Souveränität über Tourismusdaten: Warum dieses Thema für Tourismusverbände zunehmend an strategischer Bedeutung gewinnt

Lange Zeit wurde das Thema Daten in den Tourismusbüros vor allem unter dem Gesichtspunkt der DSGVO, der Qualität der Informationsdatenbanken oder der Besucherzahlen behandelt. Heute gewinnt ein anderes Thema zunehmend an Bedeutung: die Datenhoheit.

Der Begriff mag abstrakt oder sogar etwas behördlich klingen. Dabei berührt er doch sehr konkrete Fragen: Wo werden die Daten gespeichert? Wer hat Zugriff darauf? Nach welchem rechtlichen Rahmen? Kann man die Nutzung, den Export, die technischen Abhängigkeiten und die damit verbundenen Risiken wirklich kontrollieren?

Für Einrichtungen, die Besucherempfang, touristische Informationen, Personalisierung, Besucherkenntnisse und regionale Steuerung miteinander verbinden, gewinnt dieses Thema zunehmend an Bedeutung. Die französischen öffentlichen Akteure haben zudem ihre Leitlinien zur Cloud und zum Datenschutz mit einer vom Staat getragenen Strategie namens „Cloud au centre“ (Cloud im Mittelpunkt) verschärft und empfehlen gleichzeitig vertrauenswürdige Cloud-Angebote für sensible Daten.

Mit anderen Worten: Datensouveränität ist kein theoretisches Thema, das den Ministerien vorbehalten ist. Es handelt sich um eine sehr konkrete Frage der Kontrolle, des Vertrauens und der Robustheit der täglich genutzten digitalen Dienste.

Warum dieses Thema wichtiger wird als zuvor

Tourismusbüros nutzen zunehmend digitale Medien und Tools, um:

• Informationen zu verbreiten
• Empfehlungen individuell anzupassen
• bestimmte Besucherbedürfnisse zu erfassen
• Inhalte nach dem Besuch zu versenden
• Kennzahlen zu erstellen
• die Erwartungen vor Ort besser zu verstehen

Je weiter sich diese Anwendungsfälle verbreiten, desto dringlicher stellt sich die Frage: Wer hat tatsächlich die Kontrolle über die Daten, die im Rahmen dieser Beziehung zu den Besuchern generiert werden?

Dieses Thema gewinnt aus drei Hauptgründen an strategischer Bedeutung.

Daten werden zu einer Steuerungsressource

Besucherdaten dienen nicht mehr nur der Dokumentation. Sie können auch Folgendes fördern:

• das Besucherwissen
• die Analyse der Anfragen
• die Analyse der regionalen Bedürfnisse
• die Servicequalität
• bestimmte strategische Entscheidungen

Wenn Daten an Wert gewinnen, wird ihre Beherrschung zu einer Herausforderung.

Die technischen Abhängigkeiten nehmen zu

Je stärker sich eine Organisation auf Online-Tools, Cloud-Dienste, Schnittstellen und Umgebungen von Drittanbietern stützt, desto mehr muss sie sich folgende Fragen stellen:

• den Speicherort der Daten
• die Hosting-Bedingungen
• die Zugriffsregeln
• die Exportmöglichkeiten
• die Abhängigkeit von einem Anbieter
• die Ausfallsicherheit im Falle eines Vorfalls oder einer Störung

Die DINUM weist im Übrigen darauf hin, dass die digitale Transformation des Staates auf einer „Cloud-first“-Strategie basiert, mit dem ausdrücklichen Ziel, die Daten von Bürgern und Unternehmen bestmöglich zu schützen.

Cyber- und regulatorische Risiken bleiben hoch

Die ANSSI weist darauf hin, dass Datenlecks sowohl durch Angriffe als auch durch menschliches Versagen verursacht werden können, und ihre jüngsten Veröffentlichungen zeigen, dass öffentliche Einrichtungen weiterhin einer hohen Cyberbedrohung ausgesetzt sind.

In diesem Zusammenhang bedeutet die Rede von Souveränität auch die Rede von Sicherheit und Governance.

