Teil 3 der Veröffentlichungsreihe zum Digitalen Management.
Die Digitalisierung und die digitale Transformation gelten als zentrale Herausforderungen für Unternehmen aller Branchen – vom Handel über das Handwerk bis hin zur Landwirtschaft. Auch im Tourismus verändert die fortschreitende Digitalisierung mit höchster Geschwindigkeit das Konsumverhalten der Gäste, Geschäftsmodelle und -prozesse touristischer Leistungsanbieter, Unternehmen und Organisationen sowie das gesamte Wettbewerbsumfeld. Nahezu alle Bereiche des Tourismus unterliegen inzwischen Digitalisierungsprozessen.
Um diesen Wandel möglichst sicher und zielgerichtet vollziehen zu können, müssen Anbieter und Organisationen im Tourismus zahlreiche Aspekte für eine erfolgreiche Digitalisierung im eigenen Betrieb beachten. Diese reichen von der Frage „Wozu überhaupt Digitalisierung?“ bis hin zur Klärung der technischen Anforderungen sowie der Schulung der eigenen Mitarbeiterinnen und Mitarbeiter. Mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 spielt nicht zuletzt auch der Umgang mit personenbezogenen Daten, die auch für den Tourismus von großer Bedeutung sind, eine zentrale Rolle. Auf nationaler Ebene ist ebenso das Bundesdatenschutzgesetz (BDSG) zu beachten. Im „Datenschutz-Dschungel“ den Überblick zu behalten, ist aufgrund der Komplexität der Bestimmungen und der Masse an zugänglichen Informationen eine wahre Herausforderung. Im Folgenden werden die zentralen Bereiche, welche es besonders zu beachten gilt, zusammengefasst.
Datenschutz und -sicherheit
Datenschutz spielt in der heutigen Gesellschaft eine immer wichtigere Rolle. Mit Eintritt der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 wurde ein einheitlicher Rechtsrahmen für die Verarbeitung und den Schutz personenbezogener Daten geschaffen.
Beispiele für personenbezogene Daten:
Die DSGVO hat insbesondere Auswirkungen auf die auch im Tourismus relevanten Bereiche des E-Commerce, E-Mail-Marketings, der Website-Analysen mit Google Analytics, Werbe-Cookies und viele mehr. Da diese Bereiche die Arbeit zahlreicher touristischer Leistungsanbieter und Unternehmen sowie Destinationsmanagementorganisationen betreffen ist die DSGVO daher zwingend zu berücksichtigen. Geplante Aktivitäten im Kontext der Digitalisierung interner Arbeitsabläufe sowie externer Kundenprozesse sind somit datenschutzkonform zu planen und durchzuführen. Bei Verstößen gegen die Bestimmungen der DSGVO können je nach Ausmaß erhebliche Bußgelder geltend gemacht werden. Im nationalen Kontext ist ebenso das Bundesdatenschutzgesetz (BDSG) zu beachten.
Acht Dinge, auf die es besonders ankommt:
Die Pflicht zur Benennung eines Datenschutzbeauftragen wird durch Artikel 37 Abs. 1 der DSGVO geregelt. Ein Datenschutzbeauftragter kann sowohl intern als auch extern benannt werden. Die Bestimmungen der DSGVO zur Ernennung eines Datenschutzbeauftragten werden im nationalen Kontext durch das BDSG um folgende wichtige Punkte ergänzt.
Eine Person gilt als „ständig“ beschäftigt, wenn sie die Aufgabe regelmäßig wahrnimmt. Bei der Aufgabe muss es sich dabei nicht um die Hauptaufgabe der jeweiligen Person handeln.
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten von Daten führen. Darin werden z.B. Verantwortlichkeiten, die Zwecke der Datenverarbeitung und Löschfristen definiert (s. Art. 30 DSGVO). Grundsätzlich gehören alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, in das Verzeichnis von Verarbeitungstätigkeiten.
Alle Personen, die mit personenbezogenen Daten arbeiten, müssen über die Datenverarbeitung informiert werden und dieser zustimmen. Jeder Website-Inhaber ist verpflichtet, eine Datenschutzerklärung in seine Website einzubetten.
Wenn Mitarbeiter oder externe Dienstleister Zugriff auf personenbezogene Daten haben, müssen Unternehmen (als verantwortliche Stelle) sicherstellen, dass alle Beteiligten die Vertraulichkeit im Umgang mit diesen Daten gewährleisten. Eine entsprechende Verpflichtung auf Vertraulichkeit bzw. Verschwiegenheit aller Beteiligten ist dringend anzuraten (s. Art. 28 DSGVO).
