Der schnellste Weg zu Ihrem Tirol Bett!
winterheader_1.jpg
winterheader_2.jpg

News - Privatvermieter Verband Tirol

Datenschutz – Auch für Privatzimmervermieter wichtig!

Danke an Herrn Anton Habicher, Tourismusabteilung Land Tirol, für die Weiterleitung des Artikels von RA Dr. Huber, LL.M. und Rain Gassler-Tischlinger, LL.M.


 

Es bleiben nur noch wenige Monate zur Umsetzung der EU-Datenschutz-grundverordnung (DSGVO). Die DSGVO tritt am 25. Mai 2018 in Kraft und legt allen Unternehmen, unabhängig von deren Größe, umfangreiche Pflichten zum Schutz personenbezogener Daten auf. Werden diese Pflichten nicht oder nur mangelhaft erfüllt, drohen hohe Strafen. Das gilt auch für Privatzimmervermieter.

 

Warum Datenschutz?

  1. Die Digitalisierung schreitet rasch voran. Sie bringt es auch mit sich, dass personenbezogene Daten in einem ungeheuren Ausmaß erhoben, gespeichert und verarbeitet werden. Man denke nur an die sozialen Medien wie Facebook oder Google und Internetgiganten wie Apple oder Amazon. Aber nicht nur die Großen, sondern nahezu jedes Unternehmen verarbeitet personenbezogene Daten, auch Privatzimmervermieter. Dabei kann es sich z.B. um Mitarbeiterdaten oder eine händisch geführte oder elektronische Gästedatei handeln.

Zumindest in Europa hat jeder ein Recht, dass seine personenbezogenen Daten geschützt werden. In Österreich etwa gibt es schon seit 1978 ein Datenschutzgesetz. In der EU existiert seit 1995 eine Datenschutzrichtlinie.


1995 gab es allerdings Google & Co noch nicht. Deshalb hat es sich die EU zum Ziel gesetzt, den Schutz personenbezogener Daten innerhalb der EU in noch größerem Ausmaß zu vereinheitlichen, an die neuen Umstände anzupassen und die Rechte betroffener Personen – also jener Personen, deren Daten gespeichert werden – zu stärken.

 

Um diese Ziele zu verwirklichen, wurde die Datenschutzgrundverordnung beschlossen. Sie legt den Datenschutz in die Eigenverantwortung der Unternehmen: Jeder, der eine wirtschaftliche Tätigkeit ausübt – und zwar auch Kleinstbetriebe – wird verpflichtet, selbst darauf zu achten, dass die von ihm verarbeiteten personenbezogenen Daten vor Missbrauch, Verlust und Veränderung geschützt sind. Alle Unternehmen müssen daher ab 25. Mai 2018 in ihrem Umfeld dafür sorgen, dass die Verpflichtungen, die ihnen die DSGVO vorschreibt, umgesetzt sind. Das bringt einigen Aufwand mit sich.

 

2. Wann darf man überhaupt personenbezogene Daten verarbeiten?
Nach der DSGVO sind Datenverarbeitungen verboten, es sei denn, sie erfolgen „rechtmäßig“. Rechtmäßig bedeutet, dass eine von sechs Voraussetzungen vorliegen muss, die in der DSGVO genannt werden. Eine Datenverarbeitung ist unter anderem dann rechtmäßig, wenn

 

  • die Daten zur Vertragserfüllung benötigt werden,
  • eine wirksame Einwilligung vorliegt, 
  • eine rechtliche Pflicht zur Verarbeitung besteht oder
  • überwiegende Interessen des Verarbeiters jene des Betroffenen überwiegen.

 

Bei jeder einzelnen Datenverarbeitung ist zu prüfen, auf welcher dieser Grundlagen sie erfolgt. Speichert ein Unternehmen etwa Mitarbeiterdaten, wird das in der Regel zulässig sein, weil sich schon aus den Steuer- und Sozialversicherungsgesetzen eine Pflicht zur Speicherung ergibt. Speichert ein Privatzimmervermieter Gästedaten, wird dies zunächst auch rechtmäßig sein, allerdings nur in solchem Maß, als die Speicherung dieser Daten zur Erfüllung des Beherbergungsvertrages notwendig ist.

