protel und DSGVO

Was ist zu tun?

Das neue Datenschutzgesetz erfordert Maßnahmen in jedem Unternehmen, in unserem wie in Ihrem! protel stellt sich als Anbieter einer Plattform, über die Daten unserer Kunden verwaltet werden, dieser Verantwortung. Deshalb haben wir alle Funktionen unserer Software im Hinblick auf den Datenschutz überprüft und optimiert. Wir freuen uns, Ihnen damit die Werkzeuge an die Hand geben zu können, die Sie bei der Einhaltung der DSGVO in Bezug auf den Datenschutz unterstützen.

In den folgenden Abschnitten haben wir einleitend für Sie zusammengefasst, wie wir bei protel die Anforderungen der DSGVO verstehen. Lesen Sie bitte die Informationen auf dieser Seite sorgfältig, bevor Sie sich mit der konkreten Umsetzung in Ihrem protel Hotelmanagementsystem befassen. Erfahren Sie im Folgenden

  • was die DSGVO für Sie und Ihr Unternehmen bedeutet. 
  • welche Lösungen protel entwickelt hat, mit denen Sie die Anforderungen der DSGVO einfacher erfüllen können.
  • welche Maßnahmen Sie vor dem 25.5.2018 ergreifen müssen, um Ihre Hotelsoftware "DSGVO-ready" zu machen.

 

Die eigentliche Umsetzung unterscheidet sich für unsere Cloud-Lösung protel Air und für das On-Premise PMS protel SPE/MPE und Smart. Um mehr über Ihr PMS zu erfahren, wählen Sie:

 

Wir benutzen protel SPE/MPE

 Wir benutzen protel Air

Was ist die DSGVO?

DSGVO steht für Datenschutz-Grundverordnung, ihre Hauptanliegen sind der Schutz der personenbezogenen Daten von EU-Bürgern und die Standardisierung aller bestehenden Datenschutzgesetze. Die DSGVO aktualisiert das Datenschutzgesetz von 1998 und kommt zur Anwendung, wenn mindestens einer der folgenden Akteure sich auf dem Territorium der Europäischen Union befindet: Datenverantwortlicher oder Datenverarbeiter - oder wenn die betroffene Person, um deren Daten es sich handelt, Bürger der EU ist.

Der Datenverantwortliche muss die Einwilligung der Gäste einholen, warum, für wie lange und welche Daten der Gäste bearbeitet werden. Bei Nichteinhaltung der DSGVO-Vorschriften beträgt die Strafe 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes des Unternehmens- je nachdem, welcher Betrag höher ist.

Die DSGVO-Vorschriften treten am Freitag, 25. Mai 2018 in Kraft.

Das bedeutet, Sie müssen vor diesem Datum die nötigen Schritte zur Anpassung Ihres protel-Systems an die Vorschriften der DSGVO unternommen haben.

Wer sind die Akteure der DSGVO?

In Bezug auf die DSGVO gibt es drei Akteure, nämlich

  1. die betroffene Person als Subjekt der Daten ("data subject")
  2. der Datenverantwortliche
  3. der Auftragsverarbeiter
  • Die betroffene Person ist der Hotelgast, bzw. jede Person, von der das Hotel Daten speichert.

  • Datenverantwortlicher ist die Organisation, die Zugriff auf diese Daten hat, hier also das Hotel. Das Hotel beschafft und verwendet die Daten der betroffenen Person und ist für die Einhaltung der DSGVO-Vorschriften verantwortlich.

  • Auftragsverarbeiter ist die Organisation, die die Werkzeuge zur Verfügung stellt, um die Daten zu speichern, in unserem Fall die protel hotelsoftware GmbH. Der Datenverarbeiter ist für die Bereitstellung von Tools verantwortlich, die es dem Datenverantwortlichen ermöglichen, die DSGVO-Vorschriften einzuhalten.

