Datenschutz in Reiseunternehmen: Rechtssicherheit nach Safe Harbor

Datenschutz und Rechtssicherheit für Reiseunternehmen und Touristiker - Teure Bußgelder vermeiden

Eine Übermittlung personenbezogener Daten aus Europa in die USA und andere Drittstaaten ist ohne zusätzliche vertragliche Absicherungen nicht mehr möglich. Datenschutzbehörden in Deutschland drohen bereits mit Bußgeldern auch gegen Reiseunternehmen. Das Branchenmagazin FVW berichtet über die Sorgen von Reisebüros mit einigen GDS-Systemen am 27.1.2016:

"jedem Reisebüro, welches ein CRS benutzt, und diesem seine Daten weiterhin auf Basis von ‚Safe Harbor‘ übermittelt, droht ein Bußgeld bis zu einer Höhe von 300.000 Euro".

Hintergrund: Die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) ist unwirksam und nichtig. Ein entsprechendes Urteil des Europäischen Gerichtshofs (EuGH) beruht auf einer Klage des österreichischen Online-Aktivisten Max Schrems gegen die irische Datenschutzbehörde.

Mit der Entscheidung des EuGH wurde einem Teil der bestehenden Datentransfers zwischen Reiseveranstaltern, Leistungsträgern und Vermittlern zwischen der EU und den USA die Rechtsgrundlage entzogen. Besonders US-amerikanische Internet-Booking-Engines (IBE), Global Distribution Systems (GDS), Computer Reservation Systems (CRS) sowie beliebte Cloud-Services, aber auch Newsletter-Dienstleister, Webanalyse-Anbieter sowie zahlreiche „lebenswichtige“ Dienste im CRM- und ERP-Bereich für die gesamte Travel Industry stehen vor einem rechtlichen Scherbenhaufen.

Als weiterführende Lektüre zu den Konsequenzen des EuGH-Urteils empfehlen wir unseren Beitrag "Sieg für die Bürgerrechte – Bürde für Unternehmen", in dem wir die Auswirkungen des Urteils auf die Wirtschaft umfassend beschrieben haben.

Datenschutz und Datensicherheit in Reiseunternehmen auf dem Prüfstand — Rechtssicherheit und Datenschutz: Herausforderung für Reiseunternehmen | Foto © pcross, iStock

Datenschutz in Reiseunternehmen: Keine Panik, sondern in Ruhe prüfen und besonnen handeln

Der Wegfall von Safe Harbor als Rechtfertigungsgrund für bestimmte Datentransfers in die USA betrifft alle Branchen, Industrien und Medien. Mit Hochdruck arbeiten Politik und Wirtschaft auf beiden Seiten des Atlantik an einer Lösung. Tatsächlich sollten Reiseunternehmen jeder Größe das Thema zum Anlass nehmen und prüfen, ob sie tatsächlich ihren bestehenden datenschutzrechtlichen Verpflichtungen nachkommen, oder ob an der einen oder anderen Stelle Handlungsbedarf besteht.

Letzteres wird fast immer der Fall sein, denn Reiseunternehmen jeder Größe -vom Reisebüro bis zum OTA- haben in den letzten Jahren zunehmend IT-Services eingesetzt, die personenbezogenen Daten in Drittländer außerhalb der EU übermitteln und diese Übermittlung nicht vertraglich durch einen Auftragsdatenverarbeitungsvertrag (ADV) oder ähnlich sichere gesetzlich vorgeschriebene Schutzmechanismes abgesichert. Was versteht man unter einem solchen ADV-Vertrag und wann ist er erforderlich? Unsere Datenschutzexpertin und Rechtsanwältin Katja Rengers dazu:

"Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen gemäß § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen Customer Relationship Management (CRM), Newslettermarketing, IT-Support und Personal sowie bei allen konzernübergreifenden Datentransfers."

Details können Sie in unserem Beitrag "Auftragsdatenverarbeitung (ADV): Wenn die Datenverarbeitung ausgelagert wird" nachlesen. Allerdings kann ein solcher einfacher ADV-Vertrag nach § 11 BDSG oder ein inhaltlich ähnliches "Data Processor Agreement" nur die Datenverarbeitung zwischen Unternehmen innnerhalb Deutschlands oder Europas legalisieren.

Bei Datentransfers in die USA, die bisher ohne zusätzliche vertragliche Grundlage (das war der Sinn von Safe Harbor) möglich waren, müssen nun zumindest als Notlösung bis ein neues Safe Harbor-Abkommen zwischen den EU und den USA verhandelt ist, sogenannte EU-Standardvertragsklauseln (hier ein Link zu den gesetzlichen Vorgaben) geschlossen werden.

