Datenschutz in der Gastronomie und Hotellerie

Neues Datenschutzgesetz

Das Parlament hat am 25. September 2020 die Totalrevision des Datenschutzgesetzes (DSG) gutgeheissen. Seit dem 1. September 2023 ist das revidierte Datenschutzgesetz nun in Kraft. Alle Unternehmen in der Schweiz unterstehen diesem Gesetz. Der Datenschutz betrifft auch die Gastronomie und Hotellerie. Zusammengefasst regelt das Gesetz insbesondere folgende Punkte:

• Schutz von natürlichen Personen und deren Personendaten
• Informationspflicht für Unternehmen, wie Daten erhoben, verarbeitet und gespeichert werden
• Regelung zur Aufbewahrung und Löschung von Personendaten
• Sanktionen bei Missachtung des Datenschutzes

Da diese Punkte sehr allgemein gehalten sind, zeigen wir Ihnen weiter unten konkrete Beispiele, wie Sie den Datenschutz in der Gastronomie oder Hotellerie umsetzen sollten.

Datenschutz in der Gastronomie

In der Gastronomie muss der Datenschutz unter anderem auch auf der Webseite des Betriebes eingehalten werden. Was Sie zwingend erstellen müssen, ist eine Datenschutzerklärung. Diese muss für die Nutzer der Webseite gut zugänglich und verständlich sein. Darin halten Sie fest, wie Sie die Personendaten erheben und verarbeiten, um damit den Datenschutz einzuhalten. Personendaten werden meist über Kontaktformulare oder Onlineformulare für Reservationen erhoben. Aber auch Anmeldungen zu Newslettern zählen dazu. Alle Daten, die auf eine bestimmte Person zurückzuführen sind, gelten als Personendaten und sind vertraulich zu behandeln.

Jegliche Personendaten wie Namen, Telefonnummern, E-Mailadressen oder Ähnliches dürfen Sie so lange aufbewahren, wie es das Vertragsverhältnis zulässt. Grundsätzlich gelten in der Gastronomie Aufbewahrungspflichten von fünf bis zehn Jahren. Wünschen Kunden die Löschung der Personendaten, müssen Sie diesem Wunsch nachkommen. Falls eine Aufbewahrungspflicht gilt, aber die Löschung verlangt wird, so müssen Sie die Daten nicht löschen, sondern an einem geeigneten Ort archivieren. Diese Daten dürfen Sie nicht mehr verwenden und Sie müssen sie weiterhin schützen.

Datenschutz in der Hotellerie

Wie in der Gastronomie muss der Datenschutz in der Hotellerie unter anderem auch auf der Webseite eingehalten werden. Auch hier ist die Datenschutzerklärung zentral. Personendaten werden meist über Kontaktformulare oder Onlineformulare für Buchungen erhoben. Aber auch Anmeldungen zu Newslettern zählen dazu. Alle Daten, die auf eine bestimmte Person zurückzuführen sind, gelten als Personendaten und sind vertraulich zu behandeln.

Jegliche Personendaten wie Namen, Telefonnummern, E-Mailadressen oder Ähnliches dürfen Sie so lange aufbewahren, wie es das Vertragsverhältnis zulässt. Grundsätzlich gelten in der Hotellerie Aufbewahrungspflichten von fünf bis zehn Jahren. Wünschen Kunden die Löschung der Personendaten, müssen Sie diesem Wunsch nachkommen. Falls eine Aufbewahrungspflicht gilt, aber die Löschung verlangt wird, so müssen Sie die Daten nicht löschen, sondern an einem geeigneten Ort archivieren. Diese Daten dürfen Sie nicht mehr verwenden und Sie müssen sie weiterhin schützen.

Mitarbeiter schulen

Egal ob in der Gastronomie oder Hotellerie: Sie sollten Ihre Mitarbeiter gezielt schulen, damit der Umgang mit Personendaten reibungslos funktioniert. Nur so kann der Datenschutz gewährleistet werden. Eine praktische und flexible Lösung dafür bietet die LernZentrale. Mit dem E-Learning lernen Ihre Mitarbeiter das Wichtigste zum komplexen Thema Datenschutz auf kurzweilige und interaktive Weise – egal ob vom Smartphone oder Laptop aus.

Umsetzung Datenschutz

Fragen Sie sich zuerst, wo Sie welche Personendaten erheben. Daraus lässt sich bereits ein wichtiger Inhalt für die Datenschutzerklärung ableiten. Folgende Punkte müssen in einer Datenschutzerklärung mindestens enthalten sein:

• Kontaktmöglichkeit zur Verantwortlichen Person des Unternehmens
• Bearbeitungszwecke der Personendaten, weshalb Daten erfasst werden
• Weitergabe von Personendaten: Wie und an wen werden welche Daten weitergegeben?
• Übermittlung von Personendaten ins Ausland: Wohin werden Daten übermittelt?
• Erhebung von Personendaten bei Dritten: Welche Kategorie von Daten werden erhoben?

