ihren Mitgliedsländern mit persönlichen Daten umzugehen ist. Jedes Reisebüro sollte sich jetzt seinen Bestand anschauen.

Kommt nach der Pauschalreiserichtlinie das nächste Bürokratie-Monster aus Brüssel? Ab 25. Mai 2018 regelt die EU-Datenschutzgrundverordnung (DSGVO) in 99 Artikeln auf 261 Seiten, wie Unternehmen mit personenbezogenen Daten von Kunden, Partnern, Mitarbeitern oder wem auch immer umzugehen haben. Die DSGVO muss nicht in deutsches Recht umgesetzt werden, sondern gilt unmittelbar und ersetzt ohne Übergangsfrist das bisherige Bundesdatenschutzgesetz. Es hilft also nichts: Jeder Unternehmer und Geschäftsführer muss sich mit dem ungeliebten Thema beschäftigen. Reiseveranstalter, Airlines, Hotelketten und natürlich auch Amadeus tun dies schon seit Monaten, um auf den 25. Mai vorbereitet zu sein.

Um diese Daten geht’s

Doch worum genau geht es überhaupt? „Ausschließlich um personenbezogene Daten“, sagt Fachanwalt Jens Eckhardt von der Düsseldorfer Kanzlei Derra, Meyer & Partner. Etwa Namen, Adressen, Telefonnummern, Konten und Kreditkarten, Kfz-Kennzeichen, Zeugnisse oder Buchungsdaten. Es können aber auch Cookies oder IP-Adressen sein. In der Online-Welt ist die Abgrenzung zu anonymisierten Daten – die von der DSGVO nicht betroffen sind – nicht immer einfach.

Einverständnis der Kunden einholen

Im Prinzip will die EU mit der DSGVO keine neuen Verbote schaffen. Daher orientiert sich diese stark am bisherigen Bundesdatenschutzgesetz (BDSG). „Fast alles, was bisher erlaubt oder verboten ist, wird auch künftig erlaubt oder verboten sein“, ist sich Experte Eckhardt sicher. Auch jetzt schon dürfen persönliche Daten etwa nur zweckgebunden und im nötigen Umfang erhoben und müssen nach Aufforderung gelöscht werden. Die Kopplung an Gewinnspiele erfordert auch heute schon ein explizites Einverständnis der Teilnehmer. Karteileichen müssen auch bisher nach bestimmten Fristen entfernt werden.

Verantwortung für Daten übernehmen

Allerdings will die EU Unternehmen zwingen, sich mit ihren Daten überhaupt auseinanderzusetzen – „sich gewahr werden, was sie da tun“, wie Eckhardt es formuliert. Deshalb verschärft die DSGVO vor allem die Dokumentations- und Auskunftspflichten – und die Sanktionen. Wurden Datenschutzverstöße bislang meist milde oder gar nicht geahndet, können jetzt bis zu vier Prozent des Konzernumsatzes fällig werden. Die Großunternehmen sind alarmiert.

Prüfungen wie im Steuerrecht

Kern der neuen Verordnung ist ein „Accountability“-Ansatz: Sprich, jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten hält, wird in die Verantwortung genommen. Es muss deren rechtskonforme Verarbeitung nachweisen, etwa wenn ein Prüfer der Datenschutzbehörde – ähnlich wie heute ein Betriebsprüfer im Steuerrecht – dies verlangt. Oder ein Kunde, der das Gefühl hat, dass mit seinen Daten schlampig umgegangen wurde. Wer dann nicht dokumentieren kann, dass alles korrekt gelaufen ist, bekommt ein Problem.
Die EU zielt damit keineswegs auf Reisebüros oder sonstige Kleinunternehmen, sondern angesichts des exponentiell wachsenden Datenvolumens und des Umgangs damit vor allem auf große Datensammler wie Google oder Facebook. Dennoch gibt es keine Ausnahmen, jeder ist betroffen.

Kunden müssen aktiv informiert werden

Für die Branche bedeutet dies: Kunden müssen künftig aktiver informiert werden, welche Daten zu welchem Zweck wo wie lange gespeichert und an wen sie weitergegeben werden. Etwa mittels einer Datenschutzerklärung, die bei der Buchung gemeinsam mit den AGB unterschrieben wird. Zudem sollte jeder seine bisherigen Kundendaten überprüfen. Stammen sie etwa aus einer früheren Buchung oder Katalogbestellung? Gibt es ein Einverständnis zum Newsletter-Versand? Grundsätzlich gibt es drei Möglichkeiten, Adressen legal zu verwenden: entweder das Interesse des Unternehmens überwiegt („Interessenabwägung“) oder es existiert ein explizites Einverständnis oder man nimmt eine „Zweckänderung“ vor. Letzteres ist oft schwierig.