Was genau umfasst die Datensouveränität?

Der Begriff „Souveränität“ bedeutet nicht zwangsläufig, dass alle Daten intern gehostet werden müssen oder dass jede externe Lösung auszuschließen wäre.

Im Zusammenhang mit einem Tourismusbüro bezieht sich Datensouveränität vielmehr auf mehrere Aspekte:

• zu wissen, wo die Daten gespeichert sind
• den geltenden rechtlichen Rahmen zu kennen
• den Zugriff und die Nutzung zu kontrollieren
• die Daten unter klaren Bedingungen abrufen zu können
• übermäßige Abhängigkeiten zu begrenzen
• ein Schutzniveau wählen, das der Sensibilität der verarbeiteten Informationen entspricht
• sicherstellen, dass die Interessen der Einrichtung und der Besucher Vorrang haben

Die französische öffentliche Doktrin zur Cloud betont genau diesen Gedanken der digitalen Transformation zum Nutzen der Nutzer bei gleichzeitigem Schutz der Daten von Bürgern und Unternehmen.

Mit anderen Worten: Souveränität ist keine infrastrukturelle Obsession. Sie ist eine Frage der Kontrolle.

Warum ein Tourismusbüro direkt betroffen ist

Man könnte meinen, dass dieses Thema vor allem sehr große Organisationen betrifft. Tatsächlich betrifft es aber auch Tourismusbüros, da diese verschiedene Arten von Informationen von strategischem Wert verarbeiten.

Daten im Zusammenhang mit Besuchern

Je nach Verwendungszweck kann dies Folgendes umfassen:

• Kontaktdaten
• geäußerte Präferenzen
• Aufenthaltsbedürfnisse
• Sprachbezogene Informationen
• Rückmeldungen aus dem Empfangsbereich
• Empfehlungspfade

Auch wenn diese Daten im engeren Sinne nicht als „sensibel“ gelten, tragen sie doch zum Aufbau einer Vertrauensbeziehung bei.

Daten zur Beobachtung des Gebiets

Die Rückmeldungen aus dem Empfangsbereich können Folgendes aufzeigen:

• wiederkehrende Erwartungen
• Spannungen an bestimmten Standorten
• nicht gedeckte Bedürfnisse
• vorherrschende Nutzungsmuster
• saisonale Trends

Diese Daten sind von strategischem Wert, da sie bei der Steuerung helfen.

Daten, die sich auf die Organisation selbst beziehen

Tools, Tabellen, Verlaufsdaten, Arbeitsabläufe, strukturierte Inhalte und Verbreitungslogiken sind Teil des Informationskapitals der Einrichtung.

Die Kontrolle über diese Elemente zu verlieren oder zu stark von einem undurchsichtigen Umfeld abhängig zu sein, kann die Behörde mittelfristig schwächen.

Datensouveränität, DSGVO und Cybersicherheit: drei miteinander verbundene, aber unterschiedliche Themen

Es ist sinnvoll, diese Begriffe voneinander zu unterscheiden.

Die DSGVO schützt Personen

Sie regelt die Erhebung und Nutzung personenbezogener Daten anhand von Grundsätzen wie Zweckbindung, Datenminimierung, Transparenz und Sicherheit.

Cybersicherheit schützt Systeme und Zugriffe

Sie betrifft die technische Robustheit, die Vorbeugung von Vorfällen, das Schwachstellenmanagement und die Verringerung des Kompromittierungsrisikos. Die ANSSI stellt diesbezüglich Referenzrahmen und bewährte Verfahren zur Verfügung.

Souveränität schützt die Kontrollfähigkeit

Sie wirft Fragen der Governance auf:

• Abhängigkeit von einem Anbieter
• tatsächliche Kontrolle über die Daten
• Rechtlicher Rahmen für das Hosting
• Reversibilität
• Transparenz hinsichtlich der Nutzung
• Kompatibilität mit den Anforderungen öffentlicher Akteure

Diese drei Themen überschneiden sich, sind jedoch nicht identisch. Eine Lösung kann DSGVO-konform sein und dennoch Fragen hinsichtlich Abhängigkeiten oder Governance aufwerfen. Eine Lösung kann technisch effizient sein und dennoch wenig Transparenz hinsichtlich der Kontrollbedingungen bieten.

