• Deutsch
  • Datenschutz in Reiseunternehmen und Touristik nach Safe Harbor

Datenschutz in Reiseunternehmen: Rechtssicherheit nach Safe Harbor

Datenschutz und Rechtssicherheit für Reiseunternehmen und Touristiker - Teure Bußgelder vermeiden

Eine Übermittlung personenbezogener Daten aus Europa in die USA und andere Drittstaaten ist ohne zusätzliche vertragliche Absicherungen nicht mehr möglich. Datenschutzbehörden in Deutschland drohen bereits mit Bußgeldern auch gegen Reiseunternehmen. Das Branchenmagazin FVW berichtet über die Sorgen von Reisebüros mit einigen GDS-Systemen am 27.1.2016:

"jedem Reisebüro, welches ein CRS benutzt, und diesem seine Daten weiterhin auf Basis von ‚Safe Harbor‘ übermittelt, droht ein Bußgeld bis zu einer Höhe von 300.000 Euro".

Hintergrund: Die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) ist unwirksam und nichtig. Ein entsprechendes Urteil des Europäischen Gerichtshofs (EuGH) beruht auf einer Klage des österreichischen Online-Aktivisten Max Schrems gegen die irische Datenschutzbehörde.

Mit der Entscheidung des EuGH wurde einem Teil der bestehenden Datentransfers zwischen Reiseveranstaltern, Leistungsträgern und Vermittlern zwischen der EU und den USA die Rechtsgrundlage entzogen. Besonders US-amerikanische Internet-Booking-Engines (IBE), Global Distribution Systems (GDS), Computer Reservation Systems (CRS) sowie beliebte Cloud-Services, aber auch Newsletter-Dienstleister, Webanalyse-Anbieter sowie zahlreiche „lebenswichtige“ Dienste im CRM- und ERP-Bereich für die gesamte Travel Industry stehen vor einem rechtlichen Scherbenhaufen.

Als weiterführende Lektüre zu den Konsequenzen des EuGH-Urteils empfehlen wir unseren Beitrag "Sieg für die Bürgerrechte – Bürde für Unternehmen", in dem wir die Auswirkungen des Urteils auf die Wirtschaft umfassend beschrieben haben.

Datenschutz und Datensicherheit in Reiseunternehmen auf dem Prüfstand
Rechtssicherheit und Datenschutz: Herausforderung für Reiseunternehmen | Foto © pcross, iStock

Datenschutz in Reiseunternehmen: Keine Panik, sondern in Ruhe prüfen und besonnen handeln

Der Wegfall von Safe Harbor als Rechtfertigungsgrund für bestimmte Datentransfers in die USA betrifft alle Branchen,  Industrien und Medien. Mit Hochdruck arbeiten Politik und Wirtschaft auf beiden Seiten des Atlantik an einer Lösung. Tatsächlich sollten Reiseunternehmen jeder Größe das Thema zum Anlass nehmen und prüfen, ob sie tatsächlich ihren bestehenden datenschutzrechtlichen Verpflichtungen nachkommen, oder ob an der einen oder anderen Stelle Handlungsbedarf besteht.

Letzteres wird fast immer der Fall sein, denn Reiseunternehmen jeder Größe -vom Reisebüro bis zum OTA- haben in den letzten Jahren zunehmend IT-Services eingesetzt, die personenbezogenen Daten in Drittländer außerhalb der EU übermitteln und diese Übermittlung nicht vertraglich durch einen Auftragsdatenverarbeitungsvertrag (ADV) oder ähnlich sichere gesetzlich vorgeschriebene Schutzmechanismes abgesichert. Was versteht man unter einem solchen ADV-Vertrag und wann ist er erforderlich? Unsere Datenschutzexpertin und Rechtsanwältin Katja Rengers dazu:

"Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen gemäß § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen Customer Relationship Management (CRM), Newslettermarketing, IT-Support und Personal sowie bei allen konzernübergreifenden Datentransfers."