Kritische und unkritische Daten

In der Praxis sehen Experten Risiken vor allem in sensiblen Daten, die etwa auf Religion, politische Überzeugungen, Gesundheit oder Sexualleben schließen lassen. Das gilt auch für Marketing-Daten, wie sie in Midoffice- und CRM-Systemen lagern können. Backoffice-Daten dagegen gelten als eher unkritisch, da sie meist zur Erfüllung der Buchung benötigt werden. Hier sind auch die Technikanbieter gefragt, etwa wenn es um Löschkonzepte oder den Schutz vor Diebstahl geht.

Dienstleister einbeziehen

Da Reisebüro-Daten oft in Fremdsystemen gehostet werden, raten Experten dazu, mit allen Dienstleistern Verträge zur DSGVO-konformen Auftragsverarbeitung abzuschließen. Das ist zwar Aufgabe des Reisebüros, doch dürften die Anbieter hiermit aktiv auf ihre Agenturen zukommen. Auch die Reisebüro-Ketten werden für die Agenturen aktiv. „Alles, was über unseren Tisch läuft, regeln wir für die Büros“, kündigt etwa RTK-Chef Thomas Bösl an. Zudem bereite man gerade Schulungen und weitere Hilfen vor. Neu ist auch, dass Unternehmen außerhalb der EU in das Datenschutzrecht einbezogen werden. So müssen etwa das hiesige Hotel, dessen Gästedaten beim Mutterkonzern in den USA liegen, oder das amerikanische Reiseportal, das in Europa um Kunden wirbt, auch die dortige DSGVO-konforme Verarbeitung nachweisen.

E-Privacy-Verordnung

Mit der DSGVO ist es übrigens noch nicht getan. Jeder, der im Online-Geschäft aktiv ist, sollte auch die E-Privacy-Verordnung im Blick haben, die derzeit von der EU ausgearbeitet wird. Sie wird insbesondere das Tracking von Kunden im Internet regeln. „Heute laufen die Tracker ja überall mit“, weiß Jurist Eckhardt, „da herrscht oft noch Wildwuchs.“ Datenschutz-Berater – die sicherlich zu den Profiteuren des Ganzen zählen – wissen, dass bei all den Pflichten und Risiken auf einem solch unübersichtlichen Feld manchem Reisebüro-Unternehmer „die Kinnlade herunterfällt“. Ein Reisebüro-Trainer formuliert es denn auch pragmatisch: „Alle Anforderungen der DSGVO einzuhalten, ist kaum zu schaffen. Dennoch muss man es so gut wie möglich versuchen.“

Mailbox

Aufgrund der neuen Verordnung werden auch Sie in den nächsten Wochen E-Mail-Post von Amadeus bekommen. Amadeus wird Ihr Einverständnis für die Zusendung von Infomailings einholen. Bei der Gelegenheit haben Sie auch die Möglichkeit, Ihre Kontaktdaten zu aktualisieren. Das betrifft auch den Amadeus Newsletter: Wenn Sie weiter informiert werden möchten, bestätigen Sie dies bitte durch Klick auf den entsprechenden Button im Mailing.

FAQs für Reisebüros

Amadeus wird Anfang 2018 FAQs zum Bereich Datenschutz mit Hinweisen zur DSGVO zur Verfügung stellen. Das Amadeus News Board hält Sie up-to-date.

Best Practice Guide

Der Deutsche Dialogmarketing Verband (DDV) hat einen 52-seitigen Best Practice Guide herausgebracht, der den rechtssicheren Umgang mit der DSGVO anschaulich erläutert. Er kann von Nichtmitgliedern unter info@ddv.de kostenlos als PDF bestellt werden.

 

#angemerkt

Portraitbild Uta Martens

„Verstehen Sie mich nicht falsch: Verbraucherschutz muss sein. Ich bin selbst Verbraucherin und sehr froh, dass meine Rechte festgeschrieben sind und außerdem noch ausgebaut werden. Im Moment aber rollt in der Summe doch ein bisschen viel auf uns zu.“

Weiter zum Blog Post

Schreiben Sie einen Kommentar