Menu

Teil 3: Datenschutz und -sicherheit: Digitalisierungsprozesse sicher und rechtskonform gestalten

3. November 2020
Aktuelle Informationen zum Corona-Virus / COVID-19 finden Sie hier.

Teil 3 der Veröffentlichungsreihe zum Digitalen Management.

Die Digitalisierung und die digitale Transformation gelten als zentrale Herausforderungen für Unternehmen aller Branchen – vom Handel über das Handwerk bis hin zur Landwirtschaft. Auch im Tourismus verändert die fortschreitende Digitalisierung mit höchster Geschwindigkeit das Konsumverhalten der Gäste, Geschäftsmodelle und -prozesse touristischer Leistungsanbieter, Unternehmen und Organisationen sowie das gesamte Wettbewerbsumfeld. Nahezu alle Bereiche des Tourismus unterliegen inzwischen Digitalisierungsprozessen.

Um diesen Wandel möglichst sicher und zielgerichtet vollziehen zu können, müssen Anbieter und Organisationen im Tourismus zahlreiche Aspekte für eine erfolgreiche Digitalisierung im eigenen Betrieb beachten. Diese reichen von der Frage „Wozu überhaupt Digitalisierung?“ bis hin zur Klärung der technischen Anforderungen sowie der Schulung der eigenen Mitarbeiterinnen und Mitarbeiter. Mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 spielt nicht zuletzt auch der Umgang mit personenbezogenen Daten, die auch für den Tourismus von großer Bedeutung sind, eine zentrale Rolle. Auf nationaler Ebene ist ebenso das Bundesdatenschutzgesetz (BDSG) zu beachten. Im „Datenschutz-Dschungel“ den Überblick zu behalten, ist aufgrund der Komplexität der Bestimmungen und der Masse an zugänglichen Informationen eine wahre Herausforderung. Im Folgenden werden die zentralen Bereiche, welche es besonders zu beachten gilt, zusammengefasst.

Datenschutz und -sicherheit

Datenschutz spielt in der heutigen Gesellschaft eine immer wichtigere Rolle. Mit Eintritt der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 wurde ein einheitlicher Rechtsrahmen für die Verarbeitung und den Schutz personenbezogener Daten geschaffen.

Beispiele für personenbezogene Daten:

  • Name, Geburtsdatum, Alter
  • Adresse, E-Mail-Adresse, Telefonnummer
  • Bankdaten
  • IP-Adressen
  • Cookie-Kennungen

Die DSGVO hat insbesondere Auswirkungen auf die auch im Tourismus relevanten Bereiche des E-Commerce, E-Mail-Marketings, der Website-Analysen mit Google Analytics, Werbe-Cookies und viele mehr. Da diese Bereiche die Arbeit zahlreicher touristischer Leistungsanbieter und Unternehmen sowie Destinationsmanagementorganisationen betreffen ist die DSGVO daher zwingend zu berücksichtigen. Geplante Aktivitäten im Kontext der Digitalisierung interner Arbeitsabläufe sowie externer Kundenprozesse sind somit datenschutzkonform zu planen und durchzuführen. Bei Verstößen gegen die Bestimmungen der DSGVO können je nach Ausmaß erhebliche Bußgelder geltend gemacht werden. Im nationalen Kontext ist ebenso das Bundesdatenschutzgesetz (BDSG) zu beachten.

Acht Dinge, auf die es besonders ankommt:

  • Ernennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragen wird durch Artikel 37 Abs. 1 der DSGVO geregelt. Ein Datenschutzbeauftragter kann sowohl intern als auch extern benannt werden. Die Bestimmungen der DSGVO zur Ernennung eines Datenschutzbeauftragten werden im nationalen Kontext durch das BDSG um folgende wichtige Punkte ergänzt.

  • Gemäß § 38 Abs. 1 Satz 1 BDSG (neue Fassung) ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  • Gemäß § 38 Abs. 1 Satz 2 BDSG (neue Fassung) ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (s. Art. 35 DSGVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine Person gilt als „ständig“ beschäftigt, wenn sie die Aufgabe regelmäßig wahrnimmt. Bei der Aufgabe muss es sich dabei nicht um die Hauptaufgabe der jeweiligen Person handeln.

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen

Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten von Daten führen. Darin werden z.B. Verantwortlichkeiten, die Zwecke der Datenverarbeitung und Löschfristen definiert (s. Art. 30 DSGVO). Grundsätzlich gehören alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, in das Verzeichnis von Verarbeitungstätigkeiten.

  • Datenschutzerklärung verfassen

Alle Personen, die mit personenbezogenen Daten arbeiten, müssen über die Datenverarbeitung informiert werden und dieser zustimmen. Jeder Website-Inhaber ist verpflichtet, eine Datenschutzerklärung in seine Website einzubetten.

  • Verpflichtung zur Vertraulichkeit

Wenn Mitarbeiter oder externe Dienstleister Zugriff auf personenbezogene Daten haben, müssen Unternehmen (als verantwortliche Stelle) sicherstellen, dass alle Beteiligten die Vertraulichkeit im Umgang mit diesen Daten gewährleisten. Eine entsprechende Verpflichtung auf Vertraulichkeit bzw. Verschwiegenheit aller Beteiligten ist dringend anzuraten (s. Art. 28 DSGVO).

