Auftragsdatenverarbeitung

Blogbeitrag Datenschutz Grundverordnung mit ibelsa sind Sie bestmöglich aufgestellt 1

ADV – Auftragsdatenverarbeitung gemäß § 11 BDSG und TOMs – Allgemeine technische und organisatorische Maßnahmen nach § 9 BDSG

Nur wenige Gewerbetreibende bekommen in ihrem Geschäftsbetrieb so umfassende Einblicke in persönliche Bereiche ihrer Kunden wie Hoteliers. Dabei kommen Hoteliers täglich mit sehr sensiblen Daten ihrer Gäste in Berührung, die als besonders schützenswert gelten.

Bei den besonders schützenswerten Daten denken viele Hoteliers im ersten Moment nur an die Meldedaten ihrer Kunden. Es sind aber noch viel sensiblere Informationen über die Gäste, mit denen der Hotelier und seine Angestellten im täglichen Geschäft in Berührung kommen. Dies können Informationen über Gesundheit, sexuelle Ausrichtung, ethnische Herkunft oder religiöse Überzeugungen sein, welche innerhalb des Bundesdatenschutzgesetztes (BDSG) einem besonderen Schutz unterliegen. Diese Informationen müssen nicht immer direkt erkennbar sein, es können Informationen vorliegen die darauf schließen lassen (z.B: Gast mit der Staatsangehörigkeit eines EU-Staates isst kein Schweinefleisch und trinkt keine alkoholischen Getränke; Gast gibt bei Buchung an, dass das Essen z.B. keine Spuren von Nüssen enthalten darf). Und auch sonst bekommen der Hotelier und sein Personal teils Einblicke in sehr intime Lebensbereiche der Hotelgäste…

Deshalb muss der Hotelier nicht nur aus Gründen der Diskretion, den Schutz der Gästedaten beachten, sondern auch weil der Gesetzgeber an Hotelbetreiber oftmals höhere Ansprüche beim Datenschutz, als an andere Gewebetreibende, stellt.

Kommen diese Daten, z.B. durch Diebstahl, abhanden oder werden unrechtmäßig durch Dritte genutzt, drohen nicht nur ein Imageverlust, sondern auch finanzielle Einbußen in Form von Busgeldern oder zurückgehende Buchungszahlen.

Kommt es zum Beispiel zu einem Einbruch und werden die Hotelrechner gestohlen, auf denen die Gästedaten gespeichert waren, handelt es sich um einen meldepflichtigen Vorfall, der sowohl der Aufsichtsbehörde als auch allen betroffenen Gästen mitzuteilen ist. Je nach Umfang muss diese Mitteilung auch in den Medien erfolgen. Zudem sind unter Umständen alle Daten über Buchungen und Reservierungen weg.

An dieser Stelle haben ibelsa Kunden einen klaren Vorteil. Ihre Daten liegen mehrfach gesichert in zertifizierten Rechenzentren. Im Datenschutzrecht gilt ein Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG): Die Erhebung, Verarbeitung oder Nutzung der persönlichen Daten seiner Gäste ist dem Hotelier daher nur gestattet, wenn der Hotelgast hierin ausdrücklich eingewilligt hat oder eine Rechtsvorschrift den Hotelbetrieb ausdrücklich hierzu verpflichtet (etwa das Meldegesetz).

Zum Schutz dieser Daten hat der Gesetzgeber im BDSG (Bundesdatenschutzgesetz) eine Fülle von entsprechenden Vorgaben festgelegt, die der Hotelier einzuhalten hat. Diese betreffen unter anderem: die Pflicht die Mitarbeiter auf §5 Datenschutzgeheimnis des BDSG zu verpflichten, technisch organisatorische Maßnahmen (sogenannte TOM´s) zu treffen und mit Dienstleistern, die mit den personenbezogenen Daten in Verbindung kommen, sogenannte Vereinbarungen zur Auftragsdatenverarbeitung zu schließen. Genauso hat der Gesetzgeber zum Beispiel Anforderungen an die eingesetzten Verschlüsselungstechniken, die bei der Erhebung, Verarbeitung und Nutzung eingesetzt werden gestellt.

Die angesprochenen technisch organisatorischen Maßnahmen umfassen:

  • Zutrittskontrolle: Verhinderung Zutritt von Unbefugten zu Datenverarbeitungsanlage
  • Zugangskontrolle: Schutz der Datenverarbeitungsanlagen z.B mit Passwörtern vor Zugriff durch Dritte
  • Zugriffskontrolle: Protokollierung von Zugriffen
  • Weitergabekontrolle: Kontrolle wohin Daten weitergegeben werden
  • Auftragskontrolle: Kontrolle von Dienstleistern mit Auftragsdatenverarbeitung
  • Verfügbarkeitskontrolle: Schutz von Daten gegen zufälligen Verlust und Zerstörung
  • Trennungsprinzip: Getrennte Verarbeitung von Daten, die zu verschiedenen Zwecken erhoben wurden

In der ibelsa GmbH genießt der Datenschutz höchste Priorität. Aus diesen Gründen bietet ibelsa ihren Kunden nicht nur proaktiv eine entsprechende Vereinbarung zur Auftragsdatenverarbeitung an, sondern hat auch mit allen relevanten Dienstleistern entsprechende Vereinbarungen abgeschlossen. Diese werden regelmäßig durch die ibelsa GmbH kontrolliert und gegebenenfalls an neue Anforderungen angepasst. Somit erfüllen Sie „Softwareseitig“ alle Anforderungen des BDSG. Die getroffenen technischen und organisatorischen Maßnahmen werden innerhalb der ibelsa GmbH ständig überprüft und an den neusten Stand der Technik und an neue Anforderungen angepasst. Die regelmäßige datenschutzrechtliche Schulung der ibelsa Mitarbeiter stellt für die ibelsa eine Selbstverständlichkeit dar, genau wie die Sicherstellung, dass die eingesetzten Verschlüsselungstechniken stets dem Stand der Technik entsprechen.

Deutschland stellt innerhalb Europas bzw. der Welt mithin die höchsten Ansprüche an den Datenschutz. Deshalb hat sich die ibelsa bewusst für Frankfurt am Main als Standort für den Webserver entschieden. Dadurch ist sichergestellt, dass die höchsten Datenschutzansprüche von Seiten ibelsa eingehalten werden.