HospitalityCamp Wallis, Zermatt 2018

Session 9: DSGVO – was ist zu tun?

Moderator und Notizen: Gabriele Bryant

Die DSGVO gilt seit Ende Mai für alle Schweizer Betriebe, die Kunden aus der EU ansprechen – das beinhaltet natürlich auch die Hotellerie.Hotelleriesuisse hat viel Vorarbeit geleistet und bietet Beratung wie auch Vorlagen für ihre Mitglieder.

 

Was jetzt gemacht werden sollte:

  1. Datenschutzerklärung

auf der Webseite in allen Sprachen. Vorlagen gibt es bei Hotelleriesuisse – müssen noch angepasst werden.

Die Datenschutzerklärung muss unter anderem enthalten

  • einen Absatz zum Thema Cookies (Google Analytics etc.
  • einen Absatz zum Thema Google Analytics (Daten gehen in die USA)
  • einen Absatz zu Adwords und/oder Adsense bei Nutzung von Adwords
  • einen Absatz zu Social Media, falls auf der Webseite Plugins eingesetzt werden (Page Plugin, Share-Button, Like-Button), die Nutzerdaten erkennen
  • Absätze zu CRM, PMS und allen Systemen, die Gästedaten speichern und verarbeiten, ebenso wie zum Webhosting-Anbieter

 Dazu:

– Speicherdauer von Analytics-Daten in der Google Analytics-Verwaltungsoberfläche beschränken.

– Vom Webmaster die IP-Adressen in Google Analytics anonymisieren lassen

– Banner oder Popup auf der Seite mit Cookie-Warnung (Wichtigkeit aktuell noch umstritten)

  

  1. EU Vertreter

Einen rechtlichen Vertreter in einem EU-Staat für die allfällige Vertretung beauftragen

  

  1. Auftragsdatenverarbeitungsvertrag

Mit jedem Dienstleister, der Zugriff auf Daten hat, einen Vertrag abschliessen oder einen solchen Vertrag von ihm verlangen: CRM, PMS, CRS etc. aber auch Webseitenhoster, Email-Verarbeiter etc.

 

  1. Formulare

Formulare auf der Webseite sollten nur noch die nötigsten Daten abfragen und brauchen einen Absatz zur Information des Nutzers sowie ggfs. eine Checkbox mit der er der Verwendung seiner Daten zustimmt.

 

  1. Prozessdokumentation

Der zeitintensivste Arbeitsschritt: Eine Zusammenstellung aller Arten von Daten:

  • Art der Daten
  • Art der betroffenen Kunden/Gäste
  • Grund und Form der Nutzung, Verarbeitung und Speicherung
  • Beteiligte Dienstleister
  • Mitarbeiter mit Zugriff (Mitarbeiter mit Datenzugriff sollten einen Zusatz im Arbeitsvertrag unterschreiben)

 

Newsletter 

Die Thematik der Newsletterversendung gehört streng genommen nicht zur DSGVO. Da Newsletterversender im Fall des Falles aber nachweisen müssen, dass ein Empfänger dem Versand auch explizit zugestimmt hat, genügt das in der Schweiz rechtlich noch immer völlig legitime „Single Opt-in“ Verfahren für Abonnenten nicht mehr und sollte per sofort auf „Double Opt-in“ geändert werden: Jeder Neu-Abonnent erhält eine Email mit einem Link, der nochmals bestätigt werden muss und kann so dokumentiert werden.

 

 Mehr dazu im Download-Center von hotelleriesuisse.

 

 

Lesetipp:

https://www.blumbryant.ch/de/newsroom/meldungen/EUDSGVO-GDPR-Hotels.php