Mit der zunehmenden Beliebtheit von Cloud-Speicher- und Computersystemen befinden sich Informationen, die früher vor Ort gespeichert wurden, nun in Rechenzentren auf der ganzen Welt, was die Einhaltung von Datenverarbeitungsvorschriften erschwert. Die Datenhoheit für Hotels ist zu einem wichtigen Bestandteil der IT-Strategie eines Hotels geworden. Aber was genau ist Datenhoheit für Hotels und was bedeutet sie für die heutige Geschäftswelt?
Das Gastgewerbe funktioniert am besten, wenn es über eine gute Menge an Gästedaten und -präferenzen verfügt. Eine Branche wie das Gastgewerbe, in der es vor allem um Personalisierung geht, kann ohne gute Daten nicht funktionieren. Heute ist die Datensouveränität immer noch ein neues Konzept, das wichtiger denn je ist, insbesondere angesichts der zunehmenden Menge an personenbezogenen Daten, die an Orten gespeichert werden, die der Gast weder kontrollieren noch vollständig verstehen kann.
Hinweis: Shiji und das Insights-Team geben in diesem Artikel keine Rechtsberatung. Dieser Artikel wird zu allgemeinen Informations- und Übersichtszwecken bereitgestellt. Den Lesern wird empfohlen, mit ihren Datenschutzbeauftragten und/oder Rechtsberatern zu besprechen, welche Datenschutzmaßnahmen sie ergreifen sollten.
Die Beziehung zwischen Datensouveränität, Wohnsitz und Privatsphäre
Die Begriffe “Souveränität“, “Wohnsitz” und “Privatsphäre” sind im Zusammenhang mit Daten eng miteinander verknüpft, bedürfen aber einer gewissen Klarstellung.
DieDatenresidenz bezieht sich auf Unternehmen, die den geografischen Ort bestimmen, an dem ihre Daten gespeichert werden. Sie können sich zum Beispiel für ein bestimmtes Land entscheiden, weil es günstige Datenschutzbestimmungen oder ein niedriges Steuersystem bietet. Ein Unternehmen mit Sitz in Land “C” könnte es beispielsweise für sein Geschäft als vorteilhaft erachten, seine Daten in Land “B” zu speichern, wo es bestimmte Kosten sparen kann. Der Wohnsitz der Daten ist also Land “B”.
Datenhoheit für Hotels bedeutet, dass die gespeicherten Daten den Gesetzen eines bestimmten Landes unterliegen. Das bedeutet, dass sie den Vorschriften dieses Landes entsprechen müssen, z. B. in Bezug auf den Schutz der Privatsphäre und andere Vorschriften (u. a. müssen die Daten der Regierung im Falle eines rechtlichen Bedarfs zugänglich sein). Im obigen Beispiel wären die Daten also zugänglich und würden den Vorschriften des Landes “B” unterliegen, auch wenn weder das Unternehmen noch die Kunden dort ansässig sind.
Der Datenschutz ist zwar mit der Datensouveränität und der Datenresidenz verbunden, unterscheidet sich aber insofern, als der Datenschutz den Schutz personenbezogener Daten vor Missbrauch bezeichnet. Im obigen Beispiel ist dies ganz offensichtlich, wenn die Daten eines Bürgers aus Land “A” in Land “B” gespeichert werden und Land “B” sehr laxe Datenschutzgesetze hat, könnte dies für den Bürger aus Land “A” ein Problem darstellen. Diese drei Konzepte sind also eng miteinander verbunden, aber nicht identisch.
Die Datenhoheit bestimmt, wie und vor allem wo die Daten der Nutzer gespeichert werden. Der Gedanke ist, dass Daten immer der Gesetzgebung des Landes unterliegen sollten, in dem sie erhoben werden. Wenn zum Beispiel bestimmte Nutzerdaten in einem europäischen Hotel gesammelt werden, sollte die EU-Verordnung (GDPR) Vorrang haben. Im Hotel- und Gaststättengewerbe ist dies besonders kompliziert, da die Daten der Nutzer leicht in den USA erstellt (um die Reservierung zu buchen) und in einem Hotel in Europa gespeichert werden könnten, was zu Grauzonen bei der Auslegung der Verordnung führt.

