Ab 25. Mai gilt es ernst mit dem Datenschutz. Ab dann ist die sogenannte Datenschutz-Grundverordnung (DSGVO) der Europäischen Union unmittelbar anwendbar. Das neue Gesetz sichert natürlichen Personen weitgehende Kontrolle und Schutz ihrer persönlichen Daten zu. So werden Unternehmen und Organisationen verpflichtet, Personen über die Erhebung, Verarbeitung, Speicherung und Verbreitung ihrer personenbezogenen Daten umfassend und transparent zu informieren und ihnen gleichzeitig die Möglichkeit zu geben, die Hoheit über ihre Daten zu behalten beziehungsweise zurückzuerlangen. Die DSGVO stellt damit hohe Anforderungen an Betriebe, die ihre Dienstleistungen innerhalb der EU anbieten.

Ausgehend vom DSGVO läuft auch in der Schweiz eine Totalrevision des Datenschutzrechts. Obwohl noch im Gange, tun auch Schweizer Unternehmen ohne Ableger in der EU gut daran, bereits ab dem 25. Mai die europäischen Datenschutzregeln zu erfüllen. Denn die neue Verordnung schützt die Rechte von Personen mit Wohnsitz in der EU auch dann, wenn sie sich ausserhalb der Grenzen des EU-Binnenmarkts aufhalten, also zum Beispiel in der Schweiz. Bei Verletzung der Vorschriften drohen Unternehmen Bussgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem welcher Wert der höhere ist.

Brisant ist hierbei das Prinzip der Beweislastumkehr: Im ­Beschwerdefall ist es das Unternehmen, welches belegen muss, dass es sämtliche Datenschutz­regeln eingehalten hat. Damit es dazu in der Lage ist, muss es über sämtliche personenbezogenen Daten, die es verarbeitet und speichert, minutiös Buch führen – eine der zentralen Bestimmungen im neuen Gesetz.

Mehrheit der Schweizer Hotels wahrscheinlich betroffen
Gerade Unternehmen und Organisationen der Schweizer Tourismusbranche, welche ihre Angebote explizit auch auf Gäste aus der EU ausrichten, dürften von der Verordnung betroffen sein. Wie stark genau ist aktuell noch nicht abzuschätzen und wird wohl erst durch die zukünftige Rechtsprechung geklärt werden.

Die Anwaltskanzlei Meyerlustenberger Lachenal (mll) hat gemeinsam mit Schweiz Tourismus aus aktuellem Anlass ein Whitepaper zu Datenschutz und Tourismus erstellt. Folgt man der Auslegung, ist das «Anbieten» von Dienstleistungen an Kunden in der EU weit interpretierbar. Demnach können die Möglichkeiten zur Länderwahl oder Spracheinstellung auf der Website, die Schaltung von Werbung auf ausländischen Websites oder die Verfolgung der Nutzeraktivitäten im Browser bereits diesen Tatbestand erfüllen.

Beim Branchenverband hotelleriesuisse geht man jedenfalls davon aus, dass so gut wie alle Hotels in der Schweiz von der Verordnung tangiert sind. Rechtsdienstleiterin Bettina Baltensperger empfiehlt deshalb, am Stichtag des 25. Mai die Anforderungen zu erfüllen. «Die Datenschutzerklärungen auf der Website und für den Newsletter sollten bis zum 25. Mai DSGVO-konform sein und keine offensichtlichen Lücken aufweisen.» Die Gefahr gehe nicht etwa von klagenden Gästen aus, sondern von Anwaltsbüros im EU-Raum, die gewerbsmässig Abmahnungen an säumige Unternehmen verschicken. Diese würden möglicherweise Schweizer Hotel-Websites systematisch abgrasen, um «schwarze Schafe» ausfindig zu machen und abzukassieren.

hotelleriesuisse will den Mitgliedern bis Mai verschiedene Werkzeuge zur Anpassung an die DSGVO zur Verfügung stellen, zum Beispiel Templates für Datenschutzbestimmungen oder eine Vorlage für ein Datenverzeichnis. Baltensperger betont aber: «Wir können die Mitglieder auf dem Weg lediglich unterstützen, gehen müssen sie ihn selber. Wir können ihnen die Auseinandersetzung mit dem Thema nicht ersparen. Wichtig ist ein genaues Verständnis davon, welche Daten im Betrieb genutzt und gespeichert werden. Das ist die Grundvoraussetzung dafür, die neuen Datenschutzbestimmungen erfüllen zu können.» Diese Aufgabe könne man den Hoteliers nicht abnehmen.

An Aufholbedarf in der Hotellerie glaubt auch Susanne Hofmann, DSGVO-Expertin bei PwC. Gemessen an der geringen Anzahl Anfragen, die sie derzeit von Hotels erhalte, könne man jedenfalls davon ausgehen.

Gegenüber der htr wollten sich die meisten angefragten Hotels nicht zum aktuellen Stand ihrer Anpassung äussern. Einige verwiesen an die Gruppe, die sich um den Datenschutz kümmere.

Aufgeschlossener gibt sich Bruno Caratsch vom 4-Sterne-Hotel Casa Berno Ascona. Ein Partnerbetrieb habe ihn vor zwei Monaten auf die bevorstehende Umstellung aufmerksam gemacht. Seither passe man gemeinsam die Website und den Newsletter an. Dass bis zum 25. Mai sämtliche Bereiche seines 100-Betten-Betriebs EU-datenschutzkonform sind, glaubt Caratsch zwar nicht. Aber immerhin sei er an der Sache dran. «Viele meiner Kollegen wissen nach wie vor von nichts.»

Auch in der Schweizer Bergbahnbranche ringt man noch mit der EU-Verordnung. «Die momentan grösste Herausforderung ist für eine Unternehmung die Beurteilung, ob man überhaupt von der DSGVO betroffen ist und wenn ja, wo Handlungsbedarf besteht», heisst es von Seilbahnen Schweiz. Auch hier müsse diese Beurteilung letztlich jede Unternehmung für sich selber vornehmen, wofür der Verband jedoch Hand reiche. Für die Mitglieder wurde ein Merkblatt erstellt. Auch der Rechtsdienst stehe für vertiefende Auskünfte und Unterlagen zur Verfügung.

Das Interview mit der DSGVO-Expertin Susanne Hofmann sowie weitere Informationen zum Thema lesen Sie in der Druckausgabe der htr hotel revue (19. April 2018) oder im e-paper (nur für Abonnenten).