Ratgeber IT-Sicherheit | Teil 2: Gästedaten, DSGVO und Cloud-Technologie

von Simon Lehnen | vor 2 Wochen


Im ersten Artikel dieser Beitragsserie zum Thema IT-Sicherheit haben Sie bereits viele allgemeine Schutzmaßnahmen kennengelernt, die Sie gegen Angriffe schützen. Als Gastgeberin oder Gastgeber müssen Sie jedoch nicht nur Ihre eigenen Daten schützen, sondern besonders die Ihrer Gäste! 

Mit jeder Reservierung und jedem Aufenthalt verarbeiten und speichern Sie vertrauliche Daten. Die Menge der Daten wächst mit der immer wichtiger werdenden Digitalisierung; so nutzen Sie vielleicht heute schon Online-Checkin, elektronisches Meldewesen, Online-Zahlung und eine Cloud-Software für die Verwaltung Ihrer Unterkunft. Auch über Ihre Hotel-Website sammeln Sie Gästedaten sowie Informationen über Zugriffe und das Nutzerverhalten. Die Daten Ihrer Gäste sind in hohem Maße schützenswert und Ihre Gäste vertrauen darauf, dass Sie verantwortungsbewusst damit umgehen. Werden Sie den Ansprüchen heute bereits gerecht? Haben Sie sich mit dem Thema Datenschutz bereits intensiv auseinandergesetzt? Oder gibt es in Ihrem Haus eventuell noch Nachbesserungsbedarf? 

Die DSGVO als Leitfaden 
Den gesetzlichen Rahmen für den Umgang mit personenbezogenen Daten bildet in der EU die DSGVO (Datenschutzgrundverordnung). Hier sind Anforderungen festgelegt, die Sie bei der Verarbeitung und Speicherung personenbezogener Daten erfüllen müssen. Bei Verstoß drohen hohe Bußgelder. Sich mit der DSGVO auseinander zu setzen mag zunächst als lästige Pflicht erscheinen, ist aber durchaus sinnvoll, denn die Verordnung hilft Ihnen bei der Umsetzung von konkreten Datenschutzmaßnahmen in Ihrem Unternehmen.

Allgemeine Grundsätze sind, dass personenbezogene Daten immer nur zu einem bestimmten Zweck erhoben und nicht in zweckentfremdet verwendet werden dürfen (Zweckbindung). Es dürfen nur die Daten erhoben werden, die zur Erfüllung dieses Zwecks wirklich erforderlich sind (Datenminimierung) und die Daten dürfen nur so lange gespeichert werden, wie es der Zweck rechtfertigt (Begrenzung der Speicherdauer).

Umsetzung der DSGVO in der Praxis
In einem ersten Schritt sollten Sie sich einen möglichst vollständigen Überblick über den Status Quo bei der Verarbeitung von personenbezogenen Daten in Ihrem Betrieb verschaffen. Dabei kann folgender Fragenkatalog helfen:

• Welche personenbezogenen Daten werden verarbeitet?
• Wessen Daten sind das, d.h. welche Personengruppen sind betroffen?
• Zu welchen Zwecken werden die Daten genutzt?
• Welche Systeme werden zur Verarbeitung eingesetzt?
• Wer kommt mit den erhobenen Daten im eigenen Unternehmen in Kontakt?
• Werden Daten an Dritte (andere Unternehmen) weitergegeben?
• Wie lange werden die Daten aktuell gespeichert?

Der aufgezeichnete Ist-Zustand lässt sich nun bewerten und es können konkrete Schutzmaßnahmen organisatorischer und technischer Art abgeleitet werden:

• Ist die Erhebung aller Daten wirklich notwendig?
• Sind die Verwendungszwecke legitim? Erfolgt die Verwendung ausschließlich zum bestimmten Zweck?
• Haben Ihre Mitarbeiter jeweils nur Zugriff auf die Daten, die für die jeweilige Tätigkeit relevant sind?
• Wie lange dürfen die einzelnen Daten gespeichert bleiben? Lässt sich die Löschung ggf. automatisieren?
• Wie sensibel sind die erhobenen Daten und sind diese angemessen vor unberechtigtem Zugriff, Veränderung oder Verlust geschützt?
• Falls Daten an Dritte weitergegeben werden, gibt es hierfür eine gesetzliche Grundlage? Handelt es sich um • Auftragsverarbeitung und wurde hierüber eine entsprechende Vereinbarung geschlossen?