Während die europäischen Vorschriften der GDPR (General Data Protection Regulation ) oft im Zusammenhang mit der Datensouveränität zitiert werden, ist es wichtig, zwischen GDPR und reiner Datensouveränität zu unterscheiden. Generell wurden viele Initiativen zur Datenhoheit (einschließlich Datenlokalisierungsgesetze, z. B. in Russland) eingeführt, um sicherzustellen, dass personenbezogene Daten unabhängig von ihrem Standort angemessen geschützt werden. Diese Idee wurde als eng mit Regierungen/Kontrolle verbunden angesehen (weil einige Länder verlangen, dass die Daten innerhalb ihrer Grenzen aufbewahrt werden), aber sie könnte den freien Fluss von Freiheiten oder einfach den freien Fluss von Daten (ein Konzept, das in der EU verwurzelt ist) beeinträchtigen.
Wenn die Daten darüber, wie die Bürger eines Landes leben, in einem anderen Land gespeichert werden, in dem ihre Freiheiten und ihr Schutz anders sind, stellt dies ein großes potenzielles Problem dar.
Die Datenschutz-Grundverordnung enthält keine Anforderungen an die Datenansässigkeit an sich, sondern regelt stattdessen grenzüberschreitende Übermittlungen im Allgemeinen. So verbietet die Datenschutz-Grundverordnung beispielsweise nicht die grenzüberschreitende Übermittlung. Sie muss jedoch über eine Grundlage für die Übermittlung verfügen und geeignete Schutzmaßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten unabhängig vom Ort ihrer Speicherung geschützt sind.
Der wohl umstrittenste Aspekt der Datensouveränität besteht darin, dass sie auch vorschreibt, wie Regierungen auf Nutzerinformationen zugreifen können oder nicht. Ein typisches Beispiel ist der Patriot Act: Die US-Regierung hat das gesetzliche Recht, auf Daten zuzugreifen, die auf amerikanischem Boden gespeichert sind. Das ist ähnlich wie in China, wo es Rechte für Daten gibt, die auf dem eigenen Boden gespeichert sind, und in allen Fällen handelt es sich um ein Recht, das die Regierungen im Namen der nationalen Sicherheit ausüben. Dies wird zum Problem, wenn die Daten der Bürger eines Landes in einem anderen Land gespeichert werden und die nationale Sicherheit nicht durchgesetzt werden kann. Daraus ergibt sich die Notwendigkeit von Rechtsvorschriften zur Datenhoheit.
Datensouveränität, ein politisches Problem?
Obwohl das Thema Datensouveränität politisch und öffentlichkeitswirksam ist, geht es in erster Linie um den Schutz der Daten von Menschen und Unternehmen vor Missbrauch. Abgesehen von Politik und Presse ist die Datensouveränität deshalb so wichtig, weil Bürger und Unternehmen in ihrem Land leben und tätig sind und die Gesetze befolgen, die Freiheiten und den Schutz genießen, die mit dem Leben oder der Tätigkeit in ihrem Land verbunden sind.
Diese Freiheiten und Schutzmaßnahmen sind den Bürgern und Unternehmen bekannt, die mit Vorhersagen arbeiten können, da sie auf ihre Gesetze zugreifen können. Was sie tun und wie sie leben, ist an diese Freiheiten und Schutzmaßnahmen angepasst, die den Bürgern und Unternehmen bekannt sind, die dann mit Vorhersagen arbeiten können, da sie Zugang zu ihren Gesetzen haben. Was sie tun und wie sie leben, richtet sich nach den örtlichen Gesetzen. Wenn aber die Daten über ihren Lebenswandel in einem anderen Land gespeichert werden, in dem diese Freiheiten und dieser Schutz anders sind, stellt dies ein Problem dar.
Abgesehen vom politischen Aspekt ist dieses Thema also sowohl für die Menschen als auch für die Unternehmen und ihre Lebens- und Wirtschaftsweise von wesentlicher Bedeutung. Das ist der eigentliche Grund, warum sie so wichtig ist.
Es ist von entscheidender Bedeutung, diese Frage zu klären, um die Gründe für die Datenhoheit zu verstehen. Es geht darum, die Freiheiten und den Schutz der Menschen und Unternehmen an dem Ort zu erhalten, an dem sie leben und Geschäfte tätigen, denn das sind die Rechte, Regeln und Gesetze, nach denen sie leben.
Glücklicherweise verfügen die meisten großen Cloud-Computing-Anbieter inzwischen über eingebaute Systeme zur Kontrolle des Ortes, an dem die Daten verarbeitet und gespeichert werden, auch wenn dies in der Hoteltechnik nicht unbedingt der Fall ist.
