Zwei unscheinbare Abkürzungen bringen 2018 viele Neuerungen für EU-Bürger und Wirtschaft mit sich. Die Datenschutz-Grundverordnung (DSGVO) regelt ab dem 25. Mai 2018 die Verarbeitung von personenbezogenen Daten in der Europäischen Union (EU) und dem Europäische Wirtschaftsraum (EWR). Darüber hinaus wird an der ePrivacy-Verordnung (ePrivacy-VO) gearbeitet. Sie soll speziell den Datenschutz bei der elektronischen Kommunikation sicherstellen und vor unbefugtem Zugriff und Missbrauch schützen.

Um welche Daten geht es?

Es sind sämtliche Kunden- und Mitarbeiterdaten in allen Branchen und Unternehmen von der Datenschutz-Grundverordnung betroffen, die bei Zuordnung zu einer natürlichen Person Einblicke in deren u.a. physische, wirtschaftliche, oder soziale Identität ermöglichen. Gerade die Reisewirtschaft muss sich mit der DSGVO auseinandersetzen, da sie für alle Buchungen eine Vielzahl personenbezogener Daten verwendet.

Was ist das Ziel der Datenschutz-Grundverordnung?

In Zeiten von Big Data stellt es ein bedeutsames Anliegen der EU dar, die Bürger vor der erheblich fortschreitenden massenweisen Sammlung und Auswertung von privaten Daten zu schützen. Die neue EU-Verordnung zielt damit besonders auf große Internetkonzerne wie Google und Facebook, betrifft jedoch jedes Unternehmen, das innerhalb der EU/EWR personenbezogene Daten verarbeitet bzw. verarbeiten lässt, und damit ein angemessenes Datenschutzniveau zu gewährleisten hat.

Durch eine einheitliche europaweite Gesetzgebung soll außerdem ein fairer Wettbewerb zwischen allen Unternehmen in der gesamten Europäischen Union ermöglicht werden. Bisher galten in den Mitgliedsländern unterschiedliche, teils erheblich voneinander abweichende, Datenschutzregelungen, denn die 1995 erlassene EU-Richtlinie 95/46/EG der Europäischen Gemeinschaft beschreibt lediglich Mindeststandards für den Datenschutz, die in den Mitgliedstaaten der Europäischen Union erst durch nationale Gesetze sichergestellt werden mussten.

Was ändert sich mit der Datenschutz-Grundverordnung?

Auch mit Inkrafttreten der DSGVO bleibt es bei einem der wichtigsten Grundsätze des bislang in Deutschland geltenden Datenschutzrechts, dass die Verarbeitung personenbezogener Daten dem Verbot mit Erlaubnisvorbehalt unterliegt. Lediglich dann, wenn die strengen Grundsätze beachtet werden (z.B. Transparenz und Zweckgebundenheit gem. Art. 5 DSGVO) und die Bedingungen der DSGVO erfüllt sind, ist eine Verarbeitung oder Nutzung personenbezogener Daten rechtmäßig (Art. 6 DSGVO).

Bezogen auf das Reisegewerbe bedeutet dies, dass auch weiterhin Kundendaten z.B. nur dann erhoben werden dürfen, wenn dies der Erfüllung eines bestimmten Vertrages dient oder eine entsprechende Einwilligung vorliegt (Art. 6 DSGVO) oder eine sonstige Erlaubnisvorschrift greift.

Beispielsweise Passnummern, Wohnanschriften, u.a. sogar Geburtsdaten oder Telefonnummern, die bei Reisebüros und Reiseveranstaltern tagtäglich in einer Vielzahl über den Tisch wandern, machen im Einzelfall die Erfüllung eines Reisevertrages überhaupt erst möglich. Diese Daten müssen schließlich auch an Vertragsdienstleister wie z.B. Hotels, Mietwagenfirmen oder Fluggesellschaften weitergegeben werden. Hierbei muss allerdings bei jeglicher Verarbeitung oder Weiterverarbeitung, die auch die Übermittlung an Dritte beinhaltet, die Zweckmäßigkeit berücksichtigt werden: Das Versenden einer Werbe-E-Mail zum Geburtstag dürfte hingegen nicht dem Zweck angemessen sein und bedarf einer separaten Zustimmung durch den Kunden.

