www.hogast.com Icon hogast.com Webseite office@hogast.at Icon Emailadresse +43 6246 / 8963-0Icon Telefonnummer Logins Icon Schliesen
EasyGoing öffnen
JobOffice öffnen

„Fünf vor zwölf“ bei der Datensicherheit

Spektrum

Kaum ein Problem ist für die Existenz eines Tourismusbetriebs so grundlegend wie die Datensicherheit. Sie tangiert nicht nur Persönlichkeitsrechte von Gästen und auch von Bewerbern. Vor allem stellt sich die Frage, welche IT-Lösungen Sie zum Schutz vor Cyberattacken anwenden. Denn ein Hackerangriff kann im Extremfall den Verlust ALLER Daten bedeuten – und das würde wohl kaum ein Unternehmen überstehen. Gut, dass Ihnen die HOGAST mit Fachwissen und Experten, eigenen Maßnahmen und kompetenten Lieferpartnern hilft, sich zu schützen. Zudem geben wir Ihnen mit Blick auf die im Mai 2018 in Kraft tretende Datenschutzgrundverordnung einen Überblick über wichtige Pflichten, Gebote und Verbote.

 

I. Die „Bedrohungslage“: Was ist zu tun?

Wissen Sie, wo Ihre Daten abgespeichert sind? Wie sind sie abgesichert? Gibt es ein Back-up … und wenn ja, wo finden Sie es? Und wer kümmert sich im Notfall um die Rettung bzw. Wiederherstellung Ihres EDV-Systems? All das sind essenzielle Punkte, um Ihr Hotel oder Restaurant vor existenzbedrohenden Schäden durch Cyberangriffe zu bewahren. Dazu kommen diverse Rechtsmaterien, allen voran die Datenschutzgrundverordnung (siehe Punkt II). „Die Datenschutzgrundverordnung zwingt Hoteliers und Gastronomen zu mehreren Maßnahmen. Zunächst einmal besteht eine umfassende Dokumentationspflicht: Man muss darlegen können, welche persönlichen Daten man hat, warum man sie hat und vor allem auch, wie sie geschützt werden“, erklärt der IT-Bereichsleiter der HOGAST, Roland Stedile. „Um diese Punkte klären zu können, braucht es in jedem Betrieb einen Datenschutzkoordinator.“

Pflicht zum Datenschutz

Folgende Fragen müssen sich HOGAST-Mitgliedsbetriebe, die das noch nicht getan haben, dringend stellen:

  • Wo sind und wie oft werden meine Daten gesichert? Damit zusammenhängend: Die Datenrücksicherung ist einmal im Jahr zu prüfen.
  • Wie sieht mein Notfallkonzept aus, was tue ich also im Fall eines unberechtigten Zugriffs auf meine Daten von außen oder bei einem Systemausfall?
  • Wie aktuell sind meine Firewall und meine Computersysteme?
  • Ist meine Anti-Virus-Software auf dem neuesten Stand?
  • Wer überwacht mein Computer-Netzwerk, sodass ein Datenklau in meinem Unternehmen überhaupt auffällt?
  • Wie werden meine Mitarbeiter im Bereich des Datenschutzes und der Datensicherheit geschult?
  • Und last but not least: Welche personenbezogenen Daten werden überhaupt gespeichert?

Ein vitales Eigeninteresse am Datenschutz und die rechtliche Pflicht dazu gehen somit Hand in Hand. Was den rechtlichen Aspekt betrifft, meint Roland Stedile: „Das Problem ist, dass man als Verantwortlicher in einem Betrieb erklären können muss, warum man bestimmte personenbezogene Daten verarbeitet. Geburtsdatum und Telefonnummer gelten bereits als personenbezogene Daten. Allergien sind als gesundheitsbezogene Daten sogar als sensibel eingestuft und müssen speziell betrachtet werden.“ Jedenfalls muss man sich mit all dem auseinandersetzen.

