Brüssel. Manche nennen es den "Big Bang", andere eine "Revolution". Ab kommende Woche, genauer ab dem 25. Mai um Mitternacht, gilt in der gesamten EU die neue Datenschutz-Grundverordnung. Die DSGVO gilt für die 511,8 Millionen EU-Bürger, die künftig mehr Rechte haben werden, während auf die Unternehmen mehr Pflichten zukommen. Die Hotellerie ist dabei, sich an die neuen Richtlinien anzupassen, und versucht einzuschätzen, welche Wirkung die neue Gesetzgebung auf ihr Geschäft haben wird. Sarah Douag sprach mit Choice Hotels International aus den USA, einer Gruppe mit einem komplexen Netz aus tausenden von Franchise-Nehmern in Europa, und liess sich erklären, wie komplex die DSGVO tatsächlich ist und welche Massnahmen das Unternehmen eingeleitet hat, um die neuen Regelungen einzuhalten. Ein Gespräch mit Estelle Corsin, HR und Legal Officer bei Choice Hotels Frankreich.
Die DSGVO tritt nächste Woche in Kraft. Sind Sie ausreichend vorbereitet?
Ich denke schon. Als Gruppe arbeitet Choice Hotels International sehr eng mit ihren Büros in Europa zusammen, um die Grundlagen der DSGVO zu verstehen und sicherzugehen, dass das Unternehmen sich an die neuen Regeln hält. Wir haben jetzt seit mehreren Monaten einen Datenschutz-Beauftragten, der sich bestens mit der DSGVO auskennt.
Wer ist Ihr DSB?
Das ist Dan Kittle. Er ist Senior Director, Chief Privacy & European Data Protection Officer bei Choice Hotels International. Er arbeitet seit 2010 für das Unternehmen in unterschiedlichen Positionen und wurde im vergangenen März zum Datenschutz-Beauftragten ernannt.
Ihr DSB arbeitet in den USA. Wie läuft die Zusammenarbeit mit den europäischen Abteilungen von Choice?
Dan beschäftigt sich seit letztem Jahr mit der DSGVO. Dass er von den USA aus arbeitet, ist absolut kein Problem. Er ist bereits mehrfach nach Europa gereist, um sich mit den Teams vor Ort zu treffen und bittet uns um volle Unterstützung, da er die DSGVO sehr ernst nimmt. Gemeinsam haben wir die Situation analysiert und dabei eine Bestandsaufnahme aller gesammelten und genutzten Daten in unserem Besitz durchgeführt. Darüber hinaus mussten unsere Abteilungen in Europa die Risiken einschätzen, alle erforderlichen Massnahmen ermitteln und die Datensicherheit erhöhen. Unser DSB und sein Team sind ausserdem dabei, das so wichtige Datenverzeichnis zu erstellen, das von den Behörden jederzeit angefordert werden kann.
Was ist Ihre Rolle bei Choice France?
Ich bin bei Choice France für das Personalwesen und Rechtsangelegenheiten zuständig. Ausserdem überwache ich derzeit die Umsetzung der DSGVO-Vorgaben im Auftrag unserer Muttergesellschaft. Ich stehe in direktem Kontakt mit Dan und seinem Team in den USA. Wir tauschen mehrmals in der Woche eMails zum Thema DSGVO aus und halten Telefon-Konferenzen ab, um die Auswirkung der neuen Regelungen auf unser Geschäft und unsere Franchise-Nehmer voll und ganz zu verstehen. Die Nutzung von Daten ist keine kleine Sache mehr.
Apropos, wie würden Sie Daten auf Grundlage der DSGVO beschreiben?
Nun, alles, was eine Person direkt oder indirekt identifizieren kann, sind laut DSGVO personenbezogene Daten. Bei einem Hotelgast können das Name, Adresse, Ausweiskopie, eMail-Adresse einschliesslich Name, Kreditkarten-Nummer usw. sein. Bei unseren Mitarbeitern geht es um die Sozialversicherungsnummer, Spesen-Abrechnungen, Krankheitstage ... alles, anhand dessen man sie identifizieren kann.
Betrifft die DSGVO auch die Personal-Anwerbung?
Auf jeden Fall. Wenn ich heute einen Lebenslauf erhalte, der meinen Anforderungen nicht entspricht, informiere ich den Bewerber darüber und speichere sein Profil online für die Zukunft. Wenn ich dies auf Grundlage der DSGVO mache, benötige ich dazu erst seine Zustimmung per eMail. Das ist auch der Fall, wenn ich die Bewerbung eines Rezeptionisten oder einer Housekeeping-Kraft über unser Intranet an einen Franchise-Nehmer weiterleiten möchte. Auch hier muss ich zuerst die Zustimmung des Bewerbers einholen.
