Griechenland – Die griechische Datenschutzbehörde hat eine weitreichende Warnung an die nationale Hotel- und Tourismusbranche ausgesprochen. Nach einer Reihe von Beschwerden über unzulässige Datenerfassung beim Check-in wurden Hotelverbände und Unterkünfte offiziell aufgefordert, das rechtswidrige Kopieren und Fotografieren von Ausweisdokumenten sowie Kreditkarten der Gäste umgehend einzustellen. Diese Praxis, die über Jahre hinweg zur vermeintlichen Absicherung von Transaktionen angewandt wurde, stellt einen massiven Verstoß gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) dar.
Das Wichtigste auf einen Blick
- Behörde verbietet das Fotografieren und Kopieren von Personalausweisen beim Check-in.
- Die Speicherung von Kreditkartendaten in Bildform durch Hotels ist strikt untersagt.
- Hotels müssen ihre internen Prozesse zur Datenerfassung umgehend überarbeiten.
Unzulässige Praktiken gefährden Gäste
Den Untersuchungen der Behörde zufolge haben zahlreiche Beherbergungsbetriebe routinemäßig Fotos oder Fotokopien der Personalausweise ihrer Gäste angefertigt. Als Begründung gaben die Einrichtungen häufig die Erfassung von Identifikationsdaten oder die Ausstellung von Steuerbelegen an. Noch weitreichender waren die Verstöße bei Zahlungsmitteln: Hotels fotografierten oder kopierten teilweise beide Seiten der Kreditkarten von Urlaubern, um diese Aufnahmen für den Fall künftiger Zahlungsstreitigkeiten aufzubewahren.
Die Datenschützer stellen klar, dass diese Methoden grundlegende Prinzipien der DSGVO verletzen. Insbesondere die Grundsätze der Rechtmäßigkeit, der Transparenz und der Datenminimierung werden durch die flächendeckende Kopie sensibler Dokumente ignoriert. Die Behörde betont ausdrücklich, dass derartige Praktiken das Risiko für unbefugten Zugriff, Identitätsbetrug und potenzielle finanzielle Schäden für die betroffenen Hotelgäste ungerechtfertigt erhöhen.
Klare Vorgaben für die Tourismusbranche
Um die Rechte der Besucher zu wahren und drohende Sanktionen abzuwenden, hat die Behörde offizielle Empfehlungen an die Panhellenische Föderation der Hoteliers, die Griechische Hotelkammer und den Verband der Tourismusunternehmer gerichtet. Diese Institutionen sind nun in der Pflicht, ihre Mitglieder über die strikte Anwendung der DSGVO-Richtlinien aufzuklären. Zur Einhaltung der Vorschriften wurden fünf verbindliche Vorgaben definiert.
Erstens dürfen Hotels künftig keine Fotokopien oder Fotos von Ausweisen, Reisepässen oder anderen Identifikationsdokumenten mehr anfertigen oder aufbewahren, da hierfür keine spezifische und klare gesetzliche Grundlage existiert. Zweitens ist das Fotografieren, Kopieren oder Speichern von Kredit- und Debitkarten der Gäste absolut untersagt. Drittens muss jede Verarbeitung personenbezogener Daten auf einer angemessenen Rechtsgrundlage beruhen, wobei eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Maßnahmen vorauszugehen hat.
Viertens werden die Betriebe verpflichtet, ihren Kunden klare, leicht zugängliche und aktuelle Informationen über die Verarbeitung ihrer Daten zur Verfügung zu stellen. Dies muss sowohl über die offiziellen Webseiten als auch über andere geeignete Kanäle geschehen. Fünftens müssen die Unterkünfte ihre internen Abläufe bei der Gästebetreuung, beim Check-in, bei Zahlungen und bei der Buchungsverwaltung grundlegend überprüfen. Das Personal ist entsprechend zu schulen, um die strikte Einhaltung des Prinzips der Datenminimierung künftig im Hotelalltag zu garantieren.
