Datenerhebung in Hotels und ihre rechtlichen Grenzen

Fachbeitrag

Keine Übernachtung in einem Hotel geht ohne Erhebung personenbezogener Daten einher. Den Hoteliers bieten sich zahlreiche Möglichkeiten der Einholung von Informationen über ihre Gäste. Grund genug, sich damit einmal aus datenschutzrechtlicher Sicht auseinanderzusetzen.

Hotelbesuche, wer kennt das nicht…

Der Aufenthalt beginnt bekanntlich mit dem Check-In. Man könnte aber auch sagen, er beginnt mit der Erhebung personenbezogener Daten.

Das Prozedere läuft meistens gleich ab. Im Empfangsbereich des Hotels bewegt man sich zunächst zur Rezeption. Dort sagt man seinen Namen, füllt schnell irgendeinen Zettel aus und bekommt einen Schlüssel. Die wenigsten machen sich Gedanken darüber, ob die Datenerhebung überhaupt zulässig ist, welche weiteren Informationen man im Laufe des Aufenthalts preisgibt und was mit den gemachten Angaben passiert. Doch in Anbetracht der möglichen Einblicke in das Leben der Gäste durch den Betreiber des Hotels, sind diese Fragen legitim, ja vielleicht sogar notwendig.

Welche Daten werden grundsätzlich erhoben?

Meldepflicht

Bei einem Hotel handelt es sich um eine Beherbergungsstätte nach dem Bundesmeldegesetz (BMG), da eine Einrichtung vorliegt, die der gewerbs- oder geschäftsmäßigen Aufnahme von Personen dient. Die Folge ist, dass in Hotels die besondere Meldepflicht gem. § 29 ff. BMG gilt. Gäste haben damit am Tag der Ankunft (Check-In) einen besonderen Meldeschein handschriftlich zu unterschreiben, der die in § 30 Abs. 2 BMG aufgeführten Daten enthält. Dieser Meldeschein darf grundsätzlich nur enthalten:

  • Datum der Ankunft und der voraussichtlichen Abreise,
  • Familiennamen,
  • Vornamen,
  • Geburtsdatum,
  • Staatsangehörigkeiten,
  • Anschrift,
  • Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Absatz 2 Satz 2 und 3 BMG sowie
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.

Die Erhebung von Angaben darüber hinaus, ist zumindest nicht durch die Meldepflicht gerechtfertigt.

Die Meldeformulare müssen für den Fall der Einsicht durch die Polizei für eine gewisse Zeit vor der Vernichtung aufbewahrt werden. Die Dauer der Aufbewahrung beträgt vom Tag der Anreise der beherbergten Person an ein Jahr. Nach Ablauf der Aufbewahrungsfrist, sind die Meldescheine innerhalb von drei Monaten zu vernichten.

Weitere Erhebungen von Daten

Darüber hinaus, stehen den Hotels natürlich zahlreiche weitere Möglichkeiten offen, Daten ihrer Gäste zu erheben. Das kann von der Videoüberwachung, über die Anlegung von Gästeprofilen durch Daten über Ess- und Schlafgewohnheiten, Freizeitaktivitäten, Begleitpersonen, bis hin zur Datenspeicherung über die in Anspruch genommenen Hotelleistungen, wie Wellness-, Ausflugs- oder Transportangebote reichen.

Einige Hotels holen sich bereits im Vorfeld Informationen aus dem Internet über den anstehenden Besuch ein. Neben der Standard-Google-Suche, werden teilweise zusätzlich spezielle Tools eingesetzt, die bspw. Profile in sozialen Netzwerken, wie Facebook oder Twitter auffinden.

Datenschutzrechtliche Grenzen der Datenerhebung in Hotels

Allgemeine Rechtsgrundlage

Natürlich sind den Hotelbetreibern bei der Datenerhebung auch Grenzen gesetzt. Grundsätzlich dürfen nach der ab Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten der Gäste nur verarbeitet werden, sofern es für die Durchführung des Beherbergungsvertrags gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich ist.

Dazu gehören beispielsweise Abrechnungsdaten über Speisen und Getränke oder über Telefongespräche, die vom Zimmer ausgeführt wurden. Einige Hotels drucken für die Abrechnung der Telefonate nur die Vorwahl und eine verkürzte Rufnummer aus.

Geht es um die Erhebung von Daten im Rahmen eines Hotelbesuchs, kann man sich daher immer die Frage stellen, ist diese Erhebung nun tatsächlich notwendig, damit die vertraglich geschuldete Leistung des Hotels (Zimmer, Telefon, Internet, Pool und andere Angebote) erbracht werden kann.

Einwilligung der Gäste

Finden darüber hinaus Datenerhebungen statt, so bedarf es jeweils einer gesonderten Rechtsgrundlage. Vordergründig ist dabei die Einwilligung der Gäste zur Erhebung von personenbezogenen Daten gem. Art. 7 DSGVO zu nennen.

Bspw. wird teilweise gleichzeitig mit dem Meldeschein eine schriftliche Einwilligung zur Versendung von Newslettern eingeholt. Für diesen Zweck wird die E-Mail-Adresse, welche ein personenbezogenes Datum darstellt, erhoben. Dabei ist, ohne eine explizite Einwilligung, die Speicherung der E-Mail-Adresse grundsätzlich unzulässig. Ebenso kann das Hotel ein großes Interesse daran haben, Kundendatenbanken anzulegen, wofür Einwilligungen einzuholen sind. Die Daten bleiben auch nach Abreise des Gastes bestehen.

Bei Einwilligungen sind stets die gesetzlichen Voraussetzungen zu beachten, worüber wir bereits berichteten.

Datenschutz-Folgeabschätzung beim Einsatz von Videoüberwachung

Werden Techniken zur Videoüberwachung eingesetzt, so muss gem. Art. 35 DSGVO eine Datenschutz-Folgeabschätzung durchgeführt und dokumentiert werden. Dabei wird das Interesse des Hotels am Einsatz der Videoüberwachung, dem Interesse der Gäste am Schutz ihrer persönlichen Daten gegenübergestellt. Auf Seiten der Hotelbetreiber steht im Regelfall die Aufklärung und Verhinderung von Straftaten (auch Diebstahl von Eigentum der Gäste).

Die Videoüberwachung in besonders sensiblen Bereichen (Toiletten, Wellnessanlagen, Hotelzimmer) ist jedoch grundsätzlich unzulässig, da hier, ohne besondere Umstände, die Wahrung der Persönlichkeitsrechte der Gäste überwiegt. Der Einsatz von Kameras im Außenbereich und beim Empfang kann aufgrund eines möglichen Überwachungsdrucks für die Beschäftigten des Hotels datenschutzrechtlich bedenklich sein.

Zulässigkeit der Internet-Recherche

Auch die oben angesprochene Internet-Recherche vor dem Check-In, ist datenschutzrechtlich kritisch zu sehen. Möglich wäre allenfalls, dass die Datenerhebung als berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO zulässig ist. Auch hier ist eine Interessenabwägung erforderlich, die gewährleisten soll, dass die Grundrechte und Grundfreiheiten des Gastes, die den Schutz personenbezogener Daten erfordern, nicht ohne zulässige Rechtfertigung (bspw. aus Sicherheitsgründen) missachtet werden.

Daher, ruhig einmal hinterfragen

Natürlich ist dem Großteil der Hotelbetreiber bewusst, dass Sie personenbezogene Daten ihrer Gäste stets nur im Einklang mit den gesetzlichen Anforderungen erheben dürfen. Doch wie in vielen Bereichen, gibt es auch unter den Hotels aus datenschutzrechtlicher Sicht schwarze Schafe, bei denen ein zweiter Blick sicherlich nicht schadet.

Gerade wenn sich bei einem kurz die Frage aufwirft, wozu die getätigte Angabe nun überhaupt benötigt wird, kann auch mal nachgehakt werden. Hierzu kann man sich auch an den Datenschutzbeauftragten des Hotels (falls vorhanden) wenden.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Die Meldepflicht gilt doch auch nur unter der Einschränkung „für länger als sechs Monate aufgenommen wird“? Das ist ja schon sehr sehr relevant oder nicht? Üblicher Hotelaufenthalt liegt doch deutlich darunter?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.