Vor gut einem Jahr ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und auch im Gastgewerbe mit gemischten Gefühlen erwartet worden. Doch was hat sich wirklich verändert? Sind die Vorgaben so strikt wie befürchtet? Wir haben dazu Dehoga-Experte Christian Reuter, Referent für Lebensmittelrecht und Allgemeines Wirtschaftsrecht, interviewt.
KÜCHE: Herr Reuter, am 25. Mai jährt sich die Einführung der DSGVO zum ersten Mal. Wenn Sie auf dieses Datum zurückblicken, wie DSGVO-fit waren Ihrer Meinung nach die Gastronomie-Betriebe im Allgemeinen?
Christian Reuter: Kurz vor Einführung der neuen Datenschutzregeln war die Verunsicherung in der Branche groß und der Informationsbedarf bei unseren Mitgliedsbetrieben enorm. Neben den Hotels hatten auch die Restaurants, Cafés und Bars zahlreiche Fragen zur bevorstehenden neuen, strengeren, Rechtslage. Denn auch in ausschließlich gastronomischen Betrieben werden personenbezogene Daten verarbeitet. Hauptsächlich wollten die Betriebe wissen, was sie konkret im Betriebsalltag beachten müssen, um mit den anfallenden Daten gesetzeskonform umzugehen. Neben unzähligen persönlichen Beratungsgesprächen per E-Mail oder am Telefon und in Veranstaltungen hat der DEHOGA Bundesverband eine Publikation zum neuen Datenschutzrecht in der Gastronomie aufgelegt, in der die neuen Vorgaben praxisnah und anschaulich erläutert werden. Um die Betriebe für das Thema Datenschutz fit zu machen, haben wir zudem die wichtigsten Fragen und Antworten in unseren FAQs zusammengefasst.
Gab es bestimmte Prozesse oder Strukturen, die im Vorfeld in den betreffenden Betrieben am meisten überdacht, angepasst oder auch komplett geändert werden mussten?
Neu war für viele Betriebe die Ausarbeitung einer Datenschutzdokumentation. So müssen Betriebe grundsätzlich ein sogenanntes Verarbeitungsverzeichnis von Verarbeitungstätigkeiten und eine Dokumentation der technischen und organisatorischen Datenschutzmaßnahmen anlegen. Betriebe, die mit Kundendatenbanken arbeiten, mussten sich Gedanken um ein betriebliches Löschkonzept machen. Auch für die neuen Aufbewahrungsfristen von Reservierungsbüchern mussten praxistaugliche wie rechtskonforme Lösungen gefunden werden. Hier treffen Handelsrecht und Datenschutzrecht aufeinander.
Zur Einführung wurden ja mitunter viel Aufregung oder gar Horrorvisionen verbreitet. Haben sich diese bestätigt oder ist – salopp formuliert – alles halb so wild?
Die Angst vor Abmahnungen wegen Datenschutzverstößen oder behördlichen Bußgeldern war insbesondere bei unseren kleinen und mittelständischen gastgewerblichen Unternehmen sehr groß. Zwar gab es vereinzelt Fälle, in denen Abmahnanwälte versuchten, von der Verunsicherung der Betriebe zu profitieren. Die große Abmahnwelle ist jedoch ausgeblieben. Im Fokus der Datenschutzbehörden stehen nach unserer Beobachtung bisher eher große Internetunternehmen und Unternehmen, die mit einer Vielzahl von sensiblen Daten umgehen. Gleichwohl bedeuten die neuen Regelungen natürlich einen immensen Mehraufwand für unsere Betriebe. Diese waren und sind aufgerufen, ihre Datenverarbeitungsprozesse genau zu analysieren und ggf. anzupassen.
Tun gastronomische Betriebe genug, um sensible Daten zu schützen? Was raten Sie Groß- wie Kleinbetrieben, auf was besonders großer Wert zu legen ist?
Das Thema Datenschutz wird spätestens seit Einführung der DSGVO von den meisten gastronomischen Betrieben sehr ernstgenommen. Auch heute, ein Jahr nach der Einführung der neuen Regelungen, gibt es bei uns Nachfragen der Betriebe zum Thema Datenschutz, damit diese sicher gehen können, alle Regeln korrekt zu befolgen. Gastronomische Betriebe sollten unbedingt darauf achten, dass die Datenschutzerklärung auf der Betriebswebseite DSGVO-konform ist. Außerdem sollte eine gewisse Mindestdokumentation zum Thema Datenschutz angelegt werden. Das hilft dann auch dabei, die Datenschutzprozesse im Unternehmen zu analysieren und eventuelle Schwachstellen zu identifizieren.
Was sehen Sie aktuell als größte Herausforderung in den Betrieben? Was wird am häufigsten falsch eingeschätzt bzw. falsch gemacht?
Beim Thema Videoüberwachung ist besondere Vorsicht geboten. Hier müssen DSGVO-konforme Hinweisschilder ausgehängt werden. Zudem ist der Betrieb aufgefordert, eine sogenannte Datenschutz-Folgenabschätzung zur Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen durchzuführen. Der Aufwand für diese Bewertung ist nicht unerheblich.
Vielen Dank für das Gespräch.