 

II. Das Regelwerk: Datenschutzgrundverordnung & Co.

Eigentlich ist die neue Datenschutzgrundverordnung (DSVGO) seit Mai 2016 in Kraft und im gesamten EU-Raum gültig. Warum rückt das Thema also gerade jetzt in das Zentrum des öffentlichen Interesses? Zum einen, weil die größer werdende Zahl an Cyberattacken die Menschen für das Thema sensibilisiert hat. Zum anderen, weil das Regelwerk zwei Jahre nach dem In-Kraft-Treten, also in wenigen Monaten, seine volle Wirkung entfaltet. Mit anderen Worten: Wer noch nicht gehandelt hat, muss es jetzt tun!

In den meisten europäischen Staaten und damit für die meisten Unternehmen, nicht nur im Tourismus, ändert sich die Rechtslage von Grund auf. Denn die alte EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995 und konnte von jedem Mitgliedsland in ein eigenes Gesetz umgewandelt werden. Daraus hat sich eine große Diskrepanz im Bereich der Normen und Strafen geben. Zudem – das noch größere Problem – entsprach die über 20 Jahre alte Regelung bei Weitem nicht mehr dem aktuellen Stand der (Kommunikations-)Technik. Beide Mankos sollen nun beseitigt werden.

Die Regel und ihre Ausnahmen

Was aber bedeutet die DSVGO in der Praxis von Hotels und Restaurants? Kurz gesagt: An sich ist jede Verarbeitung von Gästedaten verboten! Es gibt aber klar geregelte Ausnahmen, nämlich:

  • wenn der Betroffene seine Einwilligung zur Verarbeitung gegeben hat,
  • die Verarbeitung zur Erfüllung eines Vertrages, bei dem der Betroffene ein Vertragsteil ist, notwendig ist,
  • zur Erfüllung einer rechtlichen Verpflichtung,
  • um lebenswichtige Interessen des Betroffenen zu schützen sowie
  • zur Wahrung der berechtigten Interessen eines Dritten.

Eine ganz wesentliche Änderung durch die Datenschutzgrundverordnung betrifft mögliche Strafen. War eine Mahnung durch Verbraucherschutz bzw. Datenschutzbehörde die „härteste“ Maßnahme in der alten EU-Richtlinie, drohen künftig Geldstrafen in der Höhe von bis zu 20 Millionen Euro.

Weitere Gesetze und Verordnungen

Für die Tourismusbranche von herausragender Wichtigkeit ist neben der DSVGO der Payment Card Industry Data Security Standard, kurz: PCI DSS. Er wurde entwickelt, um die Sicherheit der Karteninhaber zu verbessern und regelt unter anderem Anforderungen bezüglich der Verschlüsselung von Karteninformationen und des Schutzes der Karteninhaberdaten. Einen genauen Überblick über alle Rechtsmaterien und andere Aspekte der Datensicherheit inklusive der notwendigen ersten Schritte finden HOGAST-Mitglieder im gleichnamigen Punkt im EasyGoing.

 

III. Ihr Plus: Die HOGAST hilft!

HOGAST-Mitglieder haben bei der Umsetzung des Datenschutzes neben dem Informationsvorsprung durch das EasyGoing-Informationsmaterial weitere entscheidende Vorteile gegenüber den Mitbewerbern. Das beginnt schon bei der Analyse des Ist-Zustandes in puncto Datensicherheit, also einem IT-Audit. „Ein externer Experte prüft Sie und sagt Ihnen, was zu tun ist – Sie haben also einen Maßnahmenplan, um den Datenschutz in Ihrem Unternehmen zu verbessern“, schildert Roland Stedile.

Der zuständigen Expertin in der HOGAST-Investitionsgüter-Abteilung, Sandra Andres, ist es gelungen, ein attraktives Angebot mit den Beratungsprofis von Deloitte abzuschließen. Dieser Partner bietet einen umfassenden IT-Quick-Check (Dauer nur ein bis zwei Tage) zu Sonderkonditionen an, der alle relevanten Gesetzesmaterien und Gefahren berücksichtigt. Weitere HOGAST-Lieferpartner stehen für die Umsetzung der vorgeschlagenen Maßnahmen zur Verfügung.