Neu ist das alles zumindest für deutsche Rechtsanwender jedoch nicht. Einzig das Damoklesschwert der Sanktionen wiegt schwerer für den Fall, dass die DSGVO nicht beachtet wird.

Ein zweiter wichtiger Punkt der DSGVO: Kunden müssen wie bisher jeder Datenverarbeitung durch eine Einwilligung zustimmen, sofern die Verarbeitung nicht bereits durch ein Gesetz ausnahmsweise legitimiert ist. Ein explizites Formerfordernis (Schriftlichkeit) wird durch die DSGVO hingegen nicht mehr verlangt. Die Einwilligung kann demnach mündlich, elektronisch oder in Textform erfolgen, solange sie – und das sind die durch die DSGVO geregelten Feinheiten – klar verständlich formuliert und freiwillig ist.

Bei einem elektronischen Vertragsabschluss auf einer Online-Plattform beispielsweise dürfen Kästen für die Einwilligung nicht schon vorab angekreuzt sein (Opt-Out). Unterschiedliche Datenverarbeitungen erfordern außerdem gesonderte Einwilligungen. Geht eine bestimmte Datenverarbeitung (z.B. Einwilligung zum Empfang von Newslettern über Produktinformationen oder Teilnahme an einem Gewinnspiel) über den vereinbarten Zweck der Verarbeitung (z.B. Buchung eines Mietwagens) hinaus, bedarf es einer separaten Einwilligung.

Der Einwilligungstext darf nicht beide Verarbeitungszwecke vermengen, sondern muss deutlich erkennbar voneinander abgegrenzt werden können und muss die Möglichkeit bereithalten, ein gesonderte Zustimmung zu setzen (oder auch nicht). Letztlich kann die einmal erteilte Einwilligung jederzeit widerrufen werden.

Was müssen Unternehmen in der Tourismusbranche jetzt beachten?

Die Landesbeauftragte für den Datenschutz Niedersachsen hat ein 10-Punkte-Papier formuliert, welches Anregungen für die praktische Umsetzung der DSGVO enthält und Unternehmen als erste Hilfestellung dient. Auch die EU liefert einen Leitfaden mit umfassenden Informationen. Konkret wird unter anderem empfohlen, die folgenden Schritte einzuleiten:

Betrieblichen Datenschutzbeauftragen benennen: Sind in Ihrem Unternehmen mehr als neun Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst, müssen Sie einen betrieblichen Datenschutzbeauftragten ernennen. Diese Aufgabe kann ein eigener Mitarbeiter mit entsprechender Expertise übernehmen oder Sie engagieren einen freiberuflichen Datenschützer als Experten. Seine Aufgabe besteht darin, die Einhaltung der DSGVO zu überprüfen (Überwachungspflicht) und bei der Umsetzung zu beraten. Unter Umständen benötigen Reisebüros aufgrund ihrer spezifischen Tätigkeit, die letztendlich schwerpunktmäßig auf der Datenverarbeitung beruht, aber auch die Verarbeitung besonderer Kategorien von (sensiblen) Daten zum Gegenstand hat („Kerntätigkeit“), auch unabhängig von der Anzahl der Mitarbeiter einen betrieblichen Datenschutzbeauftragten. Dazu, ob und in welcher Weise dies der Fall sein wird, haben sich die Aufsichtsbehörden aber noch nicht abschließend geäußert.

Dokumentation erstellen: Noch wichtiger als bisher wird nach der DSGVO eine umfassende Dokumentation der Verarbeitungsprozesse, d.h. welche Daten von wem und konkret wie verarbeitet werden. Auch die Zugriffsberechtigungen und die verarbeitenden Programme sowie geeignete technische und organisatorische Schutzmaßnahmen sind entsprechend zu dokumentieren. Die Nachweis- und Rechenschaftspflichten liegen beim Unternehmen. Als verantwortliche Stellen haben diese zudem gegenüber der Datenschutzaufsicht oder bei gerichtlichen Kontrollverfahren die Verpflichtung nachzuweisen, dass die erforderlichen Maßnahmen rechtskonform umgesetzt worden sind.

