Handlungsempfehlung KMULesezeit: 4 Min

Vorgaben im Hotel sicher umsetzen

Wie jetzt bekannt wurde, scheint es eine potentielle Sicherheitslücke bei einem Hotel-Check-in-System gegeben zu haben, welche den Gästen einen eigenständigen Check-in ermöglichen sollte. Dabei ging es um Schwachstellen eines Softwareanbieters, die durch die Recherche des IT-Sicherheitskollektivs „zerforschung“ aufgedeckt worden sein soll.

Wir zeigen Ihnen in diesem Blog-Artikel, was passiert ist und wieso der Datenschutz im Hotelgewerbe so wichtig ist.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?

Recherche zeigt Schwachstellen in Software

Wie Medien berichteten, betraf die Schwachstelle ein Hotel-Check-in-System eines Schweizer Softwareanbieters. Demnach sollen die Recherchen gezeigt haben, dass das System Sicherheitsmängel aufwies, die personenbezogene Daten und sogar Ausweisdokumente ersichtlich gemacht haben.

Mittlerweile ist es teilweise recht üblich, dass Reisende bereits vorab durch ein solches System den Check-in vornehmen. Viele Hotels und Hotelketten nutzen solche Systeme und auch das des Anbieters aus der Schweiz. Bei der Recherche soll nun aufgefallen sein, dass bei der Anlage eines Accounts zum Check-in der Zugriff auf die Daten anderer Hotelgäste möglich gewesen ist. Dabei sei keine andere Authentifizierung notwendig gewesen, sondern lediglich die Buchungsnummer des anderen Gastes. Dabei konnte, so die Berichte weiter, der Nutzer Rechnung, Ausweiskopien und Unterschriften einsehen.

Angreifer konnten alle Buchungen abrufen

Mit nur 26 Anfragen konnten die fingierten Angreifer bereits alle Buchungen im System abrufen, da laut Medienberichten die Buchungsnummern immer in der gleichen Art anfingen. Dabei hätten Sie, laut des Berichts, bei der betroffenen Hotelkette schätzungsweise auf rund 200.000 Buchungen und 90.000 Ausweisdokumente zugreifen können.

Datenschutz im Hotelgewerbe: Anforderungen und Umsetzung

Das Hotelgewerbe ist ein Dienstleistungsbereich, in dem täglich zahlreiche personenbezogene Daten verarbeitet werden. Von der Reservierung über den Check-in bis hin zur Abrechnung und Gästebetreuung fallen vielfältige Informationen an, die es gemäß den geltenden Datenschutzgesetzen zu schützen gilt.

Insbesondere die Datenschutzgrundverordnung (DS-GVO) sowie das Bundesdatenschutzgesetz (BDSG) legen klare Vorgaben fest, die Hotels einhalten müssen, um die Privatsphäre ihrer Gäste zu schützen und rechtliche Risiken zu vermeiden.

BLOG-TIPP: DATENLECKS: EINE GEFAHR FÜR PERSONENBEZOGENE DATEN

Relevante Datenschutzvorgaben für Hotels

Hotels verarbeiten personenbezogene Daten ihrer Gäste in großem Umfang. Die DS-GVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Adresse, Telefonnummer, E-Mail-Adresse, Zahlungsdaten, aber auch sensible Daten wie Gesundheitsinformationen, wenn etwa Angaben zu Allergien oder besonderen Bedürfnissen gemacht werden.

Das BDSG ergänzt die DS-GVO durch spezifische Regelungen für Deutschland, etwa hinsichtlich der Bestellung eines Datenschutzbeauftragten und der Verarbeitung besonderer Kategorien personenbezogener Daten.

Hotels sind als Verantwortliche im Sinne der DS-GVO verpflichtet, die Verarbeitung personenbezogener Daten transparent, rechtmäßig und zweckgebunden durchzuführen. Das bedeutet, dass sie die Daten nur für klar definierte Zwecke erheben und verarbeiten dürfen, etwa zur Erfüllung des Beherbergungsvertrags oder zur Abrechnung.

Welche personenbezogenen Daten werden im Hotel verarbeitet?

