Kaum ein Problem ist für die Existenz eines Tourismusbetriebs so grundlegend wie die Datensicherheit. Sie tangiert nicht nur Persönlichkeitsrechte von Gästen und auch von Bewerbern. Vor allem stellt sich die Frage, welche IT-Lösungen Sie zum Schutz vor Cyberattacken anwenden. Denn ein Hackerangriff kann im Extremfall den Verlust ALLER Daten bedeuten – und das würde wohl kaum ein Unternehmen überstehen. Gut, dass Ihnen die HOGAST mit Fachwissen und Experten, eigenen Maßnahmen und kompetenten Lieferpartnern hilft, sich zu schützen. Zudem geben wir Ihnen mit Blick auf die im Mai 2018 in Kraft tretende Datenschutzgrundverordnung einen Überblick über wichtige Pflichten, Gebote und Verbote.
Wissen Sie, wo Ihre Daten abgespeichert sind? Wie sind sie abgesichert? Gibt es ein Back-up … und wenn ja, wo finden Sie es? Und wer kümmert sich im Notfall um die Rettung bzw. Wiederherstellung Ihres EDV-Systems? All das sind essenzielle Punkte, um Ihr Hotel oder Restaurant vor existenzbedrohenden Schäden durch Cyberangriffe zu bewahren. Dazu kommen diverse Rechtsmaterien, allen voran die Datenschutzgrundverordnung (siehe Punkt II). „Die Datenschutzgrundverordnung zwingt Hoteliers und Gastronomen zu mehreren Maßnahmen. Zunächst einmal besteht eine umfassende Dokumentationspflicht: Man muss darlegen können, welche persönlichen Daten man hat, warum man sie hat und vor allem auch, wie sie geschützt werden“, erklärt der IT-Bereichsleiter der HOGAST, Roland Stedile. „Um diese Punkte klären zu können, braucht es in jedem Betrieb einen Datenschutzkoordinator.“
Folgende Fragen müssen sich HOGAST-Mitgliedsbetriebe, die das noch nicht getan haben, dringend stellen:
Ein vitales Eigeninteresse am Datenschutz und die rechtliche Pflicht dazu gehen somit Hand in Hand. Was den rechtlichen Aspekt betrifft, meint Roland Stedile: „Das Problem ist, dass man als Verantwortlicher in einem Betrieb erklären können muss, warum man bestimmte personenbezogene Daten verarbeitet. Geburtsdatum und Telefonnummer gelten bereits als personenbezogene Daten. Allergien sind als gesundheitsbezogene Daten sogar als sensibel eingestuft und müssen speziell betrachtet werden.“ Jedenfalls muss man sich mit all dem auseinandersetzen.
Eigentlich ist die neue Datenschutzgrundverordnung (DSVGO) seit Mai 2016 in Kraft und im gesamten EU-Raum gültig. Warum rückt das Thema also gerade jetzt in das Zentrum des öffentlichen Interesses? Zum einen, weil die größer werdende Zahl an Cyberattacken die Menschen für das Thema sensibilisiert hat. Zum anderen, weil das Regelwerk zwei Jahre nach dem In-Kraft-Treten, also in wenigen Monaten, seine volle Wirkung entfaltet. Mit anderen Worten: Wer noch nicht gehandelt hat, muss es jetzt tun!
In den meisten europäischen Staaten und damit für die meisten Unternehmen, nicht nur im Tourismus, ändert sich die Rechtslage von Grund auf. Denn die alte EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995 und konnte von jedem Mitgliedsland in ein eigenes Gesetz umgewandelt werden. Daraus hat sich eine große Diskrepanz im Bereich der Normen und Strafen geben. Zudem – das noch größere Problem – entsprach die über 20 Jahre alte Regelung bei Weitem nicht mehr dem aktuellen Stand der (Kommunikations-)Technik. Beide Mankos sollen nun beseitigt werden.
Was aber bedeutet die DSVGO in der Praxis von Hotels und Restaurants? Kurz gesagt: An sich ist jede Verarbeitung von Gästedaten verboten! Es gibt aber klar geregelte Ausnahmen, nämlich:
Eine ganz wesentliche Änderung durch die Datenschutzgrundverordnung betrifft mögliche Strafen. War eine Mahnung durch Verbraucherschutz bzw. Datenschutzbehörde die „härteste“ Maßnahme in der alten EU-Richtlinie, drohen künftig Geldstrafen in der Höhe von bis zu 20 Millionen Euro.
Weitere Gesetze und Verordnungen
Für die Tourismusbranche von herausragender Wichtigkeit ist neben der DSVGO der Payment Card Industry Data Security Standard, kurz: PCI DSS. Er wurde entwickelt, um die Sicherheit der Karteninhaber zu verbessern und regelt unter anderem Anforderungen bezüglich der Verschlüsselung von Karteninformationen und des Schutzes der Karteninhaberdaten. Einen genauen Überblick über alle Rechtsmaterien und andere Aspekte der Datensicherheit inklusive der notwendigen ersten Schritte finden HOGAST-Mitglieder im gleichnamigen Punkt im EasyGoing.
