Ungerechtfertigte Personalausweiskopien, nicht ausgewiesene versteckt platzierte Überwachungskameras, usw. Hoteliers versuchen sich mit allen Mitteln gegen Zechpreller zur Wehr zu setzen. Aber nicht alles ist datenschutzkonform und rechtens. In seinem 32. Tätigkeitsbericht 2014/2015 beschreibt der Landesbeauftragte für den Datenschutz Baden-Württemberg einige Datenschutzpannen im Hotelgewerbe.

KREDITKARTENDATEN UNVERSCHLÜSSELT PER E-MAIL VERSCHICKT

In zwei Fällen wurden im Rahmen von Reservierungsbestätigungen Kreditkartendaten per E-Mail verschickt oder abgefragt. Eine der E-Mail enthielt die volle Kreditkartennummer, den Namen des Karteninhabers und das Gültigkeitsdatum. Da helfen die TLS-Verschlüsselungen als Sicherheit bei der Buchung natürlich wenig, wenn dann die sensiblen Daten unverschlüsselt in einer E-Mail ausgetauscht werden. Der Fall liegt auf der Hand: „Dadurch entstand eine datenschutzwidrige Sicherheitslücke. Nach § 9 BDSG müssen nicht-öffentliche Stellen, die mit personenbezogenen Daten umgehen, die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften zu gewährleisten. Ausdrücklich verwiesen wird dabei auf die Anlage zu § 9 BDSG, in der in Satz 3 „insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ als Maßnahme genannt wird, um das unbefugte Mitlesen personenbezogener Daten zu verhindern. Insbesondere die Ende-zu-Ende-Verschlüsselung von E- Mails ist heutzutage genau ein solches Verfahren.“

ZWECKBINDUNG DER MELDEDATEN

Der Landesbeauftragte hatte die Befürchtung, dass die privaten Adressdaten von Übernachtungsgästen, die im Hotel einen Meldeschein ausgefüllt hatten für Werbeansprachen zweckentfremdet wurden: „Nach § 26 des baden-württembergischen Meldegesetzes (MG) durften Daten aus ausgefüllten Meldescheinen, insbesondere personenbezogene Daten wie Adressen, von den Beherbergungsstätten nicht für eigene Zwecke verwendet werden. Der Umgang der Beherbergungsstätten war vielmehr in §§ 23, 24 MG abschließend geregelt – und eine Zweckänderung, um Werbeadressen zu generieren, war darin nicht vorgesehen.“

UNRECHTMÄSSIGE AUSWEISKOPIEN

Der Landesbeauftragte überprüfte ein Hotel, dass nach eigener Aussage bei Übernachtungen ohne Reservierung, die nicht per Vorkasse bezahlt werden, für die Dauer des Aufenthalts regelmäßig eine Kopie eines Ausweisdokumentes angefertigt. Dies diene der Überprüfung der Meldedaten und erleichtere Schadensfälle leichter polizeilich zu verfolgen und Zechpreller abzuschrecken. „Aus datenschutzrechtlicher Sicht ist diese Verwendung personenbezogener Daten aber nicht erforderlich, um die vertrauenswürdigen Gäste „auszusieben“; beispielsweise könnte auch ein Pfand oder eine Kaution verlangt werden. (…)Für die Verfolgung von Zechprellern durch die Polizei bringen die Kopien im Vergleich zu Personalien, die beim Einchecken – gerne auch unter Vorlage des Personalausweises (Sichtausweis) – aufgezeichnet werden, nach meiner Kenntnis keinen zusätzlichen Nutzen. (…)Das ebenfalls angeführte Überprüfen der Meldedaten ist nicht die Aufgabe von Beherbergungsstätten und kann somit ebenfalls keine Grundlage für das Anfertigen von Ausweiskopien sein.“