Tourismusbüro: Wie Sie Gastgeberdaten DSGVO-konform nutzen können

Seine Besucher besser zu kennen, ist für Fremdenverkehrsämter zu einer immer strategischeren Herausforderung geworden. Der Austausch über den Empfang ermöglicht ein besseres Verständnis der Profile, Erwartungen, Einschränkungen, wiederkehrenden Anfragen, ungedeckten Bedürfnisse oder auch der Dynamiken des Gebiets.

Doch sobald es um das Sammeln, Qualifizieren oder Auswerten von Daten geht, taucht sofort eine Frage auf: Wie kann man das alles unter Einhaltung der DSGVO tun?

Die gute Nachricht ist, dass die DSGVO nicht verbietet, Gastgeberdaten besser zu nutzen. Vielmehr schreibt sie einen klaren Rahmen vor. Die CNIL erinnert insbesondere an strukturierende Prinzipien wie Zweckbindung, Minimierung, Transparenz, Sicherheit und Ausübung der Rechte von Personen.

Mit anderen Worten: Das eigentliche Thema ist nicht, darauf zu verzichten, seine Besucher besser kennenzulernen. Das eigentliche Thema ist, dies sauber, sinnvoll und verhältnismäßig zu tun.

Ein Tourismusbüro kann also Gästedaten auswerten. Unter der Voraussetzung, dass er weiß, welche, warum, wie und mit welchen Garantien.

Warum die DSGVO die Daten von Gästen in vollem Umfang betrifft

Am Empfang arbeiten die Teams oft mit Informationen, die personenbezogene Daten sein können, wenn sie sich auf eine identifizierte oder identifizierbare Person beziehen.

Dies kann je nach Fall Folgendes betreffen:

• eine E-Mail-Adresse
• eine Telefonnummer
• eine Sprache
• eine Herkunft
• ein Aufenthaltsprofil
• eine kontextualisierte Anfrage
• geäußerte Vorlieben
• den Verlauf eines Austauschs, wenn er mit einer Person verknüpft ist.

Selbst wenn ein Fremdenverkehrsamt nicht versucht, eine "Kundendatei" im kommerziellen Sinne anzulegen, kann es dennoch personenbezogene Daten verarbeiten, wenn es bestimmte Informationen über einen Besucher aufzeichnet, organisiert, speichert oder auswertet.

Die DSGVO gilt also, sobald personenbezogene Daten verarbeitet werden, was ganz alltägliche Vorgänge wie das Sammeln, Speichern, Abfragen, Versenden, Aufbewahren oder Analysieren umfasst.

Die DSGVO verbietet nicht das Besucherwissen, sie schreibt eine Methode vor.

Dies ist ein wesentlicher Punkt.

Die DSGVO zielt nicht darauf ab, Strukturen daran zu hindern, ihr Publikum besser zu verstehen. Sie soll vielmehr einen Rahmen dafür vorgeben, wie sie personenbezogene Daten sammeln und verwenden.

Für eine Touristeninformation bedeutet dies, dass sie :

• bestimmte Anfragen besser zu qualifizieren
• bestimmte Antworten besser personalisieren
• Informationen nach dem Austausch besser verbreiten.
• Trends vor Ort besser aufzeigen
• eine Steuerung, die auf den tatsächlich beobachteten Bedürfnissen beruht, besser unterstützen.

Diese Nutzung muss jedoch auf einigen einfachen Grundsätzen beruhen:

• wissen, wozu die gesammelten Daten dienen
• nur das sammeln, was wirklich benötigt wird
• die Personen klar informieren
• die Daten sichern
• die Ausübung von Rechten organisieren
• unklare oder übermäßige Zweitverwendungen vermeiden.

Die DSGVO blockiert also nicht einen Ansatz zur Verbesserung des Empfangs. Sie verpflichtet vor allem dazu, sie klar, verhältnismäßig und nachvollziehbar zu gestalten.

Erster Reflex: Definieren Sie einen klaren Zweck.

Die erste Frage, die Sie sich stellen sollten, lautet nicht "Welche Daten dürfen wir aufnehmen?", sondern vielmehr:
für welchen konkreten Zweck brauchen wir diese Daten?

Daten müssen für einen bestimmten, ausdrücklichen und rechtmäßigen Zweck gesammelt werden. Der Grundsatz der Zweckbestimmung verbietet die Logik des "Wir sammeln für den Fall der Fälle".

In einem Fremdenverkehrsamt können mehrere Zwecke legitim sein, z. B. :

• Personalisierung der Antwort, die dem Besucher gegeben wird
• eine Auswahl an Informationen nach dem Austausch versenden.
• die vorherrschenden Erwartungen an den Empfang besser zu verstehen
• die empfangenen Profile und bestimmte Feldtrends beobachten
• Verbesserung des Supports und der Organisation des Dienstes.