Details können Sie in unserem Beitrag "Auftragsdatenverarbeitung (ADV): Wenn die Datenverarbeitung ausgelagert wird" nachlesen. Allerdings kann ein solcher einfacher ADV-Vertrag nach § 11 BDSG oder ein inhaltlich ähnliches "Data Processor Agreement" nur die Datenverarbeitung zwischen Unternehmen innnerhalb Deutschlands oder Europas legalisieren.

Bei Datentransfers in die USA, die bisher ohne zusätzliche vertragliche Grundlage (das war der Sinn von Safe Harbor) möglich waren, müssen nun zumindest als Notlösung bis ein neues Safe Harbor-Abkommen zwischen den EU und den USA verhandelt ist, sogenannte EU-Standardvertragsklauseln (hier ein Link zu den gesetzlichen Vorgaben) geschlossen werden.

Bei Unternehmen der Touristik, die nicht ausschließlich über geschlossene Systeme buchen, sondern auch das Internet als Absatzkanal mit nutzen, sind von dieser Verpflichtung in erster Linie CRM-Anwendungen, bestimmte Web-CRS/GDS-Systeme, Internet Booking Engines, Webanalysetools, Cloudservices, Widgets sowie das Hosting von Webseiten betroffen.

Kostenlose Ersteinschätzung: Wir helfen unkompliziert und kompetent

Datenschutz in Reiseunternehmen: Zeit für einen Frühjahrscheck, los geht's! | Foto: Spirit Legal LLP (C) 2014
Datenschutz in Reiseunternehmen: Zeit für einen Frühjahrscheck, los geht's! | Foto: Spirit Legal LLP (C) 2014

Die Rechtsanwälte von Spirit Legal LLP beraten seit vielen Jahren Reiseveranstalter, Reisevermittler, Hotels, Incoming-Agenturen, Online-Portale und Destinationen in allen rechtlichen Fragen. Wir verfügen über spezialisiertes Fachwissen über alle touristischen Vertriebssysteme, Vertriebswege und insbesondere im Bereich der Travel Technology.

Wenn Sie Fragen zu Rechtssicherheit und Datenschutz Ihres Reiseunternehmens haben, kontaktieren Sie uns einfach.

In einem ersten Schritt werden wir prüfen, ob Sie überhaupt von der aktuellen Rechtsunsicherheit betroffen sind und handeln müssen, oder ob Sie sich vielmehr entspannt zurücklehnen können.

Unser Leistungsspektrum für Ihr Reiseunternehmen umfasst:

  • Konfliktlösung bei Anfragen von Behörden und Kunden im Bereich des Datenschutzrechts
  • Umfassende Prüfung und Beratung bei Datenschutz, Datensicherheit und Zahlungsdiensten (PCI-DSS)
  • Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen (ADV)
  • Erstellung und Prüfung von EU-Standardverträgen auf Basis der EU-Standardvertragsklauseln
  • Erstellung und Prüfung von Binding Corporate Rules (BCR) für Unternehmen
  • Bestellung als externe betriebliche Datenschutzbeauftragte
  • Beratung im Bereich Fraud Prevention und Geldwäsche
  • Beratung und Vertretung in marken- und wettbewerbsrechtlichen Streitigkeiten

Die Datenschutzexperten von Spirit Legal LLP sind Ihr zuverlässiger Partner beim Thema Datenschutz, Reise- und Tourismuswirtschaft, sprechen Sie uns an!

Gruppenfoto Spirit Legal LLP Rechtsanwälte in Leipzig
Newslettermarketing: Die Rechtsanwälte von Spirit Legal LLP beraten Sie gern

Treten Sie mit uns in Kontakt

Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

SPIRIT LEGAL LLP
Petersstraße 15, D-04109 Leipzig
Tel.: +49 800 2482000 (Freecall Dtl.)
Tel.: +49 700 11122777 (International)
Fax: +49 700 11122888
E-Mail: info@spiritlegal.com

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2016, alle Rechte vorbehalten




Spirit Legal LLP hat 4.77 von 5 Sterne | 42 Bewertungen auf ProvenExpert.com