Vereinbarung mit Partnern schließen: Mit Dienstleistern, die in die Verarbeitung von Kundendaten eingebunden sind (bspw. im Marketing), sind geeignete schriftliche oder elektronische Vereinbarungen über den Datenschutz bei der Datenverarbeitung zu treffen. Das gilt beispielsweise im Falle der Datenverarbeitung im Auftrag, wenn diese Unternehmen ihren Firmensitz außerhalb der EU haben oder die Daten außerhalb der EU verarbeitet werden. Dies betrifft aber nicht die Übermittlung der notwendigen Daten für die Reiseabwicklung an die Leistungsträger.

Transparenz für den Kunden schaffen: Für jede Datenverarbeitung, über die zweckgebundene Erfüllung der tatsächlichen Dienstleistung hinaus, ist die vorherige Einwilligung des Kunden erforderlich. Außerdem können Kunden Einsicht über ihre gespeicherten Daten verlangen. Auch der Nachweis über das Verändern und Löschen von Kundendaten („Recht auf Vergessenwerden“) muss nachvollziehbar ermöglicht werden.

Bei Daten-Diebstahl informieren (Security Breach Notification): Sind personenbezogene Daten entwendet worden, müssen innerhalb von 72 Stunden die Behörden informiert werden. Zur Sicherheit müssen zusätzliche Datensicherungen nachweislich vorliegen.

Was passiert, wenn die Datenschutz-Grundverordnung nicht beachtet wird?

Im Einzelfall drohen hohe Geldstrafen. Die Sanktionen wurden gegenüber dem geltenden deutschen Recht deutlich verschärft. Es können Geldbußen bis zu 20 Millionen Euro oder vier Prozent des Gesamtumsatzes aus dem vorangegangenen Geschäftsjahr verhängt werden.

Und was ist die ePrivacy-Verordnung?

Die ePrivacy-Verordnung ergänzt die DSGVO im Bereich der elektrischen Kommunikation. Dazu zählt neben E-Mails, Instant-Messengern wie WhatsApp und der Internet-Telefonie auch das Tracking von Kundenaktivitäten im Internet über Cookies und die Verwendung der dabei gesammelten Daten.

Gerade der Umgang mit Cookies – ein kleines Datenpaket, das auch personenbezogene Daten beim Besuch einer Website enthalten kann, z.B. der Inhalt eines virtuellen Warenkorbs – ist sehr umstritten. Die aktuelle Fassung der ePrivacy-VO sieht vor, deren Nutzung stark einzuschränken und nach Möglichkeit bereits direkt im Internet-Browser zu unterbinden. Um das Setzen von Cookies weiterhin zu ermöglichen, werden Internetnutzer fortan auf jeder Webseite eine separate Freigabe zur Speicherung von Daten erteilen müssen.

Inwiefern betrifft die ePrivacy-Verordnung die Reisebranche?

Gerade Online-Reisebüros wären durch eine Verschärfung bestehender Datenschutzregeln betroffen. Der Einsatz von individualisierten Dienstleistungen – zum Beispiel von Reisevorschlägen im eigenen Onlinekatalog – wäre nur noch nach eindeutiger Zustimmung des jeweiligen Kunden möglich. Auch die direkte Kommunikation per E-Mail oder Messenger-Diensten dürfte lediglich nach vorheriger ausdrücklicher Einwilligung erfolgen.

Wann tritt die neue ePrivacy-Verordnung in Kraft?

Das Europäische Parlament hat am 26. Oktober 2017 den aktuellen Entwurf der ePrivacy-Verordnung angenommen. Derzeit bewertet der Europäische Rat die hieran geäußerten zahlreichen Kritikpunkte seitens der Wirtschafts- und Industrievertreter und prüft die Notwendigkeit einzelner Änderungen des Entwurfs.

Ein Inkrafttreten der ePrivacy-Verordnung ist aller Voraussicht nach nicht vor Ende 2018 zu erwarten. Insbesondere Tourismus-Unternehmen, deren Geschäft sich zunehmend oder gar ausschließlich auf den Online-Vertrieb konzentriert, wird empfohlen, die Entwicklung der Gesetzgebung genau zu beobachten, um früh genug auf die neuen Regelungen reagieren zu können.

Weitere Hinweise

Weitere Informationen des DRV-Ausschusses Datenschutz zum neuen Datenschutzrecht finden Sie hier: https://www.drv.de/fachthemen/datenschutz.html