Home / Aktuelles & Termine / it.sec blog

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand, Angaben zum bestehenden Arbeitsverhältnis), u.a. auch sensible Daten, wie Personalausweisdaten sowie Angaben zu Vermögensverhältnissen (z.B. Lohn-und Gehaltsnachweise, Schufa-Auskunft).

Der Datenschutzgrundsatz der Datenminimierung ist für die meisten Immobilienmakler dabei anscheinend kein Thema. So hat das Bayerische Landesamt für Datenschutzaufsicht in einer Prüfaktion bei 86 Immobilienmaklern, veranlasst durch die anhaltenden Beschwerden betroffener Personen, festgestellt, dass „bei fast allen geprüften Maklern (…) erheblicher Handlungsbedarf bezüglich des Umfangs der erhobenen personenbezogenen Daten“ besteht (siehe Tätigkeitsbericht 2015/2016, S. 22, abrufbar unter https://www.lda.bayern.de/media/baylda_report_07.pdf).

Über die Kontakt- und Selbstauskunftsformulare müssen die Interessenten oftmals ihre Daten in vollem Umfang preisgeben, bevor konkrete vertragliche Verhandlungen überhaupt stattfinden – nach dem Motto, wer sich nicht transparent macht, bekommt schon gar keinen Besichtigungstermin. Insbesondere die Anforderung von Personalausweiskopien wird hierbei von den Aufsichtsbehörden bemängelt, zumal eine automatisierte Speicherung der Ausweisdaten bereits nach dem PAuswG unzulässig ist. In Kombination mit Defiziten bei der Datensicherheit und Datenlöschung drohen der Immobilien-Branche empfindliche Geldbußen ab dem 25.05.2018, wenn die Datenschutzgrundverordnung (DSGVO) verbindlich wird. Daher sollten auch Immobilienmakler die verbleibende Zeit nutzen, ihre Prozesse zur Datenerhebung und -verarbeitung an datenschutzrechtliche und datensicherheitstechnische Vorgaben anzupassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Das Meldewesen ist in die ausschließliche Zuständigkeit des Bundes überführt worden und das Bundesmeldegesetz (BMG) ab dem 01.11.2015 in Kraft getreten. Da das BMG Regelungen bzgl. der Erhebung von Daten der in Hotels beherbergten Personen enthält, richtet sich der folgende Blogeintrag an Hotelbetriebe.

Meldedaten des Hotelgastes

Hotelbetriebe sind gemäß § 30 Abs. 1 BMG verpflichtet, Meldedaten der bei ihnen beherbergten Personen über den Meldeschein zu erheben.

Über die Meldescheine dürfen gemäß § 30 Abs. 2 BMG ausschließlich die folgenden Angaben des Hotelgastes erhoben werden:

  • Tag der Ankunft
  • Tag der voraussichtlichen Abreise
  • Familienname
  • gebräuchlicher Vorname
  • Geburtsdatum
  • Anschrift
  • Staatsangehörigkeiten
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers, sofern der Hotelgast Ausländer und namentlich auf dem Meldeschein aufzuführen ist.

Meldedaten mitreisender Personen

Über mitreisende Personen darf / dürfen im Meldeschein

  • nur die Anzahl angegeben werden, wenn diese Personen Angehörige des meldepflichtigen Hotelgastes sind gemäß § 29 Abs. 2 S. 2 BMG;
  • nur die Anzahl und Staatsangehörigkeiten angegeben werden, wenn es sich um Angehörige einer Reisegruppe von mehr als 10 Personen handelt, so dass allein der Reiseleiter gemäß § 29 Abs. 2 S. 3 BMG einen Meldeschein unterzeichnen muss.

Sofern mitreisende Personen nicht unter den Ausnahmetatbestand der § 29 Abs. 2 S. 2 oder S. 3 BMG fallen, haben sie grundsätzlich einen eigenen Meldeschein auszufüllen bzw. zu unterzeichnen.

Als Angehörige gelten Ehegatten, Lebenspartner und Kinder.

Hotelbetriebe haben jedoch nach Ansicht der Aufsichtsbehörden keine Prüfpflicht bzgl. der Angaben des Gastes.