 

Werden die Gästedaten für andere Zwecke verarbeitet, z.B. erhalten die Gäste einen Newsletter, kann diese Datenverarbeitung nicht mehr auf den Rechtmäßigkeitsgrund der Vertragserfüllung gestützt werden, da ein Newsletter nicht zwingend zur Erfüllung eines Beherbergungsvertrages erforderlich ist. Hier muss geprüft werden, ob allenfalls ein anderer Grund, etwa überwiegende berechtigte Interessen des Privatzimmervermieters oder eine gültige Einwilligung des jeweiligen Empfängers, vorliegt. Im Falle eines Newsletters dürften „überwiegende berechtigte Interessen“ des Privatzimmervermieters, der seine Leistungen im Rahmen des Direktmarketings bewerben möchte, vorliegen, sodass es keiner gesonderten Einwilligung des Gastes braucht.

 

Bei jeder Verarbeitung personenbezogener Daten ist daher zu prüfen, ob sie rechtmäßig erfolgt und zu welchem Zweck sie erfolgt.

 

3. Betroffenenrechte
Die Rechte betroffener Personen wurden mit der DSGVO erweitert. „Betroffene“ sind jene Personen, deren Daten verarbeitet werden. Neben den ohnehin schon bestehenden Auskunfts-, Berichtigungs- und Löschungsrechten wurde auch ein Recht auf Datenportabilität vorgesehen. Jeder Betroffene kann verlangen, dass seine Daten in einem gängigen Format an einen Dritten weitergegeben werden. Wenn also z.B. jemand seinen Strom- oder Handyanbieter wechselt, könnte er verlangen, dass seine Daten an den neuen Anbieter weitergegeben werden.

 

Wichtig sind auch die Informationsrechte der Betroffenen. Schon bei der Datenerfassung ist jeder Betroffene proaktiv aufzuklären. Er muss etwa Informationen über seine Rechte, die Daten des Verarbeiters und ähnliches erhalten. Als Unternehmer muss man überlegen, wie man diesen Informationspflichten organisatorisch am besten nachkommt. Werden Daten über die Website erfasst, wird dies regelmäßig in einer Datenschutzerklärung, die auf der Website abrufbar ist, geschehen. Zu beachten ist dabei, dass diese Informationen stets vollständig zu erteilen sind. Diese Verpflichtung besteht im Übrigen bereits dann, wenn lediglich IP-Adressen der Besucher einer Website erfasst werden. Datenschutzerklärungen, wie sie derzeit üblich sind, müssen daher in der Regel angepasst werden.

 

4. Dokumentations- und Nachweispflichten, Verarbeitungsverzeichnis, Auftragsverarbeiter
Besonders bedeutsam und wohl auch aufwändig sind die zahlreichen Dokumentations- und Nachweispflichten, die die DSGVO fordert. Grundsätzlich gilt, dass der Datenschutz im Unternehmen zu dokumentieren ist und im Bedarfsfall auch der Datenschutzbehörde nachzuweisen ist.

 

Dies fängt beim sogenannten Verarbeitungsverzeichnis an, geht über eine lückenlose Dokumentation der Sicherheitsmaßnahmen, über den Nachweis der Einwilligungen bis hin zur Dokumentation von Verträgen mit sogenannten Auftragsverarbeitern.

 

Auftragsverarbeiter sind externe Dritte, die in irgendeiner Weise Daten für das Unternehmen verarbeiten. Das kann eine ausgelagerte Lohnbuchhaltung, die Werbeagentur (Erstellung der Homepage und Auswertung von Daten), eine Druckerei, die Adressdaten erhält, oder auch der IT-Dienstleister sein. Mit ihnen allen sind Verträge abzuschließen, die einen ganz bestimmten Inhalt haben müssen: Sie regeln insbesondere die exakten Pflichten des Auftragsverarbeiters, der die Daten nur auf dokumentierte Weise verarbeiten darf.