Ein zu vager Zweck wie "die Besucher besser kennenlernen" ist nicht ausreichend, wenn er nicht näher erläutert wird.

Man muss konkret erklären können :

• was gesammelt wird
• wozu es dient
• wer darauf zugreift
• wie lange es aufbewahrt wird
• in welchem Rahmen es verwendet wird

Zweiter Reflex: Wenden Sie das Prinzip der Minimierung an.

Die CNIL gibt an, dass Daten angemessen, relevant und auf das für den verfolgten Zweck notwendige Maß beschränkt sein müssen.

Konkret bedeutet dies, dass es für ein Fremdenverkehrsamt nicht sinnvoll ist, alles sammeln zu wollen.

Es ist besser, sich auf die wirklich nützlichen Informationen zu konzentrieren, um :

• besser zu beraten
• besser personalisierte Informationen verbreiten
• bestimmte Trends besser ablesen zu können.

Je nach Anwendungsfall kann es zum Beispiel relevant sein, zu verarbeiten :

• die Sprache des Besuchers
• die Art der Gruppe
• die Dauer des Aufenthalts
• das gesuchte Thema
• eine ausgedrückte Einschränkung
• den Kontaktkanal
• die E-Mail-Adresse oder Telefonnummer, falls ein Versand vorgesehen ist.

Der richtige Reflex lautet also nicht: "mehr Daten = mehr Intelligenz".
Der richtige Reflex lautet: weniger Daten, aber besser ausgewählt.

Dritter Reflex: Informieren Sie die Besucher auf klare Weise.

Das Prinzip der Transparenz ist ein Grundpfeiler der DSGVO.

Wenn personenbezogene Daten gesammelt werden, muss der Besucher mindestens verstehen können :

• wer die Daten verarbeitet
• warum sie gesammelt werden
• auf welcher Grundlage sie verwendet werden
• wie lange sie aufbewahrt werden
• wie man seine Rechte ausüben kann
• an wen man sich bei Fragen wenden kann.

Diese Informationen müssen lediglich klar und zugänglich sein, z. B. :

• in einem Formular
• in einer an den Besucher gesendeten E-Mail
• in einem Hinweis, der über einen Link oder QR-Code zugänglich ist
• in einer leicht auffindbaren Datenschutzrichtlinie

Ziel ist es, eine implizite oder undurchsichtige Datenerhebung zu vermeiden.

Vierter Reflex: Unterscheiden Sie zwischen Servicedaten und Steuerungsdaten.

Einige Daten dienen direkt der Dienstleistungsbeziehung :

• ein personalisiertes Booklet versenden
• in der richtigen Sprache antworten
• Empfehlungen an eine geäußerte Einschränkung anpassen.

Andere dienen eher einer aggregierten oder strategischen Lesart:

• wiederkehrende Anfragen zu identifizieren
• Beobachtung von vorherrschenden Profilen
• ungedeckte Bedürfnisse ausfindig machen
• Bestimmte Trends bei den Besucherzahlen oder der Nachfrage verfolgen.

Diese Unterscheidung hilft, einen besseren Rahmen zu schaffen :

• den Zweck
• die erforderliche Detailtiefe
• die Dauer der Aufbewahrung
• die Höhe des Risikos

In vielen Fällen kann sich eine intelligente Steuerung auf aggregierte oder pseudonymisierte Daten stützen, ohne dass identifizierende Daten dauerhaft gespeichert werden müssen.

Fünfter Reflex: Daten sichern und den Zugriff beschränken.

Die DSGVO legt auch Sicherheitspflichten fest.

Für ein Tourismusbüro bedeutet dies insbesondere, sich einfache Fragen zu stellen:

• wer greift auf die Daten zu?
• müssen alle Bediensteten das Gleiche sehen?
• wo werden die Informationen gespeichert?
• wie werden die Zugriffe verwaltet?
• was passiert, wenn ein Mitarbeiter die Einrichtung verlässt?
• wie werden Exporte kontrolliert?

Compliance beruht also auch auf einer guten Hygiene bei der Datenverwaltung.

Sechster Reflex: Organisieren Sie die Ausübung von Rechten.

Personen verfügen über Rechte in Bezug auf ihre Daten.

Ein Tourismusbüro muss in der Lage sein, Anfragen zu verwalten, die sich auf :

• Zugang zu den Daten
• die Berichtigung
• die Löschung in bestimmten Fällen
• den Widerspruch gegen die Verarbeitung
• die Information über die Art und Weise der Verarbeitung.

