Datenschutz in Reiseunternehmen und Touristik nach Safe Harbor
Datenschutz in Reiseunternehmen: Rechtssicherheit nach Safe Harbor
Datenschutz und Rechtssicherheit für Reiseunternehmen und Touristiker - Teure Bußgelder vermeiden
Eine Übermittlung personenbezogener Daten aus Europa in die USA und andere Drittstaaten ist ohne zusätzliche vertragliche Absicherungen nicht mehr möglich. Datenschutzbehörden in Deutschland drohen bereits mit Bußgeldern auch gegen Reiseunternehmen. Das Branchenmagazin FVW berichtet über die Sorgen von Reisebüros mit einigen GDS-Systemen am 27.1.2016:
"jedem Reisebüro, welches ein CRS benutzt, und diesem seine Daten weiterhin auf Basis von ‚Safe Harbor‘ übermittelt, droht ein Bußgeld bis zu einer Höhe von 300.000 Euro".
Hintergrund: Die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) ist unwirksam und nichtig. Ein entsprechendes Urteil des Europäischen Gerichtshofs (EuGH) beruht auf einer Klage des österreichischen Online-Aktivisten Max Schrems gegen die irische Datenschutzbehörde.
Mit der Entscheidung des EuGH wurde einem Teil der bestehenden Datentransfers zwischen Reiseveranstaltern, Leistungsträgern und Vermittlern zwischen der EU und den USA die Rechtsgrundlage entzogen. Besonders US-amerikanische Internet-Booking-Engines (IBE), Global Distribution Systems (GDS), Computer Reservation Systems (CRS) sowie beliebte Cloud-Services, aber auch Newsletter-Dienstleister, Webanalyse-Anbieter sowie zahlreiche „lebenswichtige“ Dienste im CRM- und ERP-Bereich für die gesamte Travel Industry stehen vor einem rechtlichen Scherbenhaufen.
Als weiterführende Lektüre zu den Konsequenzen des EuGH-Urteils empfehlen wir unseren Beitrag "Sieg für die Bürgerrechte – Bürde für Unternehmen", in dem wir die Auswirkungen des Urteils auf die Wirtschaft umfassend beschrieben haben.
Datenschutz in Reiseunternehmen: Keine Panik, sondern in Ruhe prüfen und besonnen handeln
Der Wegfall von Safe Harbor als Rechtfertigungsgrund für bestimmte Datentransfers in die USA betrifft alle Branchen, Industrien und Medien. Mit Hochdruck arbeiten Politik und Wirtschaft auf beiden Seiten des Atlantik an einer Lösung. Tatsächlich sollten Reiseunternehmen jeder Größe das Thema zum Anlass nehmen und prüfen, ob sie tatsächlich ihren bestehenden datenschutzrechtlichen Verpflichtungen nachkommen, oder ob an der einen oder anderen Stelle Handlungsbedarf besteht.
Letzteres wird fast immer der Fall sein, denn Reiseunternehmen jeder Größe -vom Reisebüro bis zum OTA- haben in den letzten Jahren zunehmend IT-Services eingesetzt, die personenbezogenen Daten in Drittländer außerhalb der EU übermitteln und diese Übermittlung nicht vertraglich durch einen Auftragsdatenverarbeitungsvertrag (ADV) oder ähnlich sichere gesetzlich vorgeschriebene Schutzmechanismes abgesichert. Was versteht man unter einem solchen ADV-Vertrag und wann ist er erforderlich? Unsere Datenschutzexpertin und Rechtsanwältin Katja Rengers dazu:
"Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen gemäß § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen Customer Relationship Management (CRM), Newslettermarketing, IT-Support und Personal sowie bei allen konzernübergreifenden Datentransfers."
Details können Sie in unserem Beitrag "Auftragsdatenverarbeitung (ADV): Wenn die Datenverarbeitung ausgelagert wird" nachlesen. Allerdings kann ein solcher einfacher ADV-Vertrag nach § 11 BDSG oder ein inhaltlich ähnliches "Data Processor Agreement" nur die Datenverarbeitung zwischen Unternehmen innnerhalb Deutschlands oder Europas legalisieren.
Bei Datentransfers in die USA, die bisher ohne zusätzliche vertragliche Grundlage (das war der Sinn von Safe Harbor) möglich waren, müssen nun zumindest als Notlösung bis ein neues Safe Harbor-Abkommen zwischen den EU und den USA verhandelt ist, sogenannte EU-Standardvertragsklauseln (hier ein Link zu den gesetzlichen Vorgaben) geschlossen werden.
Bei Unternehmen der Touristik, die nicht ausschließlich über geschlossene Systeme buchen, sondern auch das Internet als Absatzkanal mit nutzen, sind von dieser Verpflichtung in erster Linie CRM-Anwendungen, bestimmte Web-CRS/GDS-Systeme, Internet Booking Engines, Webanalysetools, Cloudservices, Widgets sowie das Hosting von Webseiten betroffen.
Kostenlose Ersteinschätzung: Wir helfen unkompliziert und kompetent
Die Rechtsanwälte von Spirit Legal beraten seit vielen Jahren Reiseveranstalter, Reisevermittler, Hotels, Incoming-Agenturen, Online-Portale und Destinationen in allen rechtlichen Fragen. Wir verfügen über spezialisiertes Fachwissen über alle touristischen Vertriebssysteme, Vertriebswege und insbesondere im Bereich der Travel Technology.
Wenn Sie Fragen zu Rechtssicherheit und Datenschutz Ihres Reiseunternehmens haben, kontaktieren Sie uns einfach.
In einem ersten Schritt werden wir prüfen, ob Sie überhaupt von der aktuellen Rechtsunsicherheit betroffen sind und handeln müssen, oder ob Sie sich vielmehr entspannt zurücklehnen können.
Unser Leistungsspektrum für Ihr Reiseunternehmen umfasst:
Konfliktlösung bei Anfragen von Behörden und Kunden im Bereich des Datenschutzrechts
Umfassende Prüfung und Beratung bei Datenschutz, Datensicherheit und Zahlungsdiensten (PCI-DSS)
Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen (ADV)
Erstellung und Prüfung von EU-Standardverträgen auf Basis der EU-Standardvertragsklauseln
Erstellung und Prüfung von Binding Corporate Rules (BCR) für Unternehmen
Bestellung als externe betriebliche Datenschutzbeauftragte
Beratung im Bereich Fraud Prevention und Geldwäsche
Beratung und Vertretung in marken- und wettbewerbsrechtlichen Streitigkeiten
Die Datenschutzexperten von Spirit Legal LLP sind Ihr zuverlässiger Partner beim Thema Datenschutz, Reise- und Tourismuswirtschaft, sprechen Sie uns an!
Treten Sie mit uns in Kontakt
Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.