Interview mit Stefan Latz - Verantwortung für Profildaten in Reiseunternehmen

DSGVO: TMCs müssen die Verantwortung für Profildaten an ihre Firmenkunden übertragen!

Stefan Latz ist Chief Consultant und Data Protection Officer im Bereich Cyber- & Informationssicherheit beim TÜV Hessen in Darmstadt. Er befasst sich unter anderem intensiv mit den Auswirkungen der DSGVO auf den Geschäftsreisesektor.

Welche Risiken gehen Firmen und Reisebüros ein, wenn sie Profildaten von Personen ohne Rechtsgrundlage vorhalten – also beispielsweise von Mitarbeitern, die das Unternehmen bereits verlassen haben?

Das ist ganz einfach: Wenn kein Zweck und keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten mehr besteht (= Datenmüll), muss zwingend gelöscht werden. Wer das nicht tut, handelt vorsätzlich und dann geht es nur noch um die Frage der Höhe eines Bußgeldes.

Wer ist in diesem Fall eigentlich zur Verantwortung zu ziehen? Das Reisebüro/TMC oder der Firmenkunde?

Das Unternehmen ist verantwortlich dafür, dass das TMC eine aktuelle Liste der Reisenden hat! Es gibt – beispielsweise mit Umbrella – ja genügend einfache technische Möglichkeiten, dies umzusetzen. TMCs müssen das einfach nur mit ihren Kunden koordinieren.

Je länger ein Unternehmen sich nicht drum kümmert, umso schwerer ist das Vergehen, weil der Vorsatz sich verstärkt. Da Profildaten oft sensible Daten enthalten, muss die Aufsicht tätig werden und ein Bussgeld austeilen.

Sind Sie somit der Meinung, dass Reisebüros/TMCs dezidiert nicht die Verantwortung für Profilinformationen übernehmen sollten?

Korrekt!

Wir beide wissen aber, dass nach wie vor die wenigsten Firmen ihre Reisenden-Liste beim TMC-Partner aktuell halten. Warum ist das so?

Einerseits haben die wenigsten Firmen eine Vorstellung davon, wie weit die personenbezogenen verteilt werden, sobald sie an ein TMC geliefert werden.

Und andererseits wird trotz der eindeutigen Rechtslage noch vergleichsweise selten geklagt. Das ändert aber nichts an der Tatsache, dass viele Firmen hier ein erhebliches finanzielles Risiko eingehen – und das ohne Not, weil es ja einfache Weg gibt, es zu vermeiden!

Wie sehen diese einfachen Wege aus?

Onboarding und Offboarding neuer Mitarbeiter müssen zwingend über einen unternehmensweiten, systemübergreifenden digitalen Workflow gesteuert werden. Zumeist gibt es dafür ein führendes System wie Active Directory.

Bleiben wir im Bereich Travel: Eine Anbindung des Active Directory oder HR-Systems (beispielsweise SAP, Workday, bamboo) an das Profilmanagement-System des Reisebüros garantiert, dass das TMC stets eine korrekte und aktuelle Liste der Reisenden hat. Problem gelöst!

Eine gangbare und vor allem für kleinere Unternehmen sinnvolle Alternative wäre, dass das TMC der Firma einen direkten Zugang zum Profilsystem gibt. Damit kann die Liste der Reisenden vom Firmenkunden zumindest manuell aktuell gehalten werden.

Zum Abschluss noch eine private Frage: Was war ihr bemerkenswertestes Reiseerlebnis bis jetzt?

Das war eine Dienstreise nach Südkorea und einem Audit-Einsatz in 3 Kernkraftwerken des Landes! Das war 2013 und es war verblüffend, wie weit damals dort die Mobilfunktechnik war. Wir waren an einem Wochenende im Mudeungsan National Park, nördlich von Gwangju und waren verblüfft, dass wirklich jede/r Koreaner/in bereits Videotelefonie gemacht hat

Vielen Dank, Stefan!