Home

Neue BizTravel-Serie (0)

Datenschutz im Travel Management

06.03.2017, 11:45

„Modernes Travel Management“, so nennen wir unsere neue BizTravel-Serie, in der wir 2017 aktuelle Fragen aus der Geschäftsreisebranche durchleuchten. Wir starten mit der Datensicherheit.

Zur Reisebranche passt das Bild. „Das Internet ist zum Nacktscanner von innen geworden“, schreibt der Jurist Milosz Matuschek in einer Kolumne der Neuen Zürcher Zeitung. Für den Experten von der Pariser Sorbonne steht fest: Das Netz hat uns zu gläsernen Menschen gemacht. Vor allem, wer in Facebook aktiv ist, über Google sucht oder via Amazon bestellt, hat seine Privatsphäre ans Internet verkauft (besser: verschenkt). Aus dem Facebook-Auftritt, den Bewegungsprofilen (Smartphone!), den Suchanfragen bei Google und den Kaufentscheidungen lässt sich ein detailliertes Bild jedes Menschen zeichnen.

Welche Folgen das haben kann, zeigt die Wahl von Donald Trump. Ein britisches Unternehmen rühmt sich, den Milliardär zum Präsidenten gemacht zu haben: Dank Facebook & Co habe es für Millionen Wähler Persönlichkeitsprofile geschaffen, um sie gezielt anzusprechen. Daten sammeln, um auf künftiges Verhalten von Kunden zu schließen: Das hat vor vielen Jahrzehnten schon den Bertelsmann-Buchclub groß gemacht, und nach wie vor nutzen es Bindungssysteme wie Payback. Großer Unterschied: Im Internet ist die Transparenz total und ungeschützt, und jeder könnte sich Zugriff verschaffen.

Datenkraken wie Facebook, Google & Co lassen George Orwells Vision von der totalen Überwachung („1984“) längst real werden, und geradezu niedlich mutet inzwischen der Widerstand gegen die 1983 vorgenommene Volkszählung in Deutschland an. Moderne Datenschützer wären wohl heilfroh, wenn es auch heute nur um die damals abgefragten Themen ginge. Heute geht es um eine Ausspähung der Menschen, die in der Weltgeschichte bislang einmalig ist: Facebook und Google handeln wie Bergbauunternehmen. „Sie bohren nach dem wertvollen Rohstoff Daten“, sagt Milosz Matuschek, „transportieren ihn auf ihre Server-Farmen, verarbeiten ihn weiter und machen ihn zu Geld.“

Gefahr auch für Firmen

Die Daten erlauben Rückschlüsse darauf, wie wir denken und handeln, was wir bevorzugen, und sie sind entscheidend dafür, mit wem wir in Kontakt treten sollen und welche Inhalte uns gezeigt werden. Selbst Facebook-Nichtmitglieder gelten als ungeschützt: Über Adressbücher und Handynummern der Mitglieder werden sie ebenso bekannt wie etwa über Markierungen auf eingestellten Fotos.

Aber nicht nur einzelne Personen werden gläsern, sondern auch Unternehmen. Dabei geht es meist nicht (nur) um die Daten aus den sozialen Netzwerken: Eine entscheidende Rolle spielt das Reisesegment. „Wer Geschäftsreisen bucht, gibt enorme Datenmengen preis“, sagt Professor Tobias Ehlen von der Hochschule Worms. Angaben, aus denen sich die Bewegungsprofile der Firma erkennen lassen. Aus diesen wiederum lässt sich schließen, was das Unternehmen vorhat, welche Projekte es plant und woran es gerade arbeitet. Auch wenn die Buchungsdaten zunächst bei Reisedienstleistern oder staatlichen Stellen landen, so gehen Beobachter fest davon aus, dass „patriotisch getriebene Regierungen“ sie an die Firmen im eigenen Land weitergeben: also direkt an die Wettbewerber.

Überdies kann ein solch riesiger Datentransfer an Dienstleister außerhalb der Europäischen Union, wie er derzeit geschieht, nationale Sicherheitsinteressen gefährden. Berührt ist zudem der Schutz der persönlichen Daten der Reisenden. Erst 2015 hatte der Europäische Gerichtshof daher das Safe-Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt: Das System ist nach Ansicht der Richter unwirksam, da die 5.500 US-Unternehmen, die sich Safe Harbor unterworfen hatten, jederzeit und ohne Einschränkungen die Daten aus Europa an die US-Sicherheitsbehörden weitergeben müssten. Einen gerichtlichen Schutz gegen derartige Eingriffe ins Privatleben der Reisenden sieht das US-Recht aber nicht vor.

Die Nachfolgeregelung Privacy Shield sehen Kritiker als reine Augenwischerei. Zum einen ist nach Ansicht von Datenschützern das Abkommen rechtlich nicht verbindlich, zum anderen dürften US-Dienste weiterhin Daten abschöpfen, ohne es den Betroffenen mitzuteilen. Und dass sich amerikanische Behörden an die Vorgaben deutscher Datenschützer halten, dürfte niemand ernsthaft annehmen.

An sensible Unternehmensdaten lässt sich besonders über den Datenhändler Prism gelangen, eine Tochter des Reservierungssystems Sabre. Wer Firmenverträge mit Fluggesellschaften abschließt, kommt an einer Datenweitergabe an Prism derzeit kaum herum: Die Airlines fordern dies von den Unternehmen, um getroffene Vereinbarungen kontrollieren zu können. „Die gelieferten Angaben informieren auch über die Nutzung der Wettbewerber und lassen einen Personenbezug herstellen“, sagt Dirk Gerdom, Präsident des VDR. „Für die Unternehmen bedeutet das im Klartext, dass die Rechtslage hierzu weiterhin extrem unsicher ist und sie keine Garantie dafür haben, wie ihre Daten in den USA gehandhabt werden.“ Bereits ein einziger Airline-Vertrag mit Prism-Vereinbarung bedeute, dass sämtlicher Flugdaten des Unternehmens zur Analyse in die USA transferiert werden.

Kartellamt gegen Prism

Derzeit ermittelt das deutsche Bundeskartellamt. Und vieles deutet darauf hin, dass die Behörde die Prism-Praktiken genau wie der VDR als unvereinbar mit Datenschutz und Wettbewerbsrecht beurteilen wird. Die EU-Kommission dürfte dies zwar ähnlich sehen, hat aber aus politischen Gründen bislang von einer Kritik an den USA abgesehen. Ob sich Europa gegen einen Präsidenten Trump mutiger positionieren