Mit den Ergebnissen sollten Sie, wie in der DSGVO gefordert, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten für Ihr Unternehmen erstellen. Enthalten sein müssen hier u.a. die Kontaktdaten des Verantwortlichen für Datenschutz in Ihrem Betrieb, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien von betroffenen Personen (z.B. Hotelgäste, Mitarbeiter), eine Beschreibung der Kategorien personenbezogener Daten (z.B. Allgemeine Personendaten, Kenndaten, Bankdaten), sowie die Kategorien von Empfängern denen gegenüber personenbezogene Daten offengelegt werden (z.B. andere Unternehmen, Steuerberater, Sozialversicherungsträger). Wenn möglich sollte das Verzeichnis außerdem Informationen zu den Löschfristen der verschiedenen Datenkategorien und eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten enthalten. Das Verzeichnis sollten Sie versionieren und in regelmäßigen Abständen überprüfen und ggf. aktualisieren.

Die so strukturierten Informationen können Ihnen auch bei der Erstellung einer Datenschutzerklärung für Ihre Website helfen. In der Datenschutzerklärung klären Sie die Besucher Ihrer Website über die Erhebung und Verarbeitung personenbezogener Daten bei der Nutzung Ihrer Website auf. Das beinhaltet z.B. die Verwendung von Cookies, Analyse-Tools, Social Media Plugins, Bewertungs-Widgets und Online-Buchungssystemen. Auch wenn Sie auf Leistungen anderer Unternehmen zurückgreifen, ist es Ihre Aufgabe, die Daten Ihrer Gäste sicher zu verarbeiten. Sie sollten deshalb auch bei der Auswahl von Subunternehmern darauf achten, dass ein der Sensibilität der Daten angemessenes Schutzniveau gewährleistet ist.

Wie kann Cloud-Software helfen?
Moderne Hotelverwaltung ohne Softwareunterstützung ist heutzutage nicht mehr denkbar. Unser Hotelverwaltungsprogramm RESAVIO ist ein spezialisiertes, cloud-basiertes System, das Ihnen in Vielerlei Hinsicht Arbeit abnimmt. Auch im Hinblick auf das Thema Datenschutz sind Kunden von RESAVIO bestens aufgestellt, denn wir kümmern uns als Auftragsverarbeiter um den Schutz der Gästedaten in unserem Einflussbereich. Bei der Auswahl unserer Schutzmaßnahmen werden die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme berücksichtigt. Sichtbare Maßnahmen sind zum Beispiel unser hoher Standard für die Passwortstärke und das rollenbasierte Berechtigungssystem im Extranet. Sie können damit für jeden Mitarbeiter genau festlegen, welche Daten dieser einsehen, verändern und löschen darf. Der Zugriff auf Ihre Daten, etwa für den Support durch uns, ist nur temporär mit Ihrer Zustimmung möglich. Alle Änderungen an den Daten werden protokolliert. Der Abruf und die Übertragung der Daten erfolgt ausschließlich verschlüsselt. Die von uns beauftragten Subunternehmer, das kann zum Beispiel der Betreiber eines Rechenzentrums ein, sorgen ihrerseits für das vereinbarte, hohe Maß an Sicherheit. Die Rechenzentren sind durch physische Barrieren, Überwachungssysteme und Sicherheitspersonal vor unbefugtem Zugriff geschützt und haben eine unterbrechungsfreie-Stromversorgung mit Überspannungsschutz. Weiter wird automatisch ein tägliches Backup der Daten durchgeführt. Die Verfügbarkeit unserer Cloud-Software wird ständig überwacht und die Hosting-Infrastruktur kann bei Leistungsspitzen skaliert, also kurzfristig erweitert, werden. Für den Ernstfall werden DisasterRecovery-Systeme zur Wiederherstellung der Daten nach einem Störfall vorgehalten. Wir haben die technischen und organisatorischen Maßnahmen für RESAVIO detailliert in einem Dokument zusammengefasst, auf das unsere Kunden bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten verweisen können.

Fazit
Diese Beitragsserie zum Thema IT-Sicherheit hat Ihnen viele Aspekte präsentiert, die für den verantwortungsvollen Umgang mit persönlichen-, und Gästedaten wichtig sind. Die Bedeutung von digitalen Lösungen nimmt in allen Bereichen des täglichen Lebens zu. Es ist daher wichtiger denn je, sich mit der Thematik ausführlich zu beschäftigen. Setzen Sie sich regelmäßig mit den datenschutzrechtlichen Vorgaben für Ihr Unternehmen auseinander und adaptieren Sie sinnvolle Verhaltensweisen für den täglichen Umgang mit Technologie in Beruf und Privatleben.