Im Mai 2018 tritt die neue DSGVO in Kraft, touristische Unternehmen müssen dafür schon jetzt die Weichen stellen.

Die „Verordnung des EU-Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung (DSGVO) genannt, wurde im April 2016 nach jahrelangen Verhandlungen beschlossen.

Welche Punkte müssen in Zukunft beachtet werden:

  1. Der Zeitplan

Im Gegensatz zu einer Richtlinie gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten. Allerdings unter einer gewissen Prämisse: Die DSGVO enthält insgesamt 69 sogenannte „Öffnungsklauseln“, die nationalstaatliche Regelungen ermöglichen beziehungsweise in manchen Fällen sogar zwingend vorgesehen.

Eng gekoppelt mit der DSGVO ist aber auch die E-Privacy-Verordnung, in welcher der Einsatz von Cookies in der Werbung sowie der Datenschutz bei Chat- oder Voice-over-IP-Anwendungen wie WhatsApp und Skype geregelt werden.

  1. Die Strafen

Die Regeln der DSGVO sollten auf keinen Fall auf die leichte Schulter genommen werden. Es drohen extrem hohe Strafen: Für„administrative“ Vergehen werden zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig, für „fundamentale ethische Vergehen“ sind es 20 Millionen Euro oder vier Prozent des globalen Umsatzes.

  1. Transparenz

Touristische Betriebe müssen die Regeln der DSGVO nicht nur einhalten – sondern auch dokumentieren können, wie z.B. Social Media Management. Fragt die DSB nach, so muss das Unternehmen die Schritte darlegen können – ansonsten droht ein Verfahren.

  1. Datenschutzbeauftragte

Der Datenschutzbeauftragte nimmt eine Position zwischen dem Betrieb und den Kunden ein und muss auf kritische datenschutzrechtliche Themen aufmerksam machen. Er haftet nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren.

Die EU schlägt vor, dass ab einer Betriebsgröße von 250 Mitarbeitern ein Datenschutzbeauftragter benötigt wird, ebenso bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben.

  1. Datenspeicherung

Ab Mai 2018 muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der die Person ihr Einverständnis bekundet. Diese Erklärung kann entweder durch eine ausdrückliche Erklärung erfolgen oder indem der Kunde durch sein Verhalten sein Einverständnis zum Bearbeiten seiner Daten signalisiert.

  1. Datenverarbeitung

Profiling unterliegt künftig strengen Informationspflichten. Vor allem müssen die Betroffenen zum Zeitpunkt der Erhebung aussagekräftige Informationen über die Tragweite und die angestrebte Auswirkung der Datenverarbeitung erhalten.

  1. Targeted Ads

Für Targeting & Retargeting Advertising muss die Zustimmung des Users eingeholt werden. In diesem Zusammenhang wird auch die Verwendung von Cookies diskutiert.

  1. Gedruckte Mailings

Für Prospekte, kostenlose Kundenzeitschriften und sonstige Post-Mailings mit namentlicher Anschreibung gilt nach wie vor die Opt-out-Regel: Es ist also keine explizite Zustimmung des Kunden erforderlich. Allerdings ist weiterhin ein Abgleich mit der Robinsonliste nötig.

  1. Digitale Medien

Bei SMS-Marketing, E-Mail und telefonische Kaltanrufe sieht die DSGVO eine „unmissverständliche Zustimmung“ vor. Diese liegt entsprechend vor, wenn der Gast mit dem touristischen Betrieb interagiert und Interesse gezeigt hat.

Das bedeutet auch in Bezug auf Newsletter: Das Beschicken von Nicht-Kunden wird zwar generell als Spam gewertet; wenn aber ein Kunde bereits mit dem Betrieb interagiert hat, hat er durch diese Interaktion sein Einverständnis klargemacht.

  1. Löschung

„Das Recht auf Vergessen“ ist in der DSGVO klar festgelegt. Der Kunde kann also die Löschung seiner Daten aus einer Datenbank beantragen.

Quelle: Horizont.at