Für alle Fälle: Cyberversicherung

Weiters sehr zu empfehlen ist die HOGAST-Cyberversicherung. Denn selbst die besten Sicherheitsvorkehrungen sind kein hundertprozentiger Schutz gegen Hackerangriffe. Mit dem Versicherungspaket sind sowohl Vermögensschäden Dritter als auch Ihr Eigenschaden versichert, also ein Rundum-Paket für die unmittelbare Schadensbehebung. Dieses umfasst beispielsweise:

  • Übernahme der Kosten für die Spurensicherung und Täterverfolgung,
  • Kostenerstattung für die Wiederherstellung von Daten, der Systeme oder des Netzwerks,
  • Übernahme von Betriebsunterbrechungsschäden,
  • Erfüllung von begründeten oder Abwehr von unbegründeten Vermögensschäden Dritter,
  • Kostenerstattung für Krisen- und PR-Beratung.

 

IV. Der Spezialfall: Bewerberdaten

Das Gastro-Leben besteht nicht nur aus Gästen – auch Bewerberdaten werden gesammelt. Bei ihnen gelten die gleichen Verbote und Gebote wie bei den Kunden. Das heißt vor allem, dass auch sie, wie in der DSVGO vorgesehen, die Einwilligung zur Verarbeitung ihrer Daten geben müssen. Diese ist spätestens mit Abschluss eines Bewerbungsprozesses, also mit der Entscheidung für einen Mitarbeiter, einzuholen. Passiert das nicht, sind alle Bewerberdaten zu diesem Zeitpunkt zu löschen.

Die Bewerber haben darüber hinaus ein umfassendes Informationsrecht, was die Verarbeitung ihrer Daten betrifft. Konkret darf jeder Bewerber u. a. Namen und Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten sowie der Empfänger, falls die Daten weitergegeben werden, die Dauer der Speicherung oder, wenn sich diese Zeitspanne nicht genau festlegen lässt, Kriterien für die Dauer der Speicherung erfragen. Er kann außerdem verlangen, dass seine Daten berichtigt, ergänzt, aber auch gelöscht werden. Eine Löschung hat unverzüglich zu erfolgen, wenn die Einwilligung zur Datenverarbeitung zurückgezogen wird.

Mit JobOffice im grünen Bereich

Was den Bewerbungsprozess angeht, ist neben der Datenschutzgrundverordnung auch die ePrivacy-Verordnung zu beachten. Sie regelt z. B., dass Job-Kandidaten nur nach ihrer vorherigen Zustimmung per E-Mail oder in sozialen Netzwerken wie Xing oder Facebook kontaktiert werden dürfen. Im Raum steht noch die Frage, ob es in Österreich eine Opt-out-Lösung geben wird. Das würde bedeuten, dass man weiterhin Werbeanrufe und -mails tätigen darf, solange der Adressat dem nicht ausdrücklich widersprochen hat.

In Sicherheit kann man sich jedenfalls wiegen, wenn man die „verfügbaren Personen“ im HOGAST-JobOffice kontaktiert, denn diese haben schon mit ihrer Registrierung bei hogastjob.com ihr Einverständnis gegeben, von Betrieben kontaktiert werden zu dürfen. Bei Fragen zum Spezialfall Bewerberdaten können Sie sich gerne an Nadine Luz, Bereichsleiterin für Personaldienstleistungen, und ihr Team wenden.

*** *** ***

Mehr zum Thema:
http://tinyurl.com/HOGAST-Datensicherheit

*** *** ***

IHRE HOGAST-EXPERTINNEN UND -EXPERTEN:

Sandra Andres
HOGAST-Expertin für Datenschutz-Lösungen
T: +43 (0)6246 8963 255
andres@hogast.at

Roland Stedile
HOGAST-Bereichsleiter IT
T: +43 (0)6246 8963 401
stedile@hogast.at

Nadine Luz, M.A.
HOGAST-Bereichsleiterin Personaldienstleistungen
T: +43 (0)6246 8963 501
luz@hogast.at

Mag. Günther Pontasch
Leiter HOGAST-Versicherungsagentur
T: +43 (0)6246 8963 121
pontasch@hogast.at

 

Titelbild: iStock
29. Dezember 2017
Zurück Nächster Artikel
Lesezeichen setzen
Noch kein Mitglied?
Newsletter für Interessierte:
Icon Werben Werben auf
hogast-pluspunkt.at Icon Werben