  • AV-Verträge (Auftragsdatenverarbeitung)

Verarbeitet ein Dienstleister im Auftrag und auf Weisung eines Verantwortlichen personenbezogene Daten, muss in gewissen Fällen ein AV-Vertrag geschlossen werden, der die Pflichten und Verantwortlichkeiten beider Parteien festlegt (s. Art. 28 DSGVO).

  • Technische und organisatorische Maßnahmen (TOM)

Bei den TOM handelt es sich um vorgeschriebene Maßnahmen zum Umgang mit personenbezogenen Daten. Technische Maßnahmen sind z.B. die Pseudonymisierung (Verschlüsselung personenbezogener Daten), die Einrichtung von Benutzerkonten, Passwort-Pflichten oder andere Identifikationsprozesse von Benutzern sowie auch die automatische Erstellung von Protokollen (sog. Logging). Zu den organisatorischen Maßnahmen zählen beispielsweise die Richtlinie für die Besucheranmeldung, Richtlinien für die Nutzung der IT, des Internets oder mobilen Geräte, Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten oder die Verpflichtungserklärung auf das Datengeheimnis. Auch das Vier-Augen-Prinzip für gewisse Aufgaben, Prozesse und Entscheidungen, bei dem die Entscheidungen durch mind. zwei Personen getroffen werden müssen, ist ein Beispiel für eine organisatorische Maßnahme (s. Art. 32 DSGVO).

  • Mitarbeiterschulung durchführen

Datenschutz ist ein komplexes Thema. Schulungen der Mitarbeiter für den korrekten Umgang mit personenbezogenen Daten gelten daher als unerlässlich. Das größte Risiko in puncto Datenschutz stellen die Mitarbeitenden selbst dar. Darum sollten auch regelmäßige Auffrischungen nicht vernachlässigt werden, um Verstößen und Bußgeldern vorzubeugen.

  • Datenschutz-Software einführen

Datenschutz Software ist ein sogenanntes Management-Werkzeug, welches es Unternehmen ermöglicht, die Verwaltung ihres Datenschutzes zu automatisieren, um die Anforderungen der DSGVO und anderer regionaler oder staatlicher Vorschriften zu erfüllen. Die geeignete Software kann Ihnen die Arbeit zur Einhaltung des Datenschutzes stark erleichtern und viel Zeit sparen. Einige Softwares ermöglichen dabei eine relativ einfache Erstellung von VVTs, TOMs oder die Durchführung von Mitarbeiterschulungen.

Im Internet finden sich zahlreiche Checklisten und weiterführende Informationen zum konformen Umgang mit den Bestimmungen der DSGVO. Im Folgenden finden Sie einige Beispiele für einfache und übersichtliche Checklisten.

https://www.datenschutz.org/wp-content/uploads/datenschutz-checkliste-unternehmen.pdf

https://www.bussgeldkatalog.org/muster-datenschutz-im-unternehmen.pdf

Auch der Deutsche Tourismusverband gibt weiterführende Informationen zur Anwendbarkeit der DSGVO in touristischen Unternehmen und Organisationen. Diese finden Sie hier.

Die Datenschutzgrundverordnung (DSGVO) in vollem Umfang finden Sie hier.

Das Bundesdatenschutzgesetz (BDSG) in vollem Umfang finden Sie hier.

Nicht zuletzt gilt auch Datensicherheit als relevantes Thema. Denn je höher der Grad der Digitalisierung, desto wichtiger gestalten sich Maßnahmen zur Datensicherheit. Der Ausfall von Hard- und Software kann für die überwiegend klein- und mittelständischen Unternehmen der Tourismuswirtschaft erhebliche Konsequenzen haben, beispielsweise wenn Kundendaten, Aufträge oder administrative Daten verloren gehen. Geschützt werden kann sich in diesem Zusammenhang u.a. über regelmäßige Festplatten- oder System-Backups oder die Nutzung cloudbasierter Filehosting-Dienste (z.B. Dropbox, Sharepoint) etc.

Hinweis: Aufgrund des Umfangs der rechtlichen Datenschutzbestimmungen wird in diesem Artikel kein Recht auf Vollständigkeit erhoben. Der Artikel versucht lediglich die wesentlichen und wichtigsten Bestandteile im Thema Datenschutz darzustellen. Bitte informieren Sie sich nochmals im Detail über die geltenden gesetzlichen Bestimmungen.

 

Alle Veröffentlichungen der Reihe finden Sie unter Digitales Management.

 

Kontakt:

Hessischer Tourismusverband e.V.
Im Lichtenholz 60
35043 Marburg
Telefon: 06421 / 405-1396
Fax: 06421 / 405-1509
E-Mail: kontakt@hessischertourismusverband.de
www.hessischertourismusverband.de

Unser Partner:

PROJECT M GmbH
Gurlittstraße 28
20099 Hamburg
Tel. 040-4 19 23 96 0
Fax 040-4 19 23 96 29
E-Mail: hamburg@projectm.de
www.projectm.de

 


TMH Tourismus Management Hessen UG
Autorin: Yvonne Heider
TMH Tourismus Management Hessen UG
Geschäftsführerin
E-Mail: heider@tourismusmanagementhessen.de
Telefon: 06421 - 4051396
Kommentarbereich einblenden Kommentarbereich ausblenden

Keine Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Teilen über:

Weitere Artikel



Impressum  ·   Über uns  ·   Datenschutzerklärung  ·   Login