Home / Aktuelles & Termine / it.sec blog

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand, Angaben zum bestehenden Arbeitsverhältnis), u.a. auch sensible Daten, wie Personalausweisdaten sowie Angaben zu Vermögensverhältnissen (z.B. Lohn-und Gehaltsnachweise, Schufa-Auskunft).

Der Datenschutzgrundsatz der Datenminimierung ist für die meisten Immobilienmakler dabei anscheinend kein Thema. So hat das Bayerische Landesamt für Datenschutzaufsicht in einer Prüfaktion bei 86 Immobilienmaklern, veranlasst durch die anhaltenden Beschwerden betroffener Personen, festgestellt, dass „bei fast allen geprüften Maklern (…) erheblicher Handlungsbedarf bezüglich des Umfangs der erhobenen personenbezogenen Daten“ besteht (siehe Tätigkeitsbericht 2015/2016, S. 22, abrufbar unter https://www.lda.bayern.de/media/baylda_report_07.pdf).

Über die Kontakt- und Selbstauskunftsformulare müssen die Interessenten oftmals ihre Daten in vollem Umfang preisgeben, bevor konkrete vertragliche Verhandlungen überhaupt stattfinden – nach dem Motto, wer sich nicht transparent macht, bekommt schon gar keinen Besichtigungstermin. Insbesondere die Anforderung von Personalausweiskopien wird hierbei von den Aufsichtsbehörden bemängelt, zumal eine automatisierte Speicherung der Ausweisdaten bereits nach dem PAuswG unzulässig ist. In Kombination mit Defiziten bei der Datensicherheit und Datenlöschung drohen der Immobilien-Branche empfindliche Geldbußen ab dem 25.05.2018, wenn die Datenschutzgrundverordnung (DSGVO) verbindlich wird. Daher sollten auch Immobilienmakler die verbleibende Zeit nutzen, ihre Prozesse zur Datenerhebung und -verarbeitung an datenschutzrechtliche und datensicherheitstechnische Vorgaben anzupassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Das Meldewesen ist in die ausschließliche Zuständigkeit des Bundes überführt worden und das Bundesmeldegesetz (BMG) ab dem 01.11.2015 in Kraft getreten. Da das BMG Regelungen bzgl. der Erhebung von Daten der in Hotels beherbergten Personen enthält, richtet sich der folgende Blogeintrag an Hotelbetriebe.

Meldedaten des Hotelgastes

Hotelbetriebe sind gemäß § 30 Abs. 1 BMG verpflichtet, Meldedaten der bei ihnen beherbergten Personen über den Meldeschein zu erheben.

Über die Meldescheine dürfen gemäß § 30 Abs. 2 BMG ausschließlich die folgenden Angaben des Hotelgastes erhoben werden:

  • Tag der Ankunft
  • Tag der voraussichtlichen Abreise
  • Familienname
  • gebräuchlicher Vorname
  • Geburtsdatum
  • Anschrift
  • Staatsangehörigkeiten
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers, sofern der Hotelgast Ausländer und namentlich auf dem Meldeschein aufzuführen ist.

Meldedaten mitreisender Personen

Über mitreisende Personen darf / dürfen im Meldeschein

  • nur die Anzahl angegeben werden, wenn diese Personen Angehörige des meldepflichtigen Hotelgastes sind gemäß § 29 Abs. 2 S. 2 BMG;
  • nur die Anzahl und Staatsangehörigkeiten angegeben werden, wenn es sich um Angehörige einer Reisegruppe von mehr als 10 Personen handelt, so dass allein der Reiseleiter gemäß § 29 Abs. 2 S. 3 BMG einen Meldeschein unterzeichnen muss.

Sofern mitreisende Personen nicht unter den Ausnahmetatbestand der § 29 Abs. 2 S. 2 oder S. 3 BMG fallen, haben sie grundsätzlich einen eigenen Meldeschein auszufüllen bzw. zu unterzeichnen.

Als Angehörige gelten Ehegatten, Lebenspartner und Kinder.

