5 Dinge, die Gastronomen über das neue Datenschutzrecht wissen müssen

5 Dinge, die Gastronomen über das neue Datenschutzrecht wissen müssen

Am 25. Mai ist Stichtag: Ab diesem Tag vereinheitlicht die Datenschutz-Grundverordnung der EU (DGSVO) die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Sie erhält dann Vorrang gegenüber nationalen Gesetzgebungen innerhalb der EU und soll neben dem Schutz personenbezogener Daten auch für freien Datenverkehr innerhalb des EU-Binnenmarkts sorgen.

Für Privatpersonen und Bürger bedeutet diese Vereinheitlichung eine Verbesserung der Sicherstellung von Grundrechten. Für Unternehmen bedeutet sie aber zunächst einmal erheblichen zusätzlichen Aufwand. Das Thema Datenschutz bekommt eine neue Dimension – und das gilt freilich auch für Betriebe der Gastronomie, die personenbezogene Daten verarbeiten. Der Einsatz eines Tools zur Online-Reservierung, das Telefonnummer und E-Mail-Adresse aufnimmt, reicht bereits, um das Thema nach ganz oben auf die Agenda zu heben. Insbesondere, weil die Sanktionen hart sein können und Abmahn-Kanzleien sich jetzt schon die Hände reiben dürften.

Im Folgenden haben wir 5 aufeinander aufbauende Punkte zusammengestellt, die Gastronomen über das DGSVO wissen müssen. Inklusive Handlungstipp.

1. Ab sofort liegt die Verantwortung auf der Seite des Unternehmens

Bislang lag die Beweispflicht bei Datenschutzverletzungen auf Seiten der Nutzer. Ab sofort müssen hingegen die Unternehmen nachweisen, dass ihre Maßnahmen ausreichend für den Schutz der Daten waren. Damit wird „der Spieß umgedreht“, und dies bedeutet für gastronomische Betriebe, dass sie alle Stellen, an denen sie Kunden- beziehungsweise Gästedaten sammeln, auf ihre vorschriftsmäßige Handhabung hin überprüfen und gesammelte Daten dokumentieren können müssen. Letzteres legt der Artikel 30 der neuen DGSVO-Verordnung fest. Tipp: Mit dem PDF, das wir am Ende des Beitrags empfehlen, gibt es auch eine Vorlage für die Dokumentation.

2. Daten gemäß Einwilligung transparent und zweckgebunden verarbeiten

Im Grunde legt die neue Verordnung das fest, was man als Nutzer/Kunde von einem Unternehmen auch erwarten würde: Keine Zweckentfremdung, nachvollziehbare Verarbeitung bzw. Verwendung. Beispiel: Werden personenbezogene Daten für eine Reservierung erhoben, so sollte dem Reservierenden durch einen entsprechenden, klar formulierten Text erklärt werden, wofür die Daten genutzt werden. Etwaige über die Reservierung hinausgehende Marketingmaßnahmen, beispielsweise die Aufnahme in den Newsletter oder in Mailings individueller Angebote, benötigen die Einwilligung durch einen „Extra-Haken“, den der Nutzer auswählen (nicht abwählen!) muss. Zusätzlich muss er bei Erhalt einer Bestätigungsmail erneut einwilligen. Dies wird als „Double-Opt-In-Verfahren“ bezeichnet, welches nach deutschem Recht allerdings schon lange erforderlich ist. Zuletzt muss er der Einwilligung im Sinne des so genannten Simplizitätsgebots jederzeit auf einfachem Wege widersprechen, die Zusendung also abbestellen können. Und: Es sollte unbedingt schriftlich an entsprechender Stelle darauf hingewiesen werden, dass die personenbezogenen Daten durch den Nutzer gegebenenfalls eingesehen und auf dessen Wunsch gelöscht werden können. Denn das ist jetzt Pflicht und hilft, sich darüber klar zu werden, wo im Unternehmen eine Verarbeitung personenbezogener Daten stattfindet.