Verarbeitet ein Dienstleister im Auftrag und auf Weisung eines Verantwortlichen personenbezogene Daten, muss in gewissen Fällen ein AV-Vertrag geschlossen werden, der die Pflichten und Verantwortlichkeiten beider Parteien festlegt (s. Art. 28 DSGVO).
Bei den TOM handelt es sich um vorgeschriebene Maßnahmen zum Umgang mit personenbezogenen Daten. Technische Maßnahmen sind z.B. die Pseudonymisierung (Verschlüsselung personenbezogener Daten), die Einrichtung von Benutzerkonten, Passwort-Pflichten oder andere Identifikationsprozesse von Benutzern sowie auch die automatische Erstellung von Protokollen (sog. Logging). Zu den organisatorischen Maßnahmen zählen beispielsweise die Richtlinie für die Besucheranmeldung, Richtlinien für die Nutzung der IT, des Internets oder mobilen Geräte, Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten oder die Verpflichtungserklärung auf das Datengeheimnis. Auch das Vier-Augen-Prinzip für gewisse Aufgaben, Prozesse und Entscheidungen, bei dem die Entscheidungen durch mind. zwei Personen getroffen werden müssen, ist ein Beispiel für eine organisatorische Maßnahme (s. Art. 32 DSGVO).
Datenschutz ist ein komplexes Thema. Schulungen der Mitarbeiter für den korrekten Umgang mit personenbezogenen Daten gelten daher als unerlässlich. Das größte Risiko in puncto Datenschutz stellen die Mitarbeitenden selbst dar. Darum sollten auch regelmäßige Auffrischungen nicht vernachlässigt werden, um Verstößen und Bußgeldern vorzubeugen.
Datenschutz Software ist ein sogenanntes Management-Werkzeug, welches es Unternehmen ermöglicht, die Verwaltung ihres Datenschutzes zu automatisieren, um die Anforderungen der DSGVO und anderer regionaler oder staatlicher Vorschriften zu erfüllen. Die geeignete Software kann Ihnen die Arbeit zur Einhaltung des Datenschutzes stark erleichtern und viel Zeit sparen. Einige Softwares ermöglichen dabei eine relativ einfache Erstellung von VVTs, TOMs oder die Durchführung von Mitarbeiterschulungen.
| Im Internet finden sich zahlreiche Checklisten und weiterführende Informationen zum konformen Umgang mit den Bestimmungen der DSGVO. Im Folgenden finden Sie einige Beispiele für einfache und übersichtliche Checklisten.
https://www.datenschutz.org/wp-content/uploads/datenschutz-checkliste-unternehmen.pdf https://www.bussgeldkatalog.org/muster-datenschutz-im-unternehmen.pdf Auch der Deutsche Tourismusverband gibt weiterführende Informationen zur Anwendbarkeit der DSGVO in touristischen Unternehmen und Organisationen. Diese finden Sie hier. Die Datenschutzgrundverordnung (DSGVO) in vollem Umfang finden Sie hier. Das Bundesdatenschutzgesetz (BDSG) in vollem Umfang finden Sie hier. |
Nicht zuletzt gilt auch Datensicherheit als relevantes Thema. Denn je höher der Grad der Digitalisierung, desto wichtiger gestalten sich Maßnahmen zur Datensicherheit. Der Ausfall von Hard- und Software kann für die überwiegend klein- und mittelständischen Unternehmen der Tourismuswirtschaft erhebliche Konsequenzen haben, beispielsweise wenn Kundendaten, Aufträge oder administrative Daten verloren gehen. Geschützt werden kann sich in diesem Zusammenhang u.a. über regelmäßige Festplatten- oder System-Backups oder die Nutzung cloudbasierter Filehosting-Dienste (z.B. Dropbox, Sharepoint) etc.
Hinweis: Aufgrund des Umfangs der rechtlichen Datenschutzbestimmungen wird in diesem Artikel kein Recht auf Vollständigkeit erhoben. Der Artikel versucht lediglich die wesentlichen und wichtigsten Bestandteile im Thema Datenschutz darzustellen. Bitte informieren Sie sich nochmals im Detail über die geltenden gesetzlichen Bestimmungen.
Alle Veröffentlichungen der Reihe finden Sie unter Digitales Management.
Kontakt:
Hessischer Tourismusverband e.V.
Im Lichtenholz 60
35043 Marburg
Telefon: 06421 / 405-1396
Fax: 06421 / 405-1509
E-Mail: kontakt@hessischertourismusverband.de
www.hessischertourismusverband.de
Unser Partner:
PROJECT M GmbH
Gurlittstraße 28
20099 Hamburg
Tel. 040-4 19 23 96 0
Fax 040-4 19 23 96 29
E-Mail: hamburg@projectm.de
www.projectm.de