Benötigt Choice auch die Zustimmung seiner europäischen Mitarbeiter?
Ja, so ist es. Unter der DSGVO müssen uns alle Mitarbeiter von Choice in Europa ihre Zustimmung geben, dass wir ihre Daten sammeln und nutzen dürfen. Aber diese Zustimmung geben sie uns bereits mit der Unterzeichnung ihres Arbeitsvertrags.
Wie haben Sie die Franchise-Nehmer von Choice auf die DSGVO vorbereitet?
Rein rechtlich ist jeder Hotelier/Franchise-Nehmer für sich selbst verantwortlich. Es handelt sich um eigenständige Unternehmen, die selbst dafür sorgen müssen, dass sie sich an die Regeln halten. Davon abgesehen unterstützen wir sie, wo wir können, und ihnen Feinheiten der DSGVO nahezubringen, gehört dazu. In diesem Fall mussten wir äusserst pädagogisch vorgehen, da die Regulierung sehr komplex ist und Spielraum für Interpretationen lässt. Über unser Intranet haben wir Ratschläge und Anweisungen der Hotelvereinigungen ausgetauscht. Es ist entscheidend, dass jeder Franchise-Nehmer sich der Risiken und Konsequenzen bewusst ist. Sie können mich telefonisch erreichen, wenn sie zusätzliche Hilfe benötigen. Je näher der 25. Mai rückt, umso häufiger klingelt mein Telefon, da die Leute Panik kriegen.
Müssen Ihre Franchise-Nehmer ebenfalls einen DSB einstellen und ein Datenverzeichnis führen?
Laut DSGVO müssen nur Unternehmen mit mehr als 250 Mitarbeitern ein Datenverzeichnis führen und soweit ich weiss, ist ein DSB ebenfalls nicht zwingend erforderlich. Ich gehe davon aus, dass die meisten Hoteliers die Funktion des DSB an Rechtsberater oder IT-Firmen übertragen. Aber das bringt natürlich Kosten mit sich. Unsere Franchise-Nehmer sind hauptsächlich kleine und mittlere Unternehmen mit kleinen Teams, für die ein Datenverzeichnis nicht verpflichtend ist. Das bedeutet allerdings nicht, dass sie untätig bleiben können. Am Ende müssen sie im Falle einer Kontrolle für Versäumnisse geradestehen.
Welche Massnahmen sollten diese Unternehmen ergreifen?
Ich glaube, mit Blick auf die eigenen Mitarbeiter werden bereits alle Vorgaben erfüllt. Das französische Freiheits- und Informationstechnik-Gesetz war bereits sehr anspruchsvoll. Was ihre Gäste bzw. Kunden angeht, rufe ich Hoteliers dazu auf, sich zu überlegen, welche Daten sie bereits sammeln und wofür sie diese Daten nutzen. Ich ermuntere sie ausserdem, die Zustimmung ehemaliger Gäste einzuholen, bevor sie Newsletter oder Sonderangebote versenden. Die DSGVO gewährt Verbrauchern das Recht auf Vergessen, und ich denke, dass ehemalige Gäste ihre Zustimmung erteilen müssen, wenn sie in eine Liste für eine künftige Marketing-Kampagne aufgenommen werden sollen.
Müssen Hoteliers Gästedaten auf unbestimmte Zeit speichern?
Da bin ich mir nicht sicher. Soweit ich weiss, dürfen Arbeitgeber laut Verordnung die Erfolgsbilanz und persönlichen Daten von Mitarbeitern höchstens fünf Jahre aufbewahren. Bei Gästen ist noch nicht eindeutig geklärt, wann die Kunden-Hotelier-Beziehung beginnt bzw. endet. Sollte ein Hotel die Ausweiskopie oder Zahlungsdaten eines Gasts aufbewahren, nachdem er das Hotel verlassen hat? Normalerweise nicht, aber ich glaube kaum, dass sich alle daran halten. Das Gute ist, dass die erforderliche Bitte um Zustimmung unseren Franchise-Nehmern die Gelegenheit bietet, ihre Datenbank aufzuräumen und ausschliesslich aktive und sinnvolle Kontakte zu behalten.
Wie sieht es mit Daten-Minimierung aus?
Auch die ist Teil der DSGVO. Das Prinzip ist, nur diejenigen Informationen zu behalten, die für direkte Marketingzwecke erforderlich sind. Sollten bestimmte Daten nicht länger zu dem Zweck gebraucht werden, zu dem sie erhoben wurden, sollten Hoteliers sie löschen.
Bedeutet das nicht, mögliche Kunden zu verlieren?
