Gegen den gläsernen Gast

von Jürgen Benad

Am Thema Datenschutz kommt heute keiner mehr vorbei. Sei es als Betroffener, wenn es um die Speicherung der eigenen Daten geht, sei es als Unternehmen, das bei der vernetzten Online-Welt gar nicht mehr anders kann, als das Datenschutzrecht zu beachten.

Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten gerade in seinem Persönlichkeitsrecht beeinträchtigt wird. Das Recht auf informationelle Selbstbestimmung räumt nämlich jedem die Verfügungsgewalt über seine personenbezogenen Daten ein. Personenbezogene Daten dürfen nur dann erhoben werden, wenn das Gesetz es vorsieht oder die Person in die Erhebung einwilligt.

Die Realität sieht meist anders aus, denn die mittlerweile überwiegend virtuellen und somit flüchtigen Daten sind begehrt. Personenbezogene Daten geben Unternehmen Aufschluss über das Konsumverhalten der Menschen.

Das Persönlichkeitsrecht des Gastes ist gerade in einem Hotel äußerst sensibel zu betrachten, denn der Gast nimmt das Hotel vorübergehend als sein privates Domizil wahr. Laut den Meldegesetzen der Länder muss jedes Hotel Daten von Gästen speichern.

Um den teils komplexen Anforderungen gerecht zu werden, schreibt das Bundesdatenschutzgesetz die Bestellung eines Datenschutzbeauftragten bei einer Betriebsgröße ab 20 Mitarbeitern vor. Oder aber, wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, beispielsweise an der Rezeption. Die Bestellung eines Datenschutzbeauftragten muss spätestens einen Monat nach Aufnahme der Geschäftstätigkeit erfolgen. Nach dem Bundesdatenschutzgesetz darf zudem nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

Die Unternehmer haben somit eine hohe Verantwortung: Sie müssen alle durch sie erhobenen Personendaten nach außen hin schützen. Die Vorgaben des Bundesdatenschutzgesetzes müssen eingehalten werden, da im Falle der Nichteinhaltung erhebliche Konsequenzen drohen.

Bei einem gesetzlichen Verstoß oder unzureichender Installation von Schutzmechanismen drohen neben direkten finanziellen Schäden, wie Datenverluste oder aufgewendeter Arbeitszeit, auch Zahlungen von Schadensersatz und Bußgeldern. Gewerberechtliche Konsequenzen können sich ebenfalls ergeben.

Bei Verträgen mit IT-Dienstleistern sollte darauf geachtet werden, dass Update-Verpflichtungen und die IT-Sicherheit als Hauptleistungspflichten festgeschrieben werden. Es sollte ferner eine Verpflichtung aufseiten des IT-Dienstleisters zur Maßnahmenergreifung bei Hacker-Angriffen vereinbart werden. Arbeitsrechtlich ist zu beachten, dass die Mitarbeiter, die personenbezogene Daten verarbeiten, zur Verschwiegenheit verpflichtet werden.

Der Autor ist Rechtsanwalt und Geschäftsführer im DEHOGA Bundesverband, Berlin.