Viele der aktuellen Bedenken im Zusammenhang mit der Datenhoheit beziehen sich auf die Durchsetzung von Datenschutzbestimmungen und die Sicherstellung, dass im Ausland gespeicherte Daten nicht von der Regierung des Gastlandes des Unternehmens ohne dessen Zustimmung erfasst werden. Die Datenvorschriften ändern sich ständig, um dieses sich schnell entwickelnde Thema bestmöglich zu behandeln, was bedeutet, dass es kein einfaches Regelwerk gibt, an das man sich halten kann. Eine Regel wird jedoch immer gelten: Der Dateneigentümer ist dafür verantwortlich, dass er genau weiß, wo seine Daten gespeichert sind, und dass er die erforderlichen Maßnahmen ergreift, um sicherzustellen, dass er die für diesen Ort geltenden Rechtsvorschriften einhält.
Datensicherheit und Datenschutz in der Hoteltechnologie
In unserer datengesteuerten Branche ist Sicherheit oft gleichbedeutend mit dem Schutz der persönlichen Daten der Gäste. Die wichtigsten Datenschutzverletzungen der letzten Jahre betrafen in Property Management Systemen (PMS) gespeicherte Gästedaten. Dennoch müssen Hotels für ihren Betrieb personenbezogene Daten speichern und daher zum Schutz ihrer Gäste ein hohes Sicherheitsniveau aufrechterhalten.
Die Sicherheit personenbezogener Daten ist ein besonders zentrales Thema für die Anforderungen an den Datenschutz. Die Nichteinhaltung sämtlicher Datenschutzvorschriften (wie der europäischen GDPR, der kalifornischen CCPA, der brasilianischen LGPD oder der südafrikanischen POPI) kann eine Gefahr darstellen, die bei der Auswahl von Technologielösungen so früh wie möglich erkannt werden sollte. Sicherstellung, dass die Konformität des Systems von einem externen Prüfer überprüft und zertifiziert wird – zum Beispiel mit einem ISO/IEC 27018-Zertifikat, dem Verhaltenskodex für den Schutz personenbezogener Daten (PII).
Dennoch ist es unbestreitbar, dass moderne Systeme in Sachen Datenschutz im Vorteil sind, da sie zu einer Zeit entwickelt wurden, als die DSGVO und ähnliche Vorschriften noch nicht in Kraft waren. Ältere Software kann eine eingeschränkte Architektur aufweisen, die die Einhaltung von Datenschutzbestimmungen erheblich erschwert. Dies ist vor allem bei großen, vor Ort installierten Systemen eine Herausforderung, da in extremen Fällen nicht einmal Sicherheitsmaßnahmen angewendet werden können, wie z. B. bei einigen älteren Technologien, die keine Verschlüsselung unterstützen.
Datenresidenz und Cloud-Systeme
Damit ein System die wichtigsten Sicherheits- und Datenschutzanforderungen erfüllt, sollten wir mit einigen Mythen über die Datenhoheit aufräumen. Wie wir bereits erörtert haben, besteht der Grundgedanke der Datensouveränität darin, dass die Daten eines Kunden den Gesetzen des Landes unterliegen sollten, in dem die Daten erhoben und verarbeitet werden. Die Aufbewahrung von personenbezogenen Daten ist bei Cloud-basierten Lösungen eine größere Herausforderung als bei nicht angeschlossenen Systemen vor Ort. Glücklicherweise verfügen die meisten großen Cloud-Computing-Anbieter inzwischen über eingebaute Systeme zur Kontrolle des Ortes, an dem die Daten verarbeitet und gespeichert werden, auch wenn dies in der Hoteltechnik nicht unbedingt der Fall ist.
Auf der Website von Microsoft 365 heißt es beispielsweise: “Wir gehen davon aus, dass unsere Unternehmenskunden ihre Geschäftsdaten in der Nähe ihres Wohnorts speichern und verarbeiten möchten. Wo immer möglich, tun wir genau das”. Bei Mietern, die mit einer Rechnungsadresse in Frankreich oder Deutschland angelegt werden, ist der Standort also nicht die USA, sondern die EU.

Der Datenschutz ist heute ein Standard für alle großen Cloud-Computing-Plattformen. Die Verbesserung der Nutzererfahrung durch die Verteilung von Daten bringt zusätzliche Komplikationen in Bezug auf den Datenschutz, die Datenhoheit und den Datenschutz mit sich. Hotelunternehmen, die ihre Systeme aufrüsten wollen, sollten die Datenschutzoptionen ihrer Anbieter sorgfältig prüfen und sicherstellen, dass ihre Anbieter diese Funktionen auch vollständig nutzen.
Amazon Web Services bietet die Möglichkeit, verschiedene Regionen von AWS zu nutzen, so dass die Anwendung an mehreren Standorten bereitgestellt werden kann, z. B. in der EU, in den USA, in China und so weiter. Die Kunden haben die Möglichkeit zu entscheiden, in welchem Teil der Welt ihre Daten (oder die Daten ihrer Kunden) gespeichert werden sollen. In der Praxis kann ein Hoteltechnologieanbieter ein Speichersystem für globale Ketten aufbauen, bei dem die Daten europäischer Hotels in der EU, die Daten US-amerikanischer Hotels in den USA und die Daten chinesischer Hotels in China gespeichert werden.