Ja. Dieses Risiko besteht. Ehemalige Kunden zu kontaktieren, kann für Hoteliers eine Chance sein, sie erneut für sich zu gewinnen. Aber es kann auch dazu führen, dass Kunden die Zahl der Hotelketten, Serviceanbieter, Apps usw. begrenzen, mit denen sie verkehren. Laut DSGVO muss ein Unternehmen bei einem Einspruch eines Kunden dessen Spuren in seiner Datenbank unverzüglich löschen.
Das trifft auch auf Loyalty-Programme zu, oder?
Ja. In vielen Fällen sind Kunden Mitglied bei zwei oder mehr Loyalty-Programmen von Hotelketten. Sie um ihre Zustimmung zu bitten, könnte dazu führen, dass sie einem oder mehreren dieser Programme den Rücken zukehren, sofern sie es nur selten oder überhaupt nicht nutzen. Das ist ein möglicher Verlust für Hoteliers, die vor Einführung der DSGVO noch versuchen konnten, sie mit Newslettern und Sonderangeboten von einer Rückkehr zu überzeugen. Die Anmeldeformulare der Loyalty-Programme sollten auf jeden Fall an die neuen Regeln angepasst werden. Gestern war ein ausgefülltes Kästchen noch ein "Ja zu allem". Ab nächster Woche erfordert jede Zustimmung ein eigenes Kästchen. Eines, wenn Sie dem Programm beitreten möchten, eines, um den monatlichen Newsletter zu abonnieren, und ein weiteres, um den Datenaustausch mit Drittanbietern usw. zu genehmigen. Es ist ein ganz neues Spiel.
Stellen Hotels ein grosses Risiko da, weil sie regelmässig Kreditkarten- und Ausweisdaten sammeln?
Dabei handelt es sich um sensible Daten, die gehackt werden können. Viele Hotelketten und sogar Reservierungs- und Buchungsportale sind bereits Opfer von Betrug und Identitäts-Diebstahl geworden. In unserer Branche ist alles möglich, darum gibt es in den Bereichen Datensicherheit und Datenschutz auch noch einiges zu tun. Bei Choice Hotels geniessen diese Punkte Priorität, aber ich glaube, dass viele PMS-Systeme ihre Sicherheitsmassnahmen bereits vor der DSGVO erhöht haben. Was Kreditkarten angeht, so werden Transaktionen durch die Kreditkarten-Anbieter selbst gesichert und verschlüsselt. Aus diesem Grund haben Hoteliers nur äusserst selten Zugriff auf die Kreditkartendaten ihrer Kunden, es sei denn, sie erfragen diese per Telefon und speichern die Daten eigenständig in ihrem System.
Glauben Sie, dass Ihre Franchise-Nehmer schon bereit für die DGSVO sind?
Ehrlich gesagt, bezweifle ich, dass wirklich alle gut vorbereitet sind, aber es ist noch nicht zu spät. Da ich weiss, wie komplex die DGSVO selbst für Rechtsexperten ist, hoffe ich, dass die Kontroll-Instanzen in der Anfangszeit noch nicht allzu streng vorgehen. Wenn ein Hotelier nachweisen kann, dass er eine Anpassung begonnen hat, kann er möglicherweise noch einmal davonkommen oder erst eine Verwarnung erhalten anstelle einer saftigen Strafe. Das wäre wünschenswert.
Werden die in Europa gesammelten Daten hier oder in den USA gespeichert?
Soweit ich weiss, werden sämtliche Daten, die mit unserem Buchungssystem und Loyalty-Programm Choice Privilege verbunden sind, in den USA gespeichert. Die Daten, die wir hier bei uns sammeln, bleiben hier, bis auf einige Gehaltsdaten, die aus Budgetgründen ebenfalls mit unserer Zentrale geteilt werden.
Bedeutet das, die DGSVO verlangt von Ländern ausserhalb der EU nicht, über europäische Bürger gesammelte Daten in Europa zu speichern?
Nein, die DGSVO enthält keine solche Regelung. Daten von Mitarbeitern und Kunden können im Ausland gespeichert werden, sofern Datensicherheit gewährleistet wird.
Nutzen Sie als europäischer Unternehmenszweig denselben Server wie Ihre Zentrale?
Nein, und das aus gutem Grund: Wir haben keine Server mehr in Frankreich. Unsere Daten werden online per Cloud gespeichert, da wir Office 365 von Microsoft verwenden, das hervorragend gesichert ist. Ich bin nicht befugt, über die Vorgehensweise in den USA zu sprechen, aber ich kann Ihnen versichern, dass ich von dort umgehend alle Daten erhalte, die ich benötige.
Vielen Dank für diesen Einblick.