Dies setzt lediglich voraus, dass man weiß, :

• wo sich die Daten befinden
• wie sie zu finden sind
• wer die Anfragen bearbeitet
• innerhalb welcher Fristen zu antworten ist.

Welche Rolle spielt der DSB in einem Fremdenverkehrsamt?

In öffentlichen oder gleichgestellten Strukturen ist die Ernennung eines DPO (Datenschutzbeauftragten) obligatorisch.

Der DSB ist nicht dazu da, Projekte zu blockieren. Seine Rolle besteht vielmehr darin, :

• bei der Qualifizierung der Verarbeitungen helfen
• die Kohärenz der Zweckbestimmungen zu überprüfen
• die Informationsangaben zu sichern
• die Risikoanalyse begleiten
• über die Aufbewahrungsfristen beraten.

Die Einbeziehung des DSB im Vorfeld eines Projekts verhindert häufig verspätete Korrekturen.

Was ist mit KI in all dem?

Wenn ein KI-Tool bei der Erhebung, Strukturierung oder Nutzung personenbezogener Daten zum Einsatz kommt, bleibt die DSGVO voll anwendbar.

Eine KI kann helfen bei :

• Informationen zu organisieren
• personalisierte Unterstützung vorbereiten
• die Übersetzung erleichtern
• bestimmte Signale aus dem Empfangsbereich strukturieren.

Aber sie entbindet nie von :

• einer klaren Festlegung der Nutzung
• einer menschlichen Überprüfung
• einer guten Information der Personen
• einer Wachsamkeit in Bezug auf die verarbeiteten Daten.

Die richtige Nutzung von KI muss also innerhalb des Rahmens der DSGVO gedacht werden, nicht außerhalb.

Was kann ein Fremdenverkehrsamt konkret tun?

Ein vernünftiger Ansatz besteht oft darin, in kleinen Schritten vorzugehen.

1. Die Nutzung einrahmen

Identifizieren Sie die tatsächlichen Anwendungsfälle :

• Zusendung eines personalisierten Supports
• Leichte Qualifizierung der Anfragen
• Aggregierte Beobachtung der Bedürfnisse
• Lesen von Begrüßungstrends

2. Begrenzen Sie die Daten.

Nur die wirklich notwendigen Informationen festhalten.

3. Die Behandlung dokumentieren.

Wissen, wer was, warum und wie lange tut.

4. Einfach informieren

Verständliche und zugängliche Hinweise vorsehen.

5. Sichern und regieren

Beschränken Sie den Zugang und klären Sie die Zuständigkeiten.

6. Arbeiten Sie mit dem DSB zusammen.

Den Rahmen vor der Einführung validieren.

Was ändert sich für einen Empfangsbeauftragten?

Die Empfangsdaten unter Beachtung der DSGVO zu bearbeiten, ermöglicht :

• das Team beruhigen
• improvisierte Praktiken zu vermeiden
• Klarheit darüber schaffen, welche Informationen relevant sind
• die Qualität der Dienstleistung besser mit der Einhaltung der Vorschriften zu verknüpfen
• den Rückfluss von Feldkenntnissen zu professionalisieren.

Die DSGVO wird so zu einer klareren und sichereren Arbeitsmethode.

Was ändert sich für das Management?

Für das Management geht es um zwei Dinge:

• die Aufnahmedaten besser zu nutzen
• ohne die Einrichtung schlecht gerahmten Praktiken auszusetzen.

Dies ermöglicht insbesondere :

• den Empfang mit mehr Vertrauen zu modernisieren
• eine bessere Verknüpfung von erbrachter Dienstleistung, Kenntnis der Besucher und Steuerung.
• die Glaubwürdigkeit der Einrichtung zu stärken
• die Nutzung von digitalen Werkzeugen und KI zu sichern.

Schlussfolgerung

Ein Tourismusbüro kann durchaus Empfangsdaten auswerten, um seine Antworten besser zu personalisieren, seine Besucher besser zu verstehen und seine Arbeit besser zu steuern.

Diese Auswertung muss jedoch auf einer klaren Logik beruhen:

• einen klaren Zweck
• eine begrenzte Erhebung
• eine transparente Information
• eine angemessene Sicherheit
• eine seriöse Governance
• ein Rahmen, der sowohl für Teams als auch für Besucher lesbar ist.

Die DSGVO ist also kein Hindernis für das Besucherwissen.
Sie ist eine nützliche Disziplin, um Exzesse zu vermeiden, Praktiken zu sichern und dauerhaftes Vertrauen aufzubauen.

Und in einem Sektor, in dem der Empfang eben auf Vertrauen beruht, ist dies keine Kleinigkeit.