Was tun mit sensiblen Daten?
 

Was tun mit sensiblen Daten?

Für wen die Datenschutzgrundverordnung der EU (DSGVO), die am 25. Mai 2018 in Kraft tritt, gilt und welche Informationen über Ihre Gäste in Zukunft für Sie Tabu sind, erklärt Rechtsanwalt Dr. Gerald Ganzger.

Die DSGVO schützt ausschließlich die Daten natürlicher Personen. Die Daten juristischer Personen fallen nicht unter den Anwendungsbereich. Das heißt, geschützt sind alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese wird in der DSGVO als „betroffene Person“ bezeichnet. So können zum Beispiel schon Autokennzeichen oder IP-Adressen personenbezogene Daten sein. Die DSGVO gilt grundsätzlich nur für elektronisch verarbeitete Daten, für Daten auf Papier gilt die DSGVO nur ausnahmsweise, wenn diese in einem Dateisystem strukturiert zugänglich sind (z. B. Personalaktenverwaltung).

Koscheres Essen für den Gast?

Besonders geschützt durch die DSGVO sind sensible Daten („besondere Kategorien personenbezogener Daten“). Hierbei handelt es sich um Daten betreffend die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Orientierung sowie Gesundheitsdaten. Die Verarbeitung solcher sensibler Daten ist grundsätzlich unzulässig. Ausnahmsweise ist die Verarbeitung dann erlaubt, wenn eine ausdrückliche und unmissverständliche Zustimmung der betroffenen Person erteilt worden ist, wobei die Zwecke der Verarbeitung genau festgelegt werden müssen. Schon die Information eines Hotelgastes, dass er koscheres Essen wünscht, kann unter den Begriff „sensible Daten“ fallen, weil aus dieser Mitteilung die religiöse Überzeugung ableitbar ist. Wenn man Vegetarismus oder Veganismus als weltanschauliche Überzeugung qualifiziert, fällt auch die Mitteilung eines Gastes, er möchte vegetarisch oder vegan essen, unter diese besonders geschützte Kategorie von Daten. Dasselbe gilt beispielsweise im Bereich von Gesundheits- und Wellnesshotels hinsichtlich Informationen von Gästen oder potenziellen Kunden über Erkrankungen oder ihren Gesundheitszustand.

Verantwortliche & Auftragsverarbeiter

Die Verpflichtungen aus der DSGVO richten sich an alle (gleich ob natürliche oder juristische Personen), die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Diese werden „Verantwortliche“ genannt. Jene Personen oder Unternehmen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, werden „Auftragsverarbeiter“ genannt und sind ebenfalls für die Einhaltung der Vorschriften der DSGVO zuständig. Damit die „Verantwortlichen“ und „Auftragsverarbeiter“ alle Verpflichtungen der DSGVO, deren Verletzung hohe Strafen nach sich ziehen können, einhalten können, empfiehlt es sich, ein Datenschutzcompliancesystem im Unternehmen zu installieren.
stats