DSGVO und Hotelpersonal: Was Sie wirklich wissen müssen (und was Sie wahrscheinlich falsch machen)

Die DSGVO betrifft nicht nur Gästdaten

Wenn in der Hotelbranche über die DSGVO gesprochen wird, denkt man sofort an Gästdaten: Buchungen, Präferenzen, Zahlungsdaten. Doch die Datenschutz-Grundverordnung gilt mit gleicher Kraft für die Daten von Mitarbeitern und Saisonangestellten – und in diesem Bereich sind viele Beherbergungsbetriebe schlecht vorbereitet.

Die Mitarbeiterdaten, die ein typisches Hotel erhebt und verarbeitet, sind zahlreich: Personalien und Ausweisdokumente, Bankverbindungen, ärztliche Bescheinigungen und Arbeitstauglichkeitserklärungen, biometrische Daten zur Zeiterfassung, Krankmeldungsinformationen sowie private Kommunikation über interne Apps oder E-Mail. Jede dieser Kategorien unterliegt spezifischen Verarbeitungs-, Einwilligungs- und Aufbewahrungsregeln.

Der Garante per la Protezione dei Dati Personali – die italienische Datenschutzbehörde – hat die Kontrollen im Hospitality-Bereich ab 2024 intensiviert, mit Bußgeldern, die in einigen Fällen 50.000 Euro für mittelgroße Betriebe übersteigen. Das Problem ist selten böser Wille, sondern schlicht mangelndes Bewusstsein.

Die häufigsten Fehler im Umgang mit Mitarbeiterdaten

Der erste Fehler ist die Aufbewahrung von Dokumenten in ungeschützten Formaten: Lebensläufe und Ausweiskopien in gemeinsam genutzten Ordnern ohne Zugriffsbeschränkung, Excel-Dateien mit sensiblen Daten per unverschlüsselter E-Mail, Papierkopien von Dokumenten in ungesperrten Schubladen. Das klingt selbstverständlich, entspricht aber der Realität vieler Betriebe.

Der zweite Fehler ist das Fehlen von Aufbewahrungsfristen: Daten nicht eingestellter Bewerber müssen nach 12 Monaten gelöscht werden. Daten ehemaliger Mitarbeiter haben je nach Kategorie unterschiedliche Fristen – Steuerdaten bis zu 10 Jahre, interne Kommunikation kürzer. Ohne aktuelles Verarbeitungsverzeichnis ist Compliance unmöglich.

Der dritte Fehler ist die übermäßige Datenerhebung: Pass statt Personalausweis zu verlangen, Notfallkontakte ohne legitime Begründung zu sammeln, Referenzen früherer Arbeitgeber ohne ausdrückliche Einwilligung aufzubewahren – all das schafft rechtliches Risiko.

Compliance praktisch aufbauen

DSGVO-Compliance für Mitarbeiterdaten erfordert keine eigene Rechtsabteilung – sie braucht klare Prozesse und geeignete Werkzeuge. Ausgangspunkt ist das Verarbeitungsverzeichnis, für Betriebe mit mehr als 250 Mitarbeitern Pflicht, für alle empfohlen: Es listet sämtliche verarbeiteten Datenkategorien, Zwecke, Rechtsgrundlagen und Aufbewahrungsfristen auf.

Der zweite Schritt ist die Benennung eines Datenschutzverantwortlichen (und die Prüfung, ob ein DSB erforderlich ist). In einem unabhängigen Hotel kann die Direktion die Rolle des Verantwortlichen mit minimaler Schulung übernehmen; für größere Betriebe oder Ketten ist ein externer DSB oft die effizienteste Lösung.

Der dritte Schritt ist die Werkzeugwahl: Software, die Mitarbeiterdaten erhebt und verarbeitet, muss dokumentierbare Sicherheitsgarantien bieten – Datenverschlüsselung, Zugriffsprotokollierung, Backup und Disaster Recovery. OneStaff ist nativ auf Compliance ausgelegt: Alle Dokumente sind verschlüsselt, Zugriffe sind rollenbasiert, und das System verwaltet Aufbewahrungsfristen automatisch.

Kosten der Nicht-Compliance und wie man sich schützt

DSGVO-Sanktionen können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen – je nachdem, welcher Betrag höher ist. Der direkte wirtschaftliche Schaden ist jedoch oft geringer als der Reputationsschaden: Ein Datenschutzverstoß, der Mitarbeiterdaten betrifft, macht Schlagzeilen, und ein Hotel, das die Daten seiner Mitarbeiter nicht schützt, hat es schwer, sie für die nächste Saison zu gewinnen.

Praktischer Schutz beginnt mit drei sofortigen Maßnahmen: eine Bestandsaufnahme aller aktuell gespeicherten Mitarbeiterdaten und deren Speicherorte; Löschung von allem, was nicht notwendig ist; Einführung eines zentralisierten Systems mit geschützten Zugriffskontrollen. Das ist kein Sechsmonatsprojekt: Mit den richtigen Werkzeugen ist es in einer Woche erledigt.