HOGAST-Mitglieder haben bei der Umsetzung des Datenschutzes neben dem Informationsvorsprung durch das EasyGoing-Informationsmaterial weitere entscheidende Vorteile gegenüber den Mitbewerbern. Das beginnt schon bei der Analyse des Ist-Zustandes in puncto Datensicherheit, also einem IT-Audit. „Ein externer Experte prüft Sie und sagt Ihnen, was zu tun ist – Sie haben also einen Maßnahmenplan, um den Datenschutz in Ihrem Unternehmen zu verbessern“, schildert Roland Stedile.
Der zuständigen Expertin in der HOGAST-Investitionsgüter-Abteilung, Sandra Andres, ist es gelungen, ein attraktives Angebot mit den Beratungsprofis von Deloitte abzuschließen. Dieser Partner bietet einen umfassenden IT-Quick-Check (Dauer nur ein bis zwei Tage) zu Sonderkonditionen an, der alle relevanten Gesetzesmaterien und Gefahren berücksichtigt. Weitere HOGAST-Lieferpartner stehen für die Umsetzung der vorgeschlagenen Maßnahmen zur Verfügung.
Weiters sehr zu empfehlen ist die HOGAST-Cyberversicherung. Denn selbst die besten Sicherheitsvorkehrungen sind kein hundertprozentiger Schutz gegen Hackerangriffe. Mit dem Versicherungspaket sind sowohl Vermögensschäden Dritter als auch Ihr Eigenschaden versichert, also ein Rundum-Paket für die unmittelbare Schadensbehebung. Dieses umfasst beispielsweise:
Das Gastro-Leben besteht nicht nur aus Gästen – auch Bewerberdaten werden gesammelt. Bei ihnen gelten die gleichen Verbote und Gebote wie bei den Kunden. Das heißt vor allem, dass auch sie, wie in der DSVGO vorgesehen, die Einwilligung zur Verarbeitung ihrer Daten geben müssen. Diese ist spätestens mit Abschluss eines Bewerbungsprozesses, also mit der Entscheidung für einen Mitarbeiter, einzuholen. Passiert das nicht, sind alle Bewerberdaten zu diesem Zeitpunkt zu löschen.
Die Bewerber haben darüber hinaus ein umfassendes Informationsrecht, was die Verarbeitung ihrer Daten betrifft. Konkret darf jeder Bewerber u. a. Namen und Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten sowie der Empfänger, falls die Daten weitergegeben werden, die Dauer der Speicherung oder, wenn sich diese Zeitspanne nicht genau festlegen lässt, Kriterien für die Dauer der Speicherung erfragen. Er kann außerdem verlangen, dass seine Daten berichtigt, ergänzt, aber auch gelöscht werden. Eine Löschung hat unverzüglich zu erfolgen, wenn die Einwilligung zur Datenverarbeitung zurückgezogen wird.
Was den Bewerbungsprozess angeht, ist neben der Datenschutzgrundverordnung auch die ePrivacy-Verordnung zu beachten. Sie regelt z. B., dass Job-Kandidaten nur nach ihrer vorherigen Zustimmung per E-Mail oder in sozialen Netzwerken wie Xing oder Facebook kontaktiert werden dürfen. Im Raum steht noch die Frage, ob es in Österreich eine Opt-out-Lösung geben wird. Das würde bedeuten, dass man weiterhin Werbeanrufe und -mails tätigen darf, solange der Adressat dem nicht ausdrücklich widersprochen hat.
In Sicherheit kann man sich jedenfalls wiegen, wenn man die „verfügbaren Personen“ im HOGAST-JobOffice kontaktiert, denn diese haben schon mit ihrer Registrierung bei hogastjob.com ihr Einverständnis gegeben, von Betrieben kontaktiert werden zu dürfen. Bei Fragen zum Spezialfall Bewerberdaten können Sie sich gerne an Nadine Luz, Bereichsleiterin für Personaldienstleistungen, und ihr Team wenden.
*** *** ***
Mehr zum Thema:
http://tinyurl.com/HOGAST-Datensicherheit
*** *** ***
Sandra Andres
HOGAST-Expertin für Datenschutz-Lösungen
T: +43 (0)6246 8963 255
andres@hogast.at
Roland Stedile
HOGAST-Bereichsleiter IT
T: +43 (0)6246 8963 401
stedile@hogast.at
Nadine Luz, M.A.
HOGAST-Bereichsleiterin Personaldienstleistungen
T: +43 (0)6246 8963 501
luz@hogast.at
Mag. Günther Pontasch
Leiter HOGAST-Versicherungsagentur
T: +43 (0)6246 8963 121
pontasch@hogast.at
Titelbild: iStock
29. Dezember 2017
Fragen zu Ihrer Mitgliedschaft oder möchten auch Sie von den Angeboten der HOGAST profitieren? Kontaktieren Sie uns einfach und unverbindlich.
office@hogast.at