Bei Unternehmen der Touristik, die nicht ausschließlich über geschlossene Systeme buchen, sondern auch das Internet als Absatzkanal mit nutzen, sind von dieser Verpflichtung in erster Linie CRM-Anwendungen, bestimmte Web-CRS/GDS-Systeme, Internet Booking Engines, Webanalysetools, Cloudservices, Widgets sowie das Hosting von Webseiten betroffen.

Kostenlose Ersteinschätzung: Wir helfen unkompliziert und kompetent

Datenschutz in Reiseunternehmen: Zeit für einen Frühjahrscheck, los geht's! | Foto: Spirit Legal LLP (C) 2014

Die Rechtsanwälte von Spirit Legal beraten seit vielen Jahren Reiseveranstalter, Reisevermittler, Hotels, Incoming-Agenturen, Online-Portale und Destinationen in allen rechtlichen Fragen. Wir verfügen über spezialisiertes Fachwissen über alle touristischen Vertriebssysteme, Vertriebswege und insbesondere im Bereich der Travel Technology.

Wenn Sie Fragen zu Rechtssicherheit und Datenschutz Ihres Reiseunternehmens haben, kontaktieren Sie uns einfach.

In einem ersten Schritt werden wir prüfen, ob Sie überhaupt von der aktuellen Rechtsunsicherheit betroffen sind und handeln müssen, oder ob Sie sich vielmehr entspannt zurücklehnen können.

Unser Leistungsspektrum für Ihr Reiseunternehmen umfasst:

Konfliktlösung bei Anfragen von Behörden und Kunden im Bereich des Datenschutzrechts
Umfassende Prüfung und Beratung bei Datenschutz, Datensicherheit und Zahlungsdiensten (PCI-DSS)
Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen (ADV)
Erstellung und Prüfung von EU-Standardverträgen auf Basis der EU-Standardvertragsklauseln
Erstellung und Prüfung von Binding Corporate Rules (BCR) für Unternehmen
Bestellung als externe betriebliche Datenschutzbeauftragte
Beratung im Bereich Fraud Prevention und Geldwäsche
Beratung und Vertretung in marken- und wettbewerbsrechtlichen Streitigkeiten

Die Datenschutzexperten von Spirit Legal LLP sind Ihr zuverlässiger Partner beim Thema Datenschutz, Reise- und Tourismuswirtschaft, sprechen Sie uns an!

Treten Sie mit uns in Kontakt

Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

SPIRIT LEGAL Fuhrmann Hense Partnerschaft von Rechtsanwälten
Neumarkt 16-18, D-04109 Leipzig
Tel.: +49 (0) 341 - 39297890
Fax: +49 (0) 341 - 39297899
E-Mail: info@spiritlegal.com

Ihr Ansprechpartner:

Peter Hense

Rechtsanwalt, Partner

Peter Hense ist Rechtsanwalt, Partner und Head of Data & Technology bei Spirit Legal. Er berät bekannte nationale und internationale Unternehmen bei der Umsetzung digitaler Geschäftsmodelle in den Bereichen IT, Datenschutz und Wettbewerb.

Katja Rengers

Zertifizierte Datenschutzbeauftragte (TüV)

Ihre Ansprechpartnerin für Datenschutz, Marken- & Wettbewerbsrecht, Medienrecht, sowie Travel Industry Law – Ich berate Sie gern!

Naida Šehić

Wirtschaftsjuristin, CIPP/E, Zertifizierte Datenschutzbeauftragte (TüV)

Naida Šehić ist Wirtschaftsjuristin im internationalen Wettbewerbs- und Kartellrecht sowie im Datenschutzrecht.

Was suchen Sie?

Aktuelle Beiträge zum Thema „Datenschutz“

21.03.2024 | Bettina Blawert

IAPP KnowledgeNet Leipzig Webinar: 09.04.24 Data Act

Am 11.01.2024 trat der Data Act in Kraft und ist ab 12.09.2025 EU-weit direkt anwendbares Recht. Unsere Referent*innen Dr. Kristina Schreiber und Christian Aretz beantworten Ihre Fragen. lesen

06.02.2024 | Peter Hense

K&R: Geeignete technische und organisatorische Maßnahmen bei Cyberangriff

Peter Hense bespricht und kommentiert für K&R das EuGH Urteil vom 14. 12. 2023 – C-340/21. lesen

04.12.2023 | Elisabeth Niekrenz

Dezember Webinar Whistleblowing & Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz legt Unternehmen im Zusammenhang mit Informationen über interne Rechtstöße neue Verpflichtungen auf. Elisabeth Niekrenz & Mark Vitorovic erläutern im kostenfreien Webinar am 8.12.23, wie sie diese effektiv umsetzen können. lesen

Übersicht aller Beiträge