Wichtig: In diesem Zusammenhang möchte protel darauf hinweisen, dass zum Umfeld eines Hotels weitere Datenverarbeiter gehören, die in die Pflicht genommen werden müssen, wie z.B. Channel-Manager. Das Hotel muss sich auch mit diesen Anbietern auseinandersetzen, um sicherzustellen, dass die Umsetzung der DSGVO in vollem Umfang gewährleistet ist.

Welche Rechte hat der Gast?

Die DSGVO gibt dem europäischen Gast mehrere Rechte, darunter

  • das Recht auf Zugang zu den eigenen Daten
  • das Recht auf Nachbesserung
  • das Recht auf Löschung
  • das Recht, die Verarbeitung einzuschränken / zu verhindern
  • das Recht auf Weitergabe der Daten an Dritte
  • das Widerspruchsrecht
  • das Recht, nicht in automatisierte Marketinginitiativen oder Datenanalysen einbezogen zu werden.

Was genau sind personenbezogene Daten?

Personenbezogene Daten umfassen alle sensiblen Informationen, die einer einzelnen Person zugeordnet werden können und die dazu verwendet werden können, eine Person eindeutig zu identifizieren, sie zu kontaktieren oder zu lokalisieren.

Personenbezogen sind unter anderem folgende Daten (Aufzählung nicht vollständig):

  • Vollständiger Name
  • Kontaktdaten einschließlich der E-Mailadressen, Telefonnummern, Skype ID, Login Namen, Profile in den sozialen Medien etc.
  • Wohnanschrift
  • Personalausweisnummer
  • Reisepassnummer
  • Nummer eines Visums
  • Führerscheinnummer
  • Kfz-Kennzeichen
  • Kontonummern und Nummern von EC-Karten oder Kreditkarten

In Verbindung mit einigen der oben genannten Daten gelten auch die folgenden als personenbezogen:

  • Grad einer Behinderung / Gesundheitsdaten
  • Ethnische Zugehörigkeit
  • Geschlecht
  • Geburtstag und -ort
  • Land der Staatsbürgerschaft
  • Status der Staatsbürgerschaft
  • Familienstand
  • Militärische Ämter
  • Unterschrift
  • Der vorübergehende Wohnsitz einer Person zu einem bestimmten Zeitpunkt
  • Jede andere Art von Information, die auf Vorlieben und Verhaltensweisen einer Person rückschließen lassen

Denken Sie daran, dass ein Hotel jederzeit zu den personenbezogenen Daten der Gäste Folgendes wissen muss:

  • Welche Daten werden gespeichert?
  • Wo sind die Daten gespeichert?
  • Warum werden sie gespeichert (Zweck)?
  • Mit wem werden Daten geteilt?
  • Wie lange werden sie aufbewahrt?

Damit sie jederzeit in der Lage sind, einem Gast auf Nachfrage Auskunft über seine Daten zu geben, empfiehlt protel den Hotels, ihre gesamte Technologielandschaft unter dieser Fragestellung zu betrachten: Wie werden personenbezogene Daten zwischen verbundenen Systemen ausgetauscht? An welchen Stellen werden Daten von Hand in nicht-verbundene Systeme eingegeben?

Diese Untersuchung sollten Hotels für alle angeschlossenen IT-Systeme durchführen, nicht nur für das Hotelmanagementsystem. Dazu gehören beispielsweise Meldeschnittstellen, Gebäudemanagementsysteme, CRM-Systeme, zentrale Reservierungssysteme (CRS) und anderes mehr.

Wann ist die Speicherung von persönlichen Daten erlaubt?

Ein Datenverantwortlicher muss rechtmäßige Gründe für die Speicherung personenbezogener Daten haben. Darunter fallen zum Beispiel:

  • Verträge: Eine Hotelreservierung oder -veranstaltung fällt unter diesen gesetzlichen Grund, da das Hotel für die Annahme einer Reservierung und die Erbringung der damit verbundenen Dienstleistungen einige der personenbezogenen Daten des Betroffenen benötigt. Aus diesem gesetzlichen Grund müssen personenbezogene Daten gelöscht werden, sobald der Vertrag erfüllt ist, d.h. sobald der Gast ausgecheckt ist und alle damit verbundenen Rechnungen bezahlt sind.
  • Verpflichtungen: Gemäß den Gesetzen des Landes, in dem es seinen Sitz hat, ist ein Hotel verpflichtet, einige oder alle personenbezogenen Daten zu speichern.
  • Grundlegendes Interesse: Dieser rechtmäßige Grund liegt vor, wenn z.B. eine Straftat stattgefunden hat und ausnahmsweise Daten zu Beweiszwecken aufbewahrt werden.
  • Spezielle Daten: Dieser rechtmäßige Grund bezieht sich auf Daten wie Gesundheits-/Religions-/Biometriedaten, die als besonders sensibel gelten. Solche Daten werden in der Regel nicht von Hotels gespeichert. Ist ein Hotel ausnahmsweise in den Besitz derartiger Informationen gelangt, darf es diese nur speichern, wenn ein rechtmäßiger Grund dafür vorliegt. Andernfalls müssen sie gelöscht werden.

 

Was gilt als Einwilligung?

Speichert ein Datenverantwortlicher Daten aus einem der oben genannten rechtmäßigen Gründe, ist er nicht verpflichtet, dafür zusätzlich die Einwilligung der betroffenen Person einzuholen. Der Datenverantwortliche muss jedoch jederzeit dafür sorgen, dass für die betroffene Person klar erkennbar ist, welche Daten wo gespeichert sind, ob Dritte diese mit verwenden, und falls ja, wie lange.

Viele Hotels möchten die Daten ihrer Gäste gern auch nach deren Check-out speichern, häufig auch länger als gesetzlich vorgegeben. Dabei geht es ihnen darum, den eigenen Service zu verbessern, Gäste in Marketingkampagnen einzubeziehen und ähnliches. Dies ist nur dann möglich, wenn die betroffene Person ausdrücklich ihre Zustimmung erklärt hat.

Um eine solche Einwilligung zu erhalten, gelten zwei Regeln:

  1. Eine betroffene Person erteilt ihr Einverständnis in Form einer aktiven Handlung.
    Das bedeutet, die Checkbox zur Einwilligung ist standardmäßig leer, und die betroffene Person muss sie aktiv auswählen.

  2. Die Zustimmung muss sich leicht widerrufen lassen.
    Das bedeutet, eine betroffene Person muss das Hotel leicht erreichen und ihre Einwilligung widerrufen können.

 

Der Auftragsverarbeitungsvertrag

Im Gegensatz zu anderen Sicherheitsrichtlinien wie PCI oder PA-DSS sieht die DSGVO keine eigene Zertifizierung für Anbieter vor. Stattdessen muss jeder Anbieter, der personenbezogene Daten verarbeitet, sicherstellen, dass dem Datenverantwortlichen die notwendigen Werkzeuge zur Verfügung stehen, um die DSGVO-Vorschriften einzuhalten. 

Der Anbieter führt den Nachweis, indem er dem Datenverantwortlichen einen Auftragsverarbeitungsvertrag zur Verfügung stellt.

Die DSGVO regelt die Pflichtangaben, die in einem solchen Vertrag enthalten sein müssen. Diese Angaben können sich im Laufe der Zeit ändern. Der Datenverantwortliche muss den Auftragsverarbeiter informieren, sobald Änderungen erforderlich sind. 

protel und alle authorisierten protel-Händler stellen allen Kunden einen Auftragsverarbeitungsvertrag zur Verfügung. Unabhängig vom Vertrag ist es das Bestreben von protel, die Anforderungen der DSGVO stets einzuhalten, so wie sich diese im Laufe der Zeit entwickeln.

Bitte denken Sie daran, dass ein Hotel mit jedem Anbieter, der personenbezogene Daten jeglicher Art verarbeitet, einen Servicevertrag haben muss, nicht nur mit dem Anbieter des Hotelmanagementsystems.

 

Datenschutzeinstellungen für die protel Hotelsoftware

Nach Auswertung der DSGVO-Vorschriften hat protel Softwarefunktionen entwickelt, mit denen Hotels (als Datenverantwortliche) die Datenschutzrechte ihrer Gäste (der betroffenen Personen) einfacher bestimmen und einhalten können. Mithilfe dieser Softwarefunktionen können Hotels die DSGVO-Vorschriften auf kontrollierte, definierte und prozessorientierte Art und Weise umsetzen.