Meldedaten zur Erhebung von Fremdenverkehrs- und Kurbeiträgen

Gemäß § 30 Abs. 2 BMG dürfen auch Daten, die zurErhebung von Fremdenverkehrs- und Kurbeiträgenerforderlich sind, über den Meldeschein erhoben werden. Welche Daten hierfür erforderlich sind, ergibt sich aus den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen.

Unzulässigkeit von Personalausweiskopien

Das Kopieren von Personalausweisen oder sonstiger Ausweisdokumente von Hotelgästen durch die Hotelbetriebe ist im Gesetz weder bei In- noch bei Ausländern vorgesehen und daher unzulässig.

Bei ausländischen Hotelgästen gilt:

  • Pflicht zur Vorlage des Passes oder des Passersatzpapiers für ausländische Hotelgäste, sofern sie namentlich auf dem Meldeschein aufzuführen sind.
  • Abgleich der Daten im Pass oder Passersatzpapier mit denen auf dem Meldeschein.
  • Vermerken der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung einer Kopie des Identitätsdokuments.

Bei inländischen Hotelgästen gilt:

  • Keine Pflicht der inländischen Hotelgäste zur Vorlage des Personalausweises oder eines sonstigen Identitätsdokuments.
  • Sofern der Personalausweis von diesen Hotelgästen freiwillig dennoch vorgelegt wird, darf nur ein Abgleich der Daten mit denen auf dem Meldeschein stattfinden.
  • Kein Vermerk der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung von Kopien des Identitätsdokuments.

Hinweispflicht

Nach § 4 Abs. 3 BDSG besteht eine Pflicht des Hotels, den Hotelgast auf die Zweckbestimmung und auf die gesetzliche Grundlage der Erhebung der Meldedaten, die sich aus dem Bundesmeldegesetz sowie den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen ergibt, hinzuweisen.

Zutrittskontrolle

Die Meldescheine sind gegen unbefugte Einsichtnahme zu schützen. Gemäß § 30 Abs. 1 BMG haben die Leiter der Beherbergungsstätten die Meldescheine bereit zu halten. Daher sollten spätestens nach Abreise des Gastes die Meldescheine in einem gegen unbefugten Zutritt gesicherten Archiv, für den allein die Hotelleitung bzw. deren Stellvertretung die Zutrittsmittel haben, aufbewahrt werden.

Weitergabekontrolle

Die Meldescheine dürfen ausschließlich für die nach Landesrecht bestimmten Behörden und die in § 34 Abs. 4 S. 1 Nr. 1 bis 5 und Nr. 9 bis 11 BMG genannten Behörden:

  • Polizeibehörden des Bundes und der Länder
  • Staatsanwaltschaften
  • Amtsanwaltschaften
  • Gerichte, soweit sie Aufgaben der Strafverfolgung, der Strafvollstreckung oder des Strafvollzugs wahrnehmen
  • Justizvollzugsbehörden
  • Zollfahndungsdienst
  • Hauptzollämter
  • Finanzbehörden, soweit sie strafverfolgend tätig sind
  • Erhebungsberechtigte hinsichtlich der Fremdenverkehrs- und Kurbeiträge

zur Einsichtnahme bereitgehalten werden.

Die Meldescheine sind den Behörden gemäß § 30 Abs. 4 BMG auf Verlangen auszuhändigen.

Aufbewahrungsfristen

Die ausgefüllten Meldescheine sind gemäß § 30 Abs. 4 S. 1 BMG vom Tag der Anreise der beherbergten Person an ein Jahr aufzubewahren und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist zu vernichten.

Für Meldescheine, die ebenso zur Erhebung der Fremdenverkehrs- und Kurbeiträge dienen, können längere Aufbewahrungsfristen gelten.

Vernichtung der Meldescheine

Nach Ablauf der jeweiligen Aufbewahrungsfrist sind die Meldescheine datenschutzgerecht zu vernichten.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Pixel Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikolage Risikomanagement Risk & Compliance Management Sanktionen Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Wettbewerbsrecht wettbewerbsrechtliche Abmahnung WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31