München, Februar 2022 – Datenschutz ist wichtig – Punkt. Da Unternehmen – einschließlich Hotelketten – immer mehr personenbezogene Daten von Verbrauchern zu Marketing- und Forschungszwecken sammeln, sind Verbraucher und Gäste zunehmend an Datenschutz und Datensicherheit interessiert. Sie wollen zu Recht die Kontrolle über ihre Daten haben und genau wissen, wie sie von wem zu welchem Zweck verwendet werden. Angesichts der Gesetzesänderungen, die den Verbrauchern mehr Rechte in Bezug auf ihre persönlichen Daten einräumen, müssen Hoteliers sowohl die Gesetze kennen als auch verstehen, warum der Datenschutz für Hotelgäste so wichtig ist. Schauen wir uns das genauer an.
Guter Datenschutz schafft Vertrauen und Loyalität
Eine Umfrage von Privitar aus dem Jahr 2020 ergab, dass 78% der Verbraucher sich Sorgen um den Schutz ihrer persönlichen Daten machen. 33% gaben an, dass ihre größte Sorge bei der Weitergabe persönlicher Daten an Unternehmen das Risiko eines Datendiebstahls aufgrund einer Datenschutzverletzung oder eines anderen Sicherheitsproblems sei. Weitere Bedenken betrafen die Weitergabe von Daten durch Unternehmen ohne deren Erlaubnis oder einen anderen Missbrauch.
Privitar fand jedoch auch heraus, dass das Engagement für den Datenschutz die Markentreue von 31 % der Verbraucher positiv beeinflusst. Für 40% der Verbraucher erhöht sich dadurch die Vertrauenswürdigkeit des Unternehmens.[1] Das deckt sich mit den Ergebnissen einer Umfrage von Salesforce aus dem Jahr 2018. Diese ergab, dass Verbraucher einem Unternehmen eher treu bleiben, höhere Ausgaben tätigen und dessen Dienstleistungen weiterempfehlen, wenn sie das Gefühl haben, dass ihre Daten dort gut aufgehoben sind.[2] Die richtige Vorgehensweise beim Datenschutz ist daher für die Hotelbranche von entscheidender Bedeutung, denn Vertrauen und Loyalität sind wichtig für das Geschäft und den guten Ruf eines Hauses.
Datenschutzverletzungen haben schwerwiegende finanzielle Folgen
Jedes Unternehmen kann von einer Datenschutzverletzung betroffen sein, wenn keine angemessenen Datenschutzkontrollen und -systeme vorhanden sind. Große Datenschutzverletzungen können weltweit für negative Schlagzeilen sorgen, eine Art von Publicity, die keine Hotelkette anstrebt.
Das mussten die Marriott Hotels erfahren, als im Jahr 2020 sieben Millionen Gästeprofile kompromittiert wurden. Die Hacker gelangten an Daten wie Namen, Telefonnummern und Reisepassnummern. Auch auf verschlüsselte Kreditkartendaten wurde zugegriffen – ebenso wie auf die Entschlüsselungsschlüssel, die auf demselben Server gespeichert waren. Marriott verstieß gegen die Datenschutzgesetze und wurde im Oktober 2020 vom britischen Information Commissioner’s Office zu einer Geldstrafe von 18,4 Millionen Pfund verurteilt. Ein finanzieller Schlag – aber der damit verbundene Imageschaden kann noch größere Auswirkungen haben als der finanzielle Schaden.
Zu weiteren Hotelunternehmen, die in den letzten Jahren von öffentlichkeitswirksamen Datenlecks betroffen waren, gehören MGM Resorts International, The Ritz in London und Choice Hotels International.[3] Das macht deutlich, dass die große Menge an wertvollen Daten, die den Hotelgruppen zur Verfügung stehen, sie zu einem bevorzugten Ziel für Hacker und Cyber-Diebe macht. 2021 wurde erstmals die Milliardengrenze an Strafzahlungen für DSGVO-Verstöße überschritten.
Wichtige rechtliche Vorgaben auf einen Blick:
- Allgemeine Datenschutz-Grundverordnung (DSGVO)
Diese EU-Verordnung ist im Mai 2018 in Kraft getreten. Sie betrifft sowohl Unternehmen außerhalb der EU, die Daten über in der EU ansässige Personen verarbeiten, als auch Unternehmen innerhalb der EU. Die DSGVO beinhaltet Regeln und Verpflichtungen für alle Organisationen, die personenbezogene Daten jeglicher Art – von Namen und Telefonnummern bis hin zu IP-Adressen – sammeln.
Es gibt strenge Vorschriften für die Erhebung, Speicherung, Verwaltung und Verwendung von Daten. Die Verbraucher haben u. a. das Recht, Marketingmitteilungen abzulehnen, die Übermittlung von Daten zu verlangen und das Recht auf „Vergessenwerden” geltend zu machen.