Warum die vertrauenswürdige Cloud zu einem wichtigen Maßstab wird

In Frankreich präsentiert die ANSSI die SecNumCloud als Referenzrahmen zur Qualifizierung sogenannter „vertrauenswürdiger“ Cloud-Angebote, die hohe technische, betriebliche und rechtliche Anforderungen erfüllen und Empfehlungen zum Schutz sensibler Daten enthalten.

Das bedeutet nicht, dass jedes Tourismusbüro sofort seine gesamte Nutzung auf ein SecNumCloud-zertifiziertes Angebot umstellen muss.

Es zeigt jedoch deutlich einen grundlegenden Trend: Für öffentliche oder halböffentliche Akteure geht es nicht mehr nur darum, ob „es funktioniert“, sondern auch darum, welche Garantien in Bezug auf Sicherheit, Recht und Governance gegeben sind.

Für Entscheidungsträger in Tourismusbüros verändert dies die Art und Weise, wie sie Fragen an Dienstleister stellen:

• Wo werden die Daten gehostet?
• Nach welchem Recht?
• Welche Garantien gibt es hinsichtlich des Zugriffs?
• Wie funktioniert der Export?
• Welche Sicherheitsmaßnahmen werden angewendet?
• Welche Abhängigkeiten entstehen durch die Lösung?

Die konkreten Risiken einer unzureichenden Kontrolle

Wenn die Datenhoheit nur unzureichend berücksichtigt wird, ergeben sich mehrere Risiken.

Das Risiko einer starken Abhängigkeit

Wenn eine Organisation nicht in der Lage ist, ihre Daten einfach abzurufen, das Tool zu wechseln oder ihr Wissen historisch zu dokumentieren, wird sie in unzumutbarem Maße von einem Anbieter abhängig.

Das Risiko der Intransparenz

Sind die Bedingungen für Hosting, Zugriff oder Auftragsverarbeitung unklar, wird es schwierig, den Grad der Kontrolle wirklich einzuschätzen.

Risiko einer Unterbrechung der Dienstkontinuität

Im Falle eines Vorfalls, einer Vertragsänderung oder technischer Schwierigkeiten kann die Behörde in ihrer Fähigkeit, Daten zu hosten, zu verbreiten und zu steuern, beeinträchtigt werden.

Risiko eines Vertrauensverlusts

Für Einrichtungen, die Besucher empfangen, eine Region vertreten und oft in einem öffentlichen oder halböffentlichen Umfeld arbeiten, wird das digitale Vertrauen sowohl zu einer Frage des Images als auch der Compliance.

Risiko eines Verlusts an strategischem Wert

Wenn die im Besucherbereich erzeugten Daten für die Steuerung nützlich werden, sind sie Teil des Informationsvermögens der Einrichtung. Sie als bloßes technisches Nebenprodukt zu behandeln, ist daher ein Fehler.

Fazit

Die Souveränität über Tourismusdaten wird zu einem strategischen Thema, weil sich der Status der Daten selbst verändert. Sie dienen nicht mehr nur der Archivierung oder Zählung. Sie helfen bei der Personalisierung, Verbreitung, dem Verständnis und der Steuerung.

Daher lautet die Frage nicht mehr nur „Funktioniert unser Tool?“, sondern auch:

• Beherrschen wir die Daten, die es erzeugt, wirklich?
• Wissen wir, wohin sie fließen?
• Wissen wir, wie wir sie wieder abrufen können?
• Wissen wir, unter welchen Garantien sie verarbeitet werden?

Im öffentlichen und kommunalen Bereich gewinnen diese Fragen zunehmend an Bedeutung. Und je stärker die digitale Erfassung voranschreitet, desto konkreter werden sie.

Datensouveränität ist also keine Abstraktion. Sie ist eine Voraussetzung für Vertrauen, Kontinuität und langfristige Kontrolle.