Monster mit vielen Buchstaben

Die Verordnung soll – wie der Name schon sagt – erhobene Daten besser schützen. Das gilt insbesondere für sensible personenbe - zogene Daten (von Kunden und Mitarbeitern) wie Namen, Telefonnummern, Adressen, E-Mail-Adressen, Reisepassnummern, Gesundheits- oder Kontodaten, mit denen Kriminelle sehr viel Geld verdienen können.
Was gerne vergessen wird: In Deutschland gilt schon seit Jahren das der EU-DSGVO nicht unähnliche Bundesdatenschutzgesetz. Wer da gut aufgestellt war, muss nur noch ein paar Hausaufgaben machen und nicht ganz von vorne anfangen. Anders als zu Beginn der PRR wird die EU-DSGVO nicht noch durch zahlreiche Instanzen geprügelt. Sie liegt bereits in ihrer finalen Fassung vor.

Sehr viel, denn das neue Bürokratie-Monster betrifft jedes Unternehmen, und zwar unabhängig vom Umsatz oder der Anzahl der Beschäftigten. Auch ein Drei-Mann-Reisebüro muss also dafür sorgen, dass Unbefugte nicht an Kundenoder Mitarbeiterdaten herankommen – und dass mit den Daten auch intern nichts angestellt wird, dem die Kunden vorher nicht ausdrücklich zugestimmt haben.

• Unterrichtungspflicht: Kunden, vor allem Neukunden, muss Folgendes klar verständlich dargelegt werden: Wofür werden ihre Daten verwendet? Wo und wie lange werden sie gespeichert? An wen werden sie übermittelt (vor allem bei Leistungsträgern außerhalb der EU)? Wie kann der Kunde seine Daten berichtigen, einschränken oder löschen lassen?
• Die Dokumentations- und Nachweispflicht wurde ausgeweitet: Alle personenbezogenen Datenverarbeitungstätigkeiten im Reisebüro müssen sorgfältig dokumentiert und jederzeit auf Verlangen der Datenschutzbehörde vorgelegt werden können. Dazu gehört auch ein Verfahrensverzeichnis: Welche Mitarbeiter, externen Dienstleister und so weiter haben in welchem Umfang Zugriff auf die Daten? In welcher Verbindung stehen sie zueinander?
• Pannen wie beispielsweise ein Hackerangriff auf den Server müssen sofort der zuständigen Landesdatenschutzbehörde gemeldet werden (Pflicht zur Selbstanzeige).
• Wer Daten in Länder außerhalb der EU übermittelt, muss sicherstellen, dass die Informationen dort nach den Standards der EU-DSGVO behandelt werden. Bei Verstößen des Dienstleisters kann das Reisebüro in Haftung genommen werden.
• Auch Subunternehmer wie beispielsweise Mailing-Dienste müssen nach den neuen Richtlinien arbeiten. Das Reisebüro muss das bei Erteilung eines Auftrages überprüfen.
• Recht auf Vergessenwerden: Das gibt es zwar schon länger, wird nun aber verschärft. Heißt: Die Fristen zum Löschen personenbezogener Daten müssen unbedingt eingehalten werden, am besten mit einer automatisierten Einstellung in den Systemen.

Der oder die Datenschutzbeauftragte (DSB). Eine solche Person muss jedes Unternehmen mit zehn Mitarbeitern oder mehr benennen. Zu den Beschäftigten zählen neben den Expedienten alle Personen, die in irgendeiner Weise mit Kunden- oder Mitarbeiterdaten in Kontakt kommen können – im Zweifelsfall also auch das externe Reinigungspersonal, das die Mülleimer leert.

Da Verstöße gegen die DSGVO sehr teuer werden können (siehe unten), empfiehlt sich nach Ansicht von Experten für jeden Betrieb unabhängig von der Größe ein DSB. Dieser kann entweder ein Mitarbeiter des Reisebüros oder ein externer Dienstleister (ähnlich wie ein Steuerberater) sein.

Die Datenschutz-Aufsichtsbehörde Niedersachsen prüft derzeit, ob Reisebüros nicht sowieso zu den Unternehmen gehören, die ständig Daten an Dritte (Veranstalter, Hotels, Airlines und so weiter) übermitteln und deshalb in jedem Fall unabhängig von ihrer Größe einen DSB brauchen.

Dann wird es teuer – im Zweifelsfall sehr teuer. Verletzungen der EU-DSGVO können mit einer Strafe von bis zu vier Prozent des Jahresumsatzes geahndet werden. Das kann Reisebüros schnell in den Ruin treiben. Die Strafe fällt allerdings deutlich milder aus, wenn man sich selbst anzeigt.

Ebenfalls neu: Im Zweifelsfall muss nicht der Kunde beweisen, dass mit seinen Daten nicht sorgfältig umgegangen wurde, sondern das Reisebüro, dass es datenschutzkonform gearbeitet hat.

• Alle personenbezogenen Daten von Mitarbeitern und Kunden müssen (egal, ob auf dem PC oder auf Papier) stärker als bisher schon vor dem Zugriff Unbefugter geschützt werden.
• Daten, die man nicht mehr benötigt, müssen vollständig vernichtet (geschreddert oder unwiderruflich gelöscht) werden. Das gilt auch für Daten, die sowieso mit einem "Mindesthaltbarkeitsdatum" versehen und nach einer bestimmten Zeit gelöscht werden müssen.
• Alle Mitarbeiter des Unternehmens, egal, ob intern oder extern, müssen über die Datenschutzverordnung in Kenntnis gesetzt und entsprechend geschult werden. Sie müssen eine entsprechende Erklärung unterschreiben, dass sie sich an die Vorschriften halten.

Reisebüros, die einer Kette oder Kooperation angeschlossen sind, werden nicht alleine gelassen. In den kommenden Wochen und Monaten gibt es jede Menge Seminare, Online-Schulungen und Merkblätter zum Thema. Diese sollte man unbedingt wahrnehmen, der 25. Mai kommt schneller, als man denkt.

Wichtig: Bei Verstößen haftet jedes Reisebüro für sich selbst.

Frau Müller hat schon drei Kreuzfahrten ins Mittelmeer gebucht, zweimal zusammen mit ihrem Mann und einmal mit der CDU-Ortsgruppe. Da sie Rheuma hat und schlecht laufen kann, bevorzugt sie eine Kabine in der Nähe der Aufzüge. Im Reisebüro trinkt sie gerne einen Kaffee, und zwar aufgrund ihres Diabetes ohne Zucker. Sie hat am 17. März Geburtstag und bekommt jedes Jahr eine Glückwunschkarte – und die neuesten Kreuzfahrt-Angebote für den Sommer. Bezahlt wird mit American Express.

Die Gefahren:

• Der Server wird gehackt beziehungsweise die Daten werden anderweitig entwendet. Kriminelle wissen nun nicht nur, wo Frau Müller wohnt und wann sie im Urlaub ist (praktisch für Einbrecher), sondern können auch sensible Daten wie ihre Krankheiten (Rheuma, Diabetes), ihre mutmaßliche politische Ausrichtung (CDU) und ihre Kreditkartennummer verkaufen.
• Frau Müller freut sich gar nicht so sehr über die Glückwunschkarte zum Geburtstag – und hat auch nie zugestimmt, unauf - gefordert Werbung zu erhalten. Gegen beides kann sie beim Reisebüro Widerspruch einlegen – oder sich im schlimmsten Fall gleich an die Datenschutzbehörde wenden.