Beispiele für Datenschutz im Gastgewerbe
Wenn ein Hotel in unserer Branche mit einem Anbieter zusammenarbeitet, der sowohl Sicherheits- als auch Datenschutzrichtlinien einhält, kann es seine Daten in einer bestimmten Region speichern lassen, je nachdem, wo sich das Hotel befindet. Hotelketten und -gruppen benötigen jedoch möglicherweise die Daten ihrer Gäste, um zwischen verschiedenen Regionen zu reisen. Ein passendes Beispiel sind Treueprogramme: Treue Gäste sollten in jedem Hotel der Kette oder Gruppe erkannt werden und ihre Treuepunkte überprüfen können, egal wo sie sich befinden.
Die Übertragung der Daten in eine andere Region ist möglich, wenn der Gast ausdrücklich zugestimmt hat, seine Daten über die Region hinaus weiterzugeben. Je nach den örtlichen Vorschriften können die Daten dann entweder global oder mit einer anderen Region ausgetauscht werden. In einigen Ländern bedeutet dies, dass eine Kopie vor Ort aufbewahrt werden muss, während in anderen Ländern, selbst innerhalb der Europäischen Union, unterschiedliche Vorschriften gelten, die von Fachleuten überprüft werden sollten.
In Europa ist es aufgrund der Art der Dienstleistung eines Hotelaufenthalts möglich, personenbezogene Daten der Gäste zu sammeln und zu verarbeiten: Hotels sind berechtigt, personenbezogene Daten zu verarbeiten, weil die Daten für die Erbringung der Dienstleistung erforderlich sind; daher ist die Einwilligung nicht die einzige Rechtsgrundlage für die Datenverarbeitung. Im Gegensatz zu vielen asiatischen Rechtsordnungen erfordert die Datenschutz-Grundverordnung keine Genehmigung für grenzüberschreitende Datenübermittlungen innerhalb einer internationalen Organisation, was jedoch nicht bedeutet, dass personenbezogene Daten ohne jegliche Garantien und Rechtsgrundlage verschoben werden können. Das Hauptziel besteht vielmehr darin, sicherzustellen, dass personenbezogene Daten geschützt werden, wo immer sie sich befinden. Die Datenschutz-Grundverordnung verlangt Transparenz und die Information des Einzelnen darüber, was mit seinen personenbezogenen Daten geschieht, auch darüber, wohin sie übermittelt werden und warum.
Darüber hinaus können Hotels ihre Gäste offen bitten, ihre Daten weiterzugeben, wenn sie in ihren Datenschutzhinweisen erklären, welche persönlichen Informationen für globale Systeme wie das oben erwähnte Treueprogramm ins Ausland kopiert werden. In diesem Fall müssen die Gäste natürlich ausdrücklich zustimmen und genehmigen, dass sie an dem Programm teilnehmen und ihre Daten an andere Standorte weitergegeben werden. Aggregierte, anonymisierte Daten (wie Belegungsrate, durchschnittliche Tagesrate (ADR) usw.) fallen nicht unter die Verordnung, so dass ein europäisches Hotel diese Informationen mit der Zentrale in den USA teilen kann und umgekehrt.
Schlussfolgerung: Datensouveränität ist ein bewegliches Ziel
Datenhoheit für Hotels ist ein relativ neues Konzept, das mit dem Aufkommen des Cloud Computing eingeführt wurde. Man könnte sogar sagen, dass die gesamte Idee der Souveränität die “Dekolonisierung der Cloud” ist. Aus diesem Grund sollten sowohl Hotels als auch Technologieanbieter die Datensouveränität als ein bewegliches Ziel betrachten. Die meisten Länder arbeiten an neuen, strengeren Datenschutzvorschriften, und die Datenhoheit ist ein wesentlicher Bestandteil dieser Vorschriften. Auf dieser Website(Data Protection Laws of the World) können Sie die Datenschutzgesetze weltweit vergleichen und sicherstellen, dass Sie die Vorschriften stets einhalten. Die Auswahl Ihrer Anbieter auf der Grundlage der Einhaltung von Gesetzen zur Datenhoheit ist von entscheidender Bedeutung, um zu verhindern, dass die wertvollen Informationen Ihrer Kunden in die falschen Hände geraten.
Dieser Artikel erschien ursprünglich in TechTalk.Travel.