Aus der Sicht eines Hoteliers sind die regelkonforme Beschaffung und Verwendung von Gästedaten, deren Aktualisierung und sichere Speicherung von größter Bedeutung. Aber, basierend auf der aktuellen IT-Landschaft in vielen Betrieben, ist dies aktuell schwer zu gewährleisten. Details dazu finden Sie in unseren Datenschutz-Webinaren.
- Californian Consumer Privacy Act (CCPA)
Die CCPA hat einen ähnlichen Anwendungsbereich wie die DSGVO, gilt aber nur für größere Organisationen mit Sitz in Kalifornien oder für Unternehmen, die mit in Kalifornien ansässigen Personen Geschäfte machen. Im Gegensatz zur DSGVO, die jeden betrifft, werden nur die größten Hotels und Hotelgruppen von der CCPA betroffen sein. - Unwirksamkeit des EU-US Privacy Shield
Der EU-US Privacy Shield war ein Konzept für die Regelung des transatlantischen Informationsaustauschs zwischen der EU und den USA. Es sollte US-Unternehmen unter anderem ermöglichen, personenbezogene Daten von EU-Verbrauchern leichter zu erhalten und gleichzeitig deren Datenschutzrechte zu schützen. Diese Vereinbarung wurde jedoch im Jahr 2020 außer Kraft gesetzt. Laut führender Datenschutz-Anwälte gibt es derzeit keine rechtlich sicheren Möglichkeiten, mit US-Unternehmen oder deren Tochtergesellschaften zusammenzuarbeiten, selbst wenn die Daten in der EU gehostet werden. Daher empfehlen viele Anwälte, keine Softwareverträge mit Anbietern von US-Cloud-Lösungen zu unterzeichnen, bis ein neues Privacy Shield zwischen der EU und den USA verfügbar ist. (Weitere Informationen dazu lesen Sie in unserem White Paper Viewpoint Privacy Shield).
Einhaltung des Datenschutzes
Hotels, die sich im Unklaren darüber sind, ob sie die personenbezogenen Daten ihrer Gäste angemessen schützen und verwalten, sollten unverzüglich aktiv werden. Ein häufiges Problem ist das Vorhandensein mehrerer Gastprofile auf verschiedenen Plattformen innerhalb der Hotel-IT-Struktur, wie z. B. PMS, CRM, RMS, POS, Website usw. Wenn diese Systeme nicht vollständig integriert sind – das heißt, wenn es an mehreren Stellen Profile für denselben Gast gibt, müssen diese Daten manuell verwaltet werden. Daraus resultieren ein hoher Aufwand und eine große Anfälligkeit für Fehler. Grundsätzlich ist festzuhalten, dass die Chance, in einer solchen Umgebung technisch die DSGO einhalten zu können, gegen Null tendiert.
Diese Probleme können durch eine zentrale Datenverwaltung (Central Data Management, CDM) gelöst werden, die die Erstellung und Pflege eines einzigen, sauberen Gastprofils ermöglicht. Ein CDM kann mit jedem System innerhalb des Tech-Stacks in Echtzeit kommunizieren und es synchronisieren, wodurch Gästedaten zentralisiert erfasst und Doppelarbeit vermieden wird. CDM-Systeme wie dailypoint™ 360° mit seinem integrierten Privacy Dashboard machen es dem Hotelpersonal viel einfacher, datenbezogene Anfragen von Kunden zu verwalten. dailypoint™ 360° wird mit der dailypoint Data Laundry™ geliefert, einem automatisierten Datenbereinigungssystem, das Daten in 350 Schritten reinigt und diese konsolidierten Daten im gesamten Hotel-Tech-Stack zur Verfügung stellt.
Unter dem Gesichtspunkt der Einhaltung von Vorschriften und der Reputation sind diese Funktionen für Hoteliers von unschätzbarem Wert. Allerdings sind IT-Lösungen nicht das „Allheilmittel“ wenn es um den Datenschutz geht. Hoteliers müssen außerdem solide Datenschutzrichtlinien erstellen, klar mit den Gästen kommunizieren und die Mitarbeiter in Bezug auf Datenschutzprozesse schulen. Ein 360°-Ansatz ist der beste Weg für Hoteliers, um sich und ihre Gäste vor Datenschutzverletzungen und den damit verbundenen Risiken zu schützen.
Quellen:
[1] 2020 Consumer Trust and Data Privacy Data Report. 2020.
[2] Managing the Customer Trust Crisis: New Research Insights. September 2018.
[3] Upscale Living. 5 Recent Luxury Hotel Data Breaches You Should Know About. August 2021.