In den Hotelmanagementsystemen protel SPE/MPE und protel Air sind diese Funktionen noch vor Inkrafttreten der DSGVO verfügbar. Sie werden im Folgenden einleitend vorgestellt. 

Um zu verstehen, wie Anforderungen und Lösungen ineinandergreifen, lesen Sie bitte an dieser Stelle erst weiter, wenn Sie bereits die vorausgegangenen Informationen aufmerksam gelesen haben. 

Beim Lesen der folgenden Abschnitte werden Sie feststellen, dass einige Softwarefunktionen nicht speziell für DSGVO-Vorgaben entwickelt wurden. protel hat sie entwickelt, um es Hotels zu ermöglichen, die DSGVO-Anforderungen in ihren Geschäftstätigkeiten mit möglichst geringem Aufwand umzusetzen und das Datenschutzmanagement so weit wie möglich zu automatisieren.

Zur eigentlichen Umsetzung in und mit protel Air und protel SPE/MPE, Smart haben wir separate weiterführende Informationen vorbereitet. Dort erläutern wir im Detail die Implementierungsschritte, die der Datenverantwortliche im Hotel umsetzen muss.

DSGVO-Anforderung: 
Verwendung dieser Daten beschränken

Der Gast hat das Recht, über die Verwendung seiner personenbezogenen Daten zu bestimmen.

Der Gast muss immer aktiv zustimmen ("opt-in"), bevor das Hotel seine Daten für Direktmarketing oder automatisierte Verarbeitung verwenden darf.

protels Lösung

Das Hotel kann Flags setzen, wenn der Gast sein Einverständnis zur Verwendung seiner Daten gegeben hat:

  • Marketing erlaubt
  • Weiterverarbeitung der Daten erlaubt

Bitte beachten Sie, dass diese Felder auch mit der protel WBE und dem protel Voyager ausgetauscht werden.

 

DSGVO-Anforderung:
Personenbezogene Daten zur Verfügung stellen

Fordert ein Betroffener, seine personenbezogenen Daten in Kopie zu erhalten, müssen ihm diese in elektronischer Form zur Verfügung gestellt werden.

protels Lösung

protel bietet die Möglichkeit, alle in der ausgewählten Gästekartei gespeicherten Daten in eine xml-, csv- oder pdf-Datei zu übertragen. Diese Datei kann per Knopfdruck aus der Gästekartei heraus ausgedruckt oder per E-Mail an den Gast gesendet werden.

 

DSGVO-Anforderung: 
Über Speicherdauer und Nutzung informieren

Die Software muss eine Mindestspeicherdauer für Daten unterstützen. Der Gast ist darüber zu informieren, wie lange die Daten aufbewahrt und zu welchen Zwecken sie verwendet werden, und er muss dem aktiv zustimmen.

  • Die Mindestspeicherdauer wird von den Gesetzen des Landes vorgegeben, in dem das Hotel seinen Sitz hat.
  • Die Höchstspeicherdauer der Daten kann durch das Hotel festgelegt werden, aber der Gast muss über
    diese Zeitspanne informiert werden und aktiv zustimmen bzw. seine Einwilligung erklären.

Die DSGVO gibt als rechtmäßigen Grund für die Speicherung von Gästekarteidaten vor, dass diese nur so lange aufbewahrt werden dürfen, wie dies vertragsmäßig erforderlich ist (Mindestspeicherdauer). Besteht jedoch ein berechtigtes Interesse, die Daten länger aufzubewahren (Höchstspeicherdauer), kann dies durch eine gesonderte Einwilligung der betroffenen Person erfolgen.

protels Lösung

Diese Anforderung umfasst zwei Aspekte: Erstens, wie das Hotelverwaltungssystem die eigentliche Anonymisierung handhabt, und zweitens, wie jeder Gast seine Einwilligung erteilen kann:

  • Wie der Anonymisierungsvorgang gehandhabt wird
    Die Hotelverwaltungssysteme von protel bieten konfigurierbare Regeln für die automatische Anonymisierung von Gästekarteien. Damit kann jedes Hotel selbstbestimmt seine Mindest- und Höchstspeicherdauer festlegen. Über diese Regeln steuert das Hotel, wann und wie protel die Gästekarteien anonymisiert.
    Die Anonymisierung von Gästekarteien erfolgt dann automatisch im Rahmen des Tagesabschlusses. Dabei werden alle personenbezogenen Daten - gemäß den zuvor gesetzten Regeln - aus den Gästekarteien entfernt. Im Ergebnis kann eine solchermaßen anonymisierte Gästekartei nicht mehr mit einem individuellen Gast in Verbindung gebracht werden. - Dieser Vorgang ist nicht umkehrbar.

  • Wie die Einwilligungsstufe eines Gastes angezeigt und behandelt wird
    protel führt ein neues Feld auf allen Gästekarteitypen ein: den Anonymisierungstyp. Es gibt drei hart eincodierte Optionen, über die der Grad der Einwilligung des Gastes dargestellt wird. Abhängig vom selektierten Wert wird die jeweilige Gästekartei beim Anonymisierungsvorgang behandelt.

Anonymisierungstypen gibt drei fest programmierte Optionen:

  1. Minimum: Gästekarteien, die mit „Minimum“ gekennzeichnet wurden, werden anonymisiert, wenn das Datum der Mindestspeicherdauer gemäß den Regeln der Auto-Anonymisierung erreicht ist.
    Diese Option bezieht sich auf die Vorgabe, wonach die gesetzlichen Anforderungen des Landes, in dem das Hotel seinen Sitz hat, bei der Speicherung von Gästekarteien zu berücksichtigen sind. Diese gesetzliche Vorgabe hat Vorrang vor der DSGVO. Demnach kann eine Gästekartei niemals vor Ablauf der gesetzlich vorgeschriebenen Anzahl von Tagen entfernt oder anonymisiert werden. Eine „Minimum“- Gästekartei wird zum frühestmöglichen Zeitpunkt nach der letzten Aktivität anonymisiert, aber nicht vor der vorgeschriebenen Mindestaufbewahrungszeit.

  2. Maximum: Gästekarteien mit der Kennzeichnung „Maximum“ werden anonymisiert, wenn gemäß den Regeln der Auto-Anonymisierung das Datum der Höchstspeicherdauer erreicht ist.
    Diese Option bezieht sich auf die Vorgabe, die eine zusätzliche Einwilligung erfordert, d.h. das Hotel hat den Gast um sein Einverständnis gebeten, seine personenbezogenen Daten länger als gesetzlich vorgeschrieben aufbewahren zu dürfen, und der Gast hat dem zugestimmt.

  3. KeepGästekarteien mit der Kennzeichnung “Keep” sind vom Anonymisierungsvorgang ausgeschlossen.
    Diese Option wird Hotels zur Verfügung gestellt, deren Sitz außerhalb der Gültigkeit der DSGVO-Vorschriften liegt, die aber dennoch Teile der DSGVO-Funktionalitäten nutzen möchten. Auch Hotels, die kein definiertes Enddatum für die Speicherung von Profildaten festlegen möchten, können sie nutzen.

Diese Funktion steht auch für den Datenaustausch mit der protel WBE und protel Voyager zur Verfügung.