 

Mehr Schwierigkeiten als diese Verträge dürfte die Erstellung eines Verarbeitungsverzeichnisses mit sich bringen. Dort sind alle Datenverarbeitungen im Unternehmen zu erfassen, zu beschreiben und auch die Maßnahmen anzuführen, die das Unternehmen zur Erreichung der Ziele der DSGVO setzt, z.B. welche Sicherheitsmaßnahmen getroffen wurden (Firewall, Virenschutz, Passwörter etc.).

 

Die Behörde kann ab 25. Mai 2018 jederzeit die Vorlage dieses Verzeichnisses verlangen. Das Verzeichnis ersetzt die bisherige Anmeldung im Datenverarbeitungsregister (Stichwort: DVR-Nummer). Diese entfällt dann gänzlich.

 

5. Technische und Organisatorische Maßnahmen (TOMs)
Jedes Unternehmen hat ein angemessenes Schutzniveau im Hinblick auf personenbezogene Daten herzustellen. Dabei geht es um die Implementierung geeigneter technischer, aber auch organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

 

Grundsätzlich soll die gesamte IT eines Unternehmens so gestaltet sein, dass größtmöglicher Datenschutz gewährleistet ist („privacy by design“). Dazu gehört etwa, dass die IT auf dem Stand der Technik ist, geeignete Sicherheitsmaßnahmen getroffen werden (Firewall, Virenschutz, etc.) oder etwa auch unternehmensinterne Zugriffsberechtigungen genau verteilt werden („as needed“ – nicht jeder darf etwa die Mitarbeiterdaten einsehen). Auch physisch sollte sicher gestellt sein, dass Unbefugte keinen Zugang zu Daten erhalten, etwa weil Datenformulare uä ungeschützt aufbewahrt werden oder Laptops, Tablets und Smartphones nicht einmal durch ein Passwort geschützt sind.

 

Gleichermaßen sind organisatorische Vorkehrungen zu treffen: Dazu zählen etwa die Schulung von Mitarbeitern in Bezug auf den Datenschutz.

All dem sollte eine Risikoanalyse vorausgehen, bei der zuerst der Ist-Stand im Unternehmen erhoben wird und im Anschluss evaluiert wird, welche Maßnahmen ergriffen werden müssen, um ein angemessenes Schutzniveau zu erreichen.

 

6. Bilder und Videos
Bilder und Videos gelten als personenbezogene Daten, wenn darauf einzelne Personen erkennbar sind. Das bedeutet, dass auch für Fotos oder Videos die datenschutzrechtlichen Bestimmungen gelten. Sie dürfen also z.B. nur dann auf der Website eines Unternehmens für Marketingzwecke verwendet werden, wenn diese Verwendung „rechtmäßig“ im Sinne der DSGVO erfolgt und die Informationspflichten gegenüber dem Betroffenen eingehalten wurden.

 

Daneben ist aber ohnehin schon jetzt das Recht auf das eigene Bild zu beachten. Grundsätzlich ist demnach die Zustimmung einer erkennbar abgebildeten Person erforderlich, wenn Fotos oder Videos dieser Person verwendet werden.

 

7. Sonstige Pflichten
Die DSGVO kennt noch weitere Pflichten, die aber nicht jedes Unternehmen treffen. Zu diesen Pflichten zählen etwa die Ernennung eines Datenschutzbeauftragten oder die Durchführung einer Datenschutz-Folgenabschätzung. Letztere ist eine vertiefte Risikoanalyse bei kritischen Datenverarbeitungen (z.B. bei systematischer Überwachung von Personen).


Privatzimmervermieter werden von diesen weiteren Pflichten eher nicht betroffen sein.

 

8. Strafen und Schadenersatz
Auch bisher gab es schon zahlreiche Pflichten im Bereich des Datenschutzes, die aber oft schlicht missachtet wurden. Ein Grund dafür war wohl, dass es kaum oder nur geringe Strafen bei Verstößen gab.