Hotelbetriebe haben jedoch nach Ansicht der Aufsichtsbehörden keine Prüfpflicht bzgl. der Angaben des Gastes.

Meldedaten zur Erhebung von Fremdenverkehrs- und Kurbeiträgen

Gemäß § 30 Abs. 2 BMG dürfen auch Daten, die zurErhebung von Fremdenverkehrs- und Kurbeiträgenerforderlich sind, über den Meldeschein erhoben werden. Welche Daten hierfür erforderlich sind, ergibt sich aus den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen.

Unzulässigkeit von Personalausweiskopien

Das Kopieren von Personalausweisen oder sonstiger Ausweisdokumente von Hotelgästen durch die Hotelbetriebe ist im Gesetz weder bei In- noch bei Ausländern vorgesehen und daher unzulässig.

Bei ausländischen Hotelgästen gilt:

  • Pflicht zur Vorlage des Passes oder des Passersatzpapiers für ausländische Hotelgäste, sofern sie namentlich auf dem Meldeschein aufzuführen sind.
  • Abgleich der Daten im Pass oder Passersatzpapier mit denen auf dem Meldeschein.
  • Vermerken der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung einer Kopie des Identitätsdokuments.

Bei inländischen Hotelgästen gilt:

  • Keine Pflicht der inländischen Hotelgäste zur Vorlage des Personalausweises oder eines sonstigen Identitätsdokuments.
  • Sofern der Personalausweis von diesen Hotelgästen freiwillig dennoch vorgelegt wird, darf nur ein Abgleich der Daten mit denen auf dem Meldeschein stattfinden.
  • Kein Vermerk der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung von Kopien des Identitätsdokuments.

Hinweispflicht

Nach § 4 Abs. 3 BDSG besteht eine Pflicht des Hotels, den Hotelgast auf die Zweckbestimmung und auf die gesetzliche Grundlage der Erhebung der Meldedaten, die sich aus dem Bundesmeldegesetz sowie den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen ergibt, hinzuweisen.

Zutrittskontrolle

Die Meldescheine sind gegen unbefugte Einsichtnahme zu schützen. Gemäß § 30 Abs. 1 BMG haben die Leiter der Beherbergungsstätten die Meldescheine bereit zu halten. Daher sollten spätestens nach Abreise des Gastes die Meldescheine in einem gegen unbefugten Zutritt gesicherten Archiv, für den allein die Hotelleitung bzw. deren Stellvertretung die Zutrittsmittel haben, aufbewahrt werden.

Weitergabekontrolle

Die Meldescheine dürfen ausschließlich für die nach Landesrecht bestimmten Behörden und die in § 34 Abs. 4 S. 1 Nr. 1 bis 5 und Nr. 9 bis 11 BMG genannten Behörden:

  • Polizeibehörden des Bundes und der Länder
  • Staatsanwaltschaften
  • Amtsanwaltschaften
  • Gerichte, soweit sie Aufgaben der Strafverfolgung, der Strafvollstreckung oder des Strafvollzugs wahrnehmen
  • Justizvollzugsbehörden
  • Zollfahndungsdienst
  • Hauptzollämter
  • Finanzbehörden, soweit sie strafverfolgend tätig sind
  • Erhebungsberechtigte hinsichtlich der Fremdenverkehrs- und Kurbeiträge

zur Einsichtnahme bereitgehalten werden.

Die Meldescheine sind den Behörden gemäß § 30 Abs. 4 BMG auf Verlangen auszuhändigen.

Aufbewahrungsfristen

Die ausgefüllten Meldescheine sind gemäß § 30 Abs. 4 S. 1 BMG vom Tag der Anreise der beherbergten Person an ein Jahr aufzubewahren und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist zu vernichten.

Für Meldescheine, die ebenso zur Erhebung der Fremdenverkehrs- und Kurbeiträge dienen, können längere Aufbewahrungsfristen gelten.

Vernichtung der Meldescheine

Nach Ablauf der jeweiligen Aufbewahrungsfrist sind die Meldescheine datenschutzgerecht zu vernichten.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kommune Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30