Im Hotelgewerbe fallen diverse Kategorien (personenbezogener) Daten an, darunter:

  • Stammdaten: Name, Anschrift, Geburtsdatum, Staatsangehörigkeit.
  • Kontaktdaten: Telefonnummer, E-Mail-Adresse.
  • Reisedaten: An- und Abreisedatum, Buchungsdetails, Aufenthaltsdauer.
  • Zahlungsinformationen: Kreditkartendaten, Bankverbindung.
  • besondere Daten: Angaben zu Sonderwünschen, Allergien oder gesundheitlichen Einschränkungen.
  • technische Daten: IP-Adressen bei Online-Buchungen, Cookies auf der Website.

Diese Daten werden sowohl bei der direkten Buchung im Hotel als auch über Online-Buchungsplattformen oder telefonisch erhoben.

Wo und wie werden personenbezogene Daten im Hotel verarbeitet?

Die Verarbeitung personenbezogener Daten erfolgt an verschiedenen Stellen im Hotelbetrieb:

  • Reservierungssysteme: Hier werden Buchungsdaten erfasst und verwaltet.
  • Rezeption: Beim Check-in werden Daten überprüft und erfasst, etwa zur Identitätsfeststellung und zur Ausstellung der Rechnung.
  • Zahlungsabwicklung: Zahlungsdaten werden verarbeitet, um die Bezahlung der Leistungen zu ermöglichen.
  • hausinterne Kommunikation: Informationen zu Gästewünschen oder besonderen Anforderungen werden an relevante Abteilungen weitergegeben.
  •  Online-Auftritt: Auf der Hotel-Website und in Online-Buchungssystemen werden Daten verarbeitet, beispielsweise durch Kontaktformulare oder Newsletter-Anmeldungen.

Umsetzung des Datenschutzes im Hotel

Um den Anforderungen der DS-GVO und des BDSG gerecht zu werden, sollten Hotels unterschiedliche Maßnahmen ergreifen. Dazu gehört die Erstellung eines Datenschutzkonzeptes – ein umfassendes Konzept, das alle Prozesse der Datenverarbeitung abdeckt und Verantwortlichkeiten definiert.

Technische und organisatorische Maßnahmen (TOM) wie Zugriffsbeschränkungen, Verschlüsselung von Daten, regelmäßige Schulungen der Mitarbeiter sowie sichere IT-Systeme müssen eingeführt werden. Auch die transparente Information gehört zum Datenschutz. Gäste müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden. Dies erfolgt meist durch eine Datenschutzerklärung auf der Website und Informationsblätter vor Ort (Betroffenenrechte). Wo erforderlich, etwa bei der Nutzung von Marketingmaßnahmen, muss eine ausdrückliche Einwilligung der Gäste eingeholt werden.

Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck notwendig sind. Zudem müssen Daten nach Ablauf der Aufbewahrungsfristen gelöscht oder anonymisiert werden (Datenminimierung). Werden externe Dienstleister, wie IT-Anbieter oder Buchungsplattformen, eingebunden, sind Verträge zur Auftragsverarbeitung abzuschließen.

BLOG-TIPP: WARUM DATENSCHUTZ FÜR ORGANISATIONEN MIT PERSONENBEZOGENEN DATEN UNERLÄSSLICH IST

Schutz von personenbezogenen Daten im Hotelgewerbe

Der Schutz personenbezogener Daten ist im Hotelgewerbe von zentraler Bedeutung. Die Einhaltung der DS-GVO und des BDSG schützt nicht nur die Rechte der Gäste, sondern bewahrt das Hotel vor Bußgeldern, sichert aber auch einen sicheren Hotelbetrieb. Eine sorgfältige Planung und Umsetzung der Datenschutzmaßnahmen ist daher unerlässlich.

Das Beispiel des Online-Check-in- Portals zeigt auch auf, warum Datenschutz und IT-Sicherheit so eng zusammen gesehen werden müssen.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Datenschutz in der Hotelbranche – Sicherheitslücke beim Online-Check-in
Markiert in:             
×
Anfrage