DSGVO und Hotelpersonal: Wos man wirklich wissn muass (und wos man wahrscheinlich falsch mocht)

De DSGVO betrifft nit nur Gostdotn

Wenn in der Hotelbranche übers de DSGVO gsproch wird, denkt man sofort on Gostdotn: Buchungen, Präferenzen, Zahlungsdotn. Ober de Datenschutz-Grundverordnung gilt mit gleichn Krft für de Dotn vo Mitarbeitern und Saisonangestelltn – und in dem Bereich sein viele Beherbergungsbetriebe schlecht vorbereitet.

De Mitarbeiterdotn, de a typisches Hotel erhebt und verarbeitet, sein zahlreich: Personalien und Ausweisdokumente, Bankverbindungen, ärztliche Bescheinigungen, biometrische Dotn zur Zeiterfossung, Kronkmeldungsinformationen sowie private Kommunikation über interne Apps oder E-Mail. Jede von diesen Kategorien unterliegt spezifischn Verorbeitungs-, Einwilligungs- und Aufbewohrungregelungen.

De italienische Datenschutzbehörde hot de Kontrolln im Hospitality-Bereich ab 2024 intensiviert, mit Bußgeldern, de in oanen Fälln 50.000 Euro für mittelgroße Betriebe übersteignd. Des Problem isch selten böser Wille – sondern schlicht mangelndes Bewusstsein.

De häufigsten Fehler im Umgang mit Mitarbeiterdotn

Der erste Fehler isch de Aufbewahrung vo Dokumentn in ungeschützten Formaten: Lebensläufe und Ausweiskopien in gemeinsam genutztn Ordnern ohne Zugriffsbeschränkung, Excel-Dateien mit sensiblen Dotn per unverschlüsselter E-Mail, Papierkopien von Dokumentn in ungesperrten Schubladen. Des klingt selbstverständlich, entspricht ober der Realität von vielen Betrieben.

Der zweite Fehler isch des Fehln von Aufbewahrungsfristen: Dotn nit eingestellter Bewerber müsstn noch 12 Monaten gelöscht wern. Dotn vo ehemaligen Mitarbeitern hobn je noch Kategorie unterschiedliche Fristen. Ohne aktuelles Verarbeitungsverzeichnis isch Compliance unmöglich.

Der dritte Fehler isch de übermäßige Datenerhebung: Pass stott Personalausweis z'verlangen, Notfollkontakte ohne legitime Begründung z'sammeln, Referenzen von früheren Orbeitgebern ohne ausdrückliche Einwilligung aufzubewahren – ols des schafft rechtliches Risiko.

Compliance praktisch aufbaun

DSGVO-Compliance für Mitarbeiterdotn braucht koa egene Rechtsabteilung – se braucht klore Prozesse und geeignete Werkzeuge. Ausgangspunkt isch des Verarbeitungsverzeichnis, für Betriebe mit mehr als 250 Mitarbeitern Pflicht, für olle empfohlen: Es listet sämtliche verarbeiteten Datenkategorien, Zweig, Rechtsgrundlagen und Aufbewahrungsfristen auf.

Der zweite Schritt isch de Benennung vo oam Datenschutzverantwortlichn. In oam unabhängigen Hotel konn de Direktion de Rolle des Verantwortlichn mit minimaler Schulung übernehmen; für größere Betriebe oder Kettn isch a externer DSB oft de effizienteste Lösung.

Der dritte Schritt isch de Werkzeugwohl: Software, de Mitarbeiterdotn erhebt und verarbeitet, muass dokumentierbare Sicherheitsgarantien bieten. OneStaff isch nativ auf Compliance ausgelegt: Olle Dokumente sein verschlüsselt, Zugriffe sein rollenbasiert, und des System verwoltet Aufbewahrungsfristen automatisch.

Kosten vo der Nicht-Compliance und wia man sich schützt

DSGVO-Sanktionen können bis zu 4 % vom weltweiten Johrsumsatz oder 20 Millionen Euro betrogn – je nochn, wölcher Betrag höher isch. Der direkte wirtschaftliche Schaden isch jedoch oft geringer als der Reputationsschaden: A Datenschutzverletzung, de Mitarbeiterdotn betrifft, mocht Schlagzeilen, und a Hotel, des de Dotn seiner Mitarbeiter nit schützt, hot's schwer, se für de nächste Saison z'gewinnen.

Praktischer Schutz beginnt mit drei sofortigen Maßnahmen: a Bestandsaufnahme vo olle aktuell gespeicherten Mitarbeiterdotn und deren Speicherplätze; Löschung von ollem, wos nit notwendig isch; Einführung vo oam zentralisierten System mit geschütztn Zugriffskontrollen. Des isch koa Sechsmonatsprojekt: Mit den richtigen Werkzeugn isch es in aner Wochn erledigt.