3. Das Recht auf Vergessenwerden beachten und proaktiv umsetzen

Mit der DGSVO wird sichergestellt, dass Unternehmen personenbezogene Daten bei Aufforderung des Nutzers endgültig löschen. Zielt dieses vor allem auf eine bessere Wahrung der Privatsphäre im Social-Media-Zeitalter ab – Beispiele immer wieder auftauchender Inhalte trotz Bestrebungen der Urheber, diese zu löschen, gibt es viele –, ist auch die Gastronomie hiervon betroffen. Zum Beispiel dann, wenn ein Allergiker nicht möchte, dass das Unternehmen die bei der Reservierung angegebene Lebensmittelunverträglichkeit längerfristig speichert. Eine Möglichkeit, solchen Problemen vorzubeugen, ist die Festlegung einer internen Speicher- bzw. Löschfrist. Diese sorgt dafür, dass das digitale oder analoge Reservierungsbuch alle sechs Monate gelöscht bzw. im zweiten Falle entsorgt, also zerschreddert wird.

4. DGSVO intern erklären und einen Datenschutzbeauftragten bestimmen

Vieles, was im Rahmen der Neuregelung vollzogen werden muss, geht im Arbeitsalltag am Chef vorbei – doch im Fall der Fälle haftet natürlich der Geschäftsführer. Darum ist es wichtig, dass alle Mitarbeiter (oder mindestens alle, die Kundenkontakt oder mit der Datenverarbeitung zu tun haben), aufgeklärt und fit für die Umsetzung gemäß der neuen Richtlinien gemacht werden. Eine Schulung mit einem Datenschutz-Experten ist hier sicherlich sinnvoll. Zusätzlich gilt es, einen Mitarbeiter als Beauftragten für das Thema Datenschutz zu bestimmen: Die DGS-Verordnung schreibt dieses für Betriebe ab 10 Personen vor, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder Zugriff auf diese Daten haben – das trifft wohl für die meisten Gastronomiebetriebe zu. Dieses darf, pikantes Detail, nicht der Geschäftsführer selbst sein! Deswegen empfiehlt es sich, zum Beispiel denjenigen zu benennen, der federführend für das (digitale) Marketing verantwortlich ist. Die Aufgabe kann auch ein externer Dienstleister übernehmen, allerdings führt das zu höheren Kosten und dürfte nur für größere Betriebe und Ketten sinnvoll sein.

5. Die neue Datenschutzverordnung schützt auch die Mitarbeiter

Bei der DGSVO geht es aber nicht nur um Gäste und Kunden, sondern auch um den internen Datenschutz. Dabei sind zwei Arten von Daten zu unterscheiden: Solche, die nötig sind, um das Beschäftigungsverhältnis gewährleisten zu können – und solche, die es nicht sind. Erstere sind Stammdaten wie Name, Steuer-ID und Sozialversicherungsdaten. Für diese benötigt der Arbeitgeber keine gesonderte Einwilligung. Letztere sind zum Beispiel Hobbys oder besondere Vorlieben – welche mitunter notiert werden, um beispielsweise im Team ein passendes Geburtstagsgeschenk organisieren zu können: Eine solche Regelung muss im Rahmen einer Teambesprechung entschieden und schriftlich fixiert werden. Im Zweifelsfall ist auch hier eine Dokumentation der erhobenen Daten sinnvoll.

Hinweis: Planday ist DGSVO-konform

Wer Planday für die Online-Dienstplanung einsetzt, ist hinsichtlich der neuen Datenschutzverordnung auf der sicheren Seite. Eine verschlüsselte Datenübertragung, Passwortschutz und -verifizierung sowie die Löschung von nicht mehr verwendeten Nutzerdaten unserer Kunden (zum Beispiel ehemalige Mitarbeiter des Gastronomiebetriebs) sind nur drei von vielen Maßnahmen, die wir nicht erst kurz vor Inkrafttreten der Neuregelung ins Auge gefasst haben: Wir beschäftigen uns schon seit vielen Jahren intensiv mit dem Thema Datenschutz, weil wir es als Teil unseres Kerngeschäfts erachten. Für Fragen stehen wir gerne zur Verfügung.

Empfehlung: Broschüre „Das neue Datenschutzrecht“

Mit diesem Blogbeitrag können wir nur kurz und knapp auf das so komplexe wie wichtige Thema eingehen. Gastronomen, die sich im Zuge der Neuverordnung intensiver damit auseinander setzen wollen, empfehlen wir die Broschüre „Das neue Datenschutzrecht – was in der Gastronomie künftig beachtet werden muss“ des Dehoga-Bundesverbands. Sie steigt tief in die Materie ein und bleibt zugleich auch für Nichtjuristen verständlich. Praxisbeispiele erleichtern den Nachvollzug. Die Broschüre steht unter www.dehoga-shop.de zum Download bereit (kostenlos für Verbandsmitglieder, 9,90 Euro für Nichtmitglieder).