 

Das ändert sich mit der DSGVO schlagartig: Die Strafdrohung geht jetzt bis zu EUR 20 Millionen oder 4% des jährlichen Konzernumsatzes, je nachdem, welcher Betrag höher ist. Es kann also richtig teuer, ja sogar existenzbedrohend werden, wenn man sich nicht an das Datenschutzrecht hält.

 

Daneben sieht die DSGVO vor, dass jede betroffene Person, deren Recht auf Datenschutz verletzt wird, Schadenersatzansprüche geltend machen kann. Das mag zwar bei einer Einzelperson nicht übermäßig viel ausmachen, wenn aber etwa Datensätze von 1.000 Betroffenen von Hackern gestohlen werden und jeder Betroffene macht EUR 500,- an Schadenersatz gegen das Unternehmen geltend, mit der Begründung, es habe keine ausreichenden Sicherheitsvorkehrungen getroffen, summiert sich die Forderung auf EUR 500.000,-.

 

9. Zusammenfassung und Tipps
Ab 25. Mai 2018 wird die Eigenverantwortung für den Datenschutz in die Hände der Unternehmen gelegt. Unternehmen – und zwar auch Privatzimmervermieter – müssen ab diesem Zeitpunkt dafür sorgen, dass personenbezogene Daten angemessen geschützt sind und Datenverarbeitungen rechtmäßig und nur für einen bestimmten, definierten Zweck erfolgen. Auch umfangreiche Informations-, Dokumentations- und Nachweispflichten sowie die Pflicht zur Führung eines Verarbeitungsverzeichnisses werden eingeführt.

 

Der 25. Mai 2018 scheint noch weit weg zu sein, tatsächlich aber ist es höchste Zeit, mit der Umsetzung zu beginnen. Angesichts der umfangreichen Pflichten und des hohen organisatorischen sowie technischen Aufwandes ist die Zeit knapp. Auch den Privatzimmervermietern ist im Hinblick auf die durch die DSGVO eingeführten hohen Strafen anzuraten, die neuen rechtlichen Rahmenbedingungen genau zu beachten.

 

Hier ein paar Tipps, wie man vorgehen sollte:

  • Zuerst empfiehlt es sich, den IST-Stand aller Datenverarbeitungen zu erheben. Hier wird es womöglich nötig sein, mit dem externen EDV-Betreuer zu kooperieren.

  • Dann sollte wohl das Verarbeitungsverzeichnis angegangen werden und erstellt werden. Das schafft mehr Klarheit, wo es „Lücken“ im betrieblichen Datenschutz gibt.

  • Danach kann man sich die TOMs überlegen und umsetzen.

  • Zu prüfen ist auch, ob allfällige bereits bestehende Einwilligungen von Betroffenen den neuen Regelungen entsprechen.

  • Zusätzlich werden die Verträge mit den Auftragsverarbeitern anzupassen sein.

  • Schlussendlich bedarf es auch einer laufenden Evaluierung und Kontrolle.

 

Weitere Infos gibt es auch auf der Website der Datenschutzbehörde www.dsb.gv.at und bei der Wirtschaftskammer Österreich www.wko.at/datenschutz.

 

 

RA Dr. Georg Huber, LL.M.
RAin Melanie Gassler-Tischlinger, LL.M.

Greiter Pegger Kofler & Partner
Rechtsanwälte
Maria-Theresien-Str. 24
6020 Innsbruck
www.lawfirm.at
T +43 512 571811
E [email protected]

 

Alpine Gastgeber Tirol

Qualität garantiert

Urlaub bei ausgezeichneten Vermietern

Unsere Kriterien ...

 

Familien sind in Tirol immer gerne gesehen

Familienparadies Tirol

Hier gibt es viel zu entdecken!

Weiterlesen ...

 

Barrierefreier Urlaub ohne Hindernisse in Tirol

Urlaub - barrierefrei

Die schönsten barrierefreien Unterkünfte

Zu den Vermietern ...

 

Tirol - ein kulinarischer Hochgenuss

Tirol schmeckt

Ein kleiner Vorgeschmack gefällig?

Weiterlesen ...