Ende der Daten-Müllberge! DSGVO bringt Aufwand & Chancen

Wie schafft man es, extrem komplizierte Materie wie die EU Datenschutz Grundverordnung (DSGVO), dermaßen verständlich zu vermitteln, dass am Ende alle etwas Konkretes mitnehmen können? Dieses Kunststück vollbrachten Anfang Oktober die Casinos Austria auf Initiative von Vorstandsdirektor Dietmar Hoscher mit dem „8. Casinos Austria Tourismus Talk“, der diesmal in Zell am See über die Bühne ging.

Schon mit seiner Key Note gelang es Markus Gratzer, Generalsekretär der ÖHV (Österreichische Hoteliervereinigung), vielen der über 60 ZuhörerInnen den Schrecken vor der DSGVO (sie tritt mit 25. Mai 2018 in Kraft) zu nehmen: „Sie ist kein Super-Gau, sondern da, um Menschen zu beschützen. Bewahren sie Ruhe“, riet er den anwesenden Hoteliers und Tourismusmanagern.

Das Grundproblem der DSGVO: durch sie sollten laut Gratzer vor allem „die Machenschaften multinationaler Konzerne“ an die Kandare genommen werden, „aber es gibt keine Regelung für KMU (Klein- und Mittelunternehmen), die sie davon ausnimmt oder die Umsetzung erleichtert.“ Dem stimmte Dietmar Hoscher zu: „Brüssel hat versucht mit Kanonen auf Tanker zu schießen, aber ein Schlauchboot versenkt.“ Und Thomas Reisenzahn (Prodinger Tourismusberatung): „Der Schuss geht auf die KMU los und stärkt die OTAs (Online Travel Agents), denn geschlossene Systeme sind im Vorteil.“ Wichtigster Unterschied zum bisherigen strengen österreichischen Datenschutzgesetz: durch die DSGVO wird die Verantwortung von der Datenschutzbehörde auf die Unternehmen übertragen.

Für den Datenschutz-Experten und Rechtsanwalt Gerald Ganzger (Lansky, Ganzger + partner) lautet die Mission nun „Angst nehmen und die Thematik in den Griff zu bekommen.“ Die ÖHV hat dazu eine Check-List ausgearbeitet (nicht nur für Hotels, sondern für alle Unternehmen und Organisationen zu empfehlen). Die wichtigsten Punkte:

• Verantwortlichkeiten definieren (Datenschutz = Chefsache);
• Strategien festlegen (Zuständigkeiten regeln; Schulungen durchführen; welche Daten werden wann und wie gelöscht; Umstellung auf Datenschutz-freundliche Techniken etc.);
• Daten-Minimierung (welche Daten sind notwendig zu erfassen, welche nicht);
• Ausarbeitung eines Notfallplans (was ist bei Datenmissbrauch zu tun; der Gesetzgeber hat hier eine Meldepflicht bei der Behörde binnen 72 Stunden festgelegt);
• Schriftliche Dokumentation aller gesetzten Datenschutzmaßnahmen.

Die Praktikerin auf dem „Tourismus Talk“-Podium, Claudia Beermann (CFO der Falkensteiner Gruppe), die in ihrem Unternehmen eine DSGVO-Arbeitsgruppe eingerichtet hat, empfiehlt „alle alten Daten der letzten Jahre zu löschen.“ Gerald Ganzger pflichtete ihr bei: „Die DSGVO ist eine Chance, Daten-Müllberge endlich zu entsorgen!“

Laut Ganzger stellen Daten, „die der Gast einem zur Erfüllung des Vertrages gibt, kein Datenschutz-Problem dar.“ Dies betrifft laut Ganzger auch Kreditkarten-Daten von Gästen, die über Booking.com etc. buchen. Allerdings sollte auch hier betriebsintern eine Vorgangsweise festgelegt und diese schriftlich dokumentiert werden. Heikler bestellt ist es um persönliche Daten, wie z.B. über Allergien etc. Diesbezüglich empfiehlt Gerald Ganzger, die Zustimmung der Betroffenen zur Weiterverarbeitung einzuholen (z.B. um Stammgäste nicht jedes Mal nach Allergien fragen zu müssen). Wichtig: der DSGVO unterliegen nicht nur Kunden-Daten, sondern auch jene der MitarbeiterInnen und Lieferanten.

Das Schlusswort hatte Gastgeber Dietmar Hoscher, der als CASAG-Vorstand seit Jahren extrem mit Datenschutz konfrontiert ist: „Es ist eine komplizierte Materie für alle Branchen. Die Zeit ist knapp. Dokumentieren Sie alles, was Sie tun. Dann stehen Sie wesentlich besser da, wenn etwas passiert.“