 

DSGVO-Anforderung: 
Personenbezogene Daten entfernen

Die Forderung des Gastes, seine personenbezogenen Daten vollständig zu entfernen, muss erfüllt werden.

protels Lösung

  • Gästekarteien werden gemäß den Regeln der Auto-Anonymisierung zum frühestmöglichen Zeitpunkt beim Tagesabschluss automatisch anonymisiert. Die Anonymisierung wird verschoben, wenn:
  • für die Gästekartei aktuelle oder zukünftige Reservierungen vorliegen.
  • für die Gästekartei noch offene Rechnungen vorliegen.
  • es noch unbeglichene Rechnungen der Stadt/Gemeinde zu dieser Gästekartei gibt.
  • gesetzliche Anforderungen jedweder Art es erforderlich machen, die Daten im System zu behalten (entsprechend den Einstellungen für die Mindestspeicherdauer)

DSGVO-Anforderung: 
Zugang zu personenbezogenen Daten kontrollieren

Um den Zugriff auf personenbezogene Daten zu regeln, sind Benutzerrechte erforderlich.

protels Lösung

protel ergänzt die bestehenden Benutzerrechte und stellt folgende Berechtigungen zur Verfügung:

  • Zugriff auf DSGVO-bezogene Stammdaten -> gesonderte Lese- und Bearbeitungsrechte
  • Zugriff auf personenbezogene Daten -> gesonderte Lese- und Bearbeitungsrechte
  • den Anonymisierungsvorgang starten und ausführen

 

DSGVO-Anforderung:
Aktivitäten mit diesen Daten protokollieren

Umfassende Protokollierung der Aktivitäten auf Anwendungsebene, die Bezug zu beliebigen personenbezogenen Daten haben.

protels Lösung

protel erweitert die Protokollierung der Benutzeraktivitäten. Alle mit Gästekarteien in Verbindung stehenden Aktivitäten werden aufgezeichnet. Dies schließt Anzeigen/Zugriff, Erstellen, Bearbeiten und Entfernen von Gastdaten mit ein. Im Anwendungsprotokoll wird für jede Aktion die Zeit, der Benutzer der Anwendung, die tatsächliche Aktivität und die Gästekartei-ID aufgezeichnet.

Allgemeine Konformität

Dieses Dokument stellt protels Interpretation der DSGVO dar bezüglich der Verarbeitung und Anonymisierung von Daten mit Personenbezug in der Hotelbranche.

Es ist wichtig, dass jedes Hotel die für das Hotel oder Unternehmen geltenden Vorschriften durchliest und einhält, die aber möglicherweise nicht von den Inhalten dieses Dokument abgedeckt sind.

Den vollständigen Gesetzestext finden Sie hier: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679

 

Haftungsausschluss

Die protel hotelsoftware GmbH ist keine Anwaltskanzlei und bietet keine Rechtsberatung an.

Die bereitgestellten Informationen, Anweisungen, Dokumente, Richtlinien, Formulare, Vereinbarungen oder Musterdaten (zusammen als "die Informationen" bezeichnet) dienen nur zu Informationszwecken und stellen keine Rechtsberatung dar. Die Informationen sollten als allgemeine Handreichung verstanden werden, die an Ihren spezifischen Bedarf angepasst werden muss. Ob und wie Sie die Information verwenden, oder sich darauf verlassen, ist Ihr eigenes Risiko. Die Informationen sind als Einstieg gedacht, Sie müssen jedoch selbst angemessene Qualitätskontrollen durchführen und rechtliche und andere professionelle Ratschläge einholen, bevor Sie die Ressource nutzen.

Die Informationen werden ohne jegliche Gewährleistung, weder ausdrücklich noch stillschweigend, einschließlich ihrer Rechtswirksamkeit und Vollständigkeit, zur Verfügung gestellt. Wir machen keine Ansprüche, Versprechungen oder Garantien über die Richtigkeit, Vollständigkeit oder Angemessenheit der Informationen und übernehmen keine Sorgfaltspflicht gegenüber einer Person in Bezug auf die Informationen und deren Inhalt. Wir schließen jegliche Haftung für Kosten, Ausgaben, Verluste oder Schäden ausdrücklich aus, die durch das Vertrauen auf die Informationen oder in der Erwartung der Erfüllung Ihrer Bedürfnisse entstehen, einschließlich (aber nicht ausschließlich) als Folge von falschen Angaben, Fehlern und Auslassungen.

Die Informationen oder Teile der Informationen können ohne vorherige Ankündigung geändert oder aktualisiert werden.

Bei Fragen kontaktieren Sie bitte unser Support Team unter gdpr-support@protel.net.