Die Datenschutzerklärung muss von Ihren Kundinnen nicht wie ein Vertrag unterzeichnet werden. Es handelt sich nur um eine Erklärung, die zur Kenntnis genommen wird. Sie müssen nur sicherstellen, dass die Datenschutzerklärung gut sichtbar und einfach zugänglich auf der Webseite platziert ist. Es ist auch wichtig, dass Sie unter Kontaktformularen oder Onlineformularen für Reservationen oder Buchungen die Datenschutzerklärung erwähnen und verlinken. Auch hier muss die Datenschutzerklärung nicht akzeptiert werden, die Erwähnung reicht.

Was Ihnen auf den meisten Webseiten jeweils entgegenspringt, ist der sogenannte Cookie-Banner. Dieser ist in der Schweiz aber nicht Pflicht. Es reicht, wenn Sie neben der Datenschutzerklärung einen Transparenzhinweis zugänglich machen. Dieser kann, muss aber nicht als Cookie-Banner erscheinen, sondern kann wie die Datenschutzerklärung auf der Webseite verlinkt sein. Darin werden die Nutzer Ihrer Webseite darauf hingewiesen, dass Sie Cookies verwenden. Zudem sollte die Ablehnungsmöglichkeit erwähnt sein, was meist aber bewirkt, dass die Nutzer die Webseite nicht mehr vollständig nutzen können.

Spitäler und Pflegeheime

Genau wie für die Gastronomie und Hotellerie gilt das Datenschutzgesetz auch für Spitäler und Pflegeheime. Da in Spitälern und Pflegeheimen mit sehr sensiblen Personendaten gearbeitet wird, ist hier besondere Vorsicht geboten. Der Schutz der Personendaten ist dabei zentral. Es gilt die Vorgaben der Branche zu berücksichtigen. Eine erste Hilfestellung bieten folgende Webseiten:

• Bundesamt für Gesundheit (BAG)
• Verbindung der Schweizer Ärztinnen und Ärzte (FMH)
• Föderation der Dienstleister für Menschen mit Unterstützungsbedarf (ARTISET)

DSG versus DSGVO

Das Datenschutzgesetz der Schweiz (DSG) ist nicht zu verwechseln mit der Europäischen Datenschutzgrundverordnung (DSGVO). Die DSGVO ist bereits seit 2018 in Kraft und regelt den Datenschutz innerhalb der Europäischen Union. Die DSGVO betrifft nicht nur Unternehmen mit Sitz in der EU, sondern auch Unternehmen, die Daten von Personen, welche in der EU ansässig sind, erheben und verarbeiten. Die DSGVO gilt deshalb auch für Unternehmen in der Schweiz, jedoch nicht für alle. Mit dem revidierten DSG gleicht sich die Schweiz der DSGVO an. Der Inhalt ist zwar nicht identisch, es werden aber mit beiden Gesetzen die gleichen Ziele verfolgt.

Wenn Sie in der Schweiz ein Hotel oder ein Restaurant betreiben, Gäste aus den EU-Staaten empfangen und deren Daten erheben, so müssen Sie sich sowohl an das Datenschutzgesetz der Schweiz (DSG) als auch an die Datenschutzgrundverordnung der Europäischen Union (DSGVO) halten.

Daten von Mitarbeitern

Zu den Daten, die Sie schützen müssen, gehören auch die Daten Ihrer Mitarbeiterinnen. Sie sollten die Mitarbeiterdossiers getrennt von Kundendaten verwahren und speichern. Behalten Sie die Personendaten Ihrer Mitarbeiter jeweils während der Zeit des Anstellungsverhältnisses. Bei einem Austritt aus dem Betrieb wandert das Mitarbeiterinnendossier für fünf Jahre ins Archiv. Sobald die Daten im Archiv sind, dürfen sie nicht mehr verwendet werden, ausser es kommt zu einem Rechtsstreit. Sonst sind die Daten nur aufzubewahren.

Fazit

Personendaten sollten mit Vorsicht behandelt werden und müssen gemäss dem Datenschutzgesetz (DSG) geschützt werden. Überprüfen Sie in Ihrem Betrieb, wo der Datenschutz wichtig ist, und halten Sie die Erhebung, die Bearbeitung und die Verwaltung der Personendaten in der Datenschutzerklärung fest. Für Betriebe in der Gastronomie und Hotellerie ist das insbesondere auf den Webseiten wichtig. Achten Sie hier besonders auf die Verarbeitung und Aufbewahrung der Personendaten Ihrer Gäste und auch Mitarbeiterinnen. Schaffen Sie Transparenz für Ihre Kundinnen und schulen Sie Ihre Mitarbeiter. So steht der konformen Umsetzung des Datenschutzgesetzes in Ihrem Betrieb nichts im Weg.

Das neue Datenschutzgesetz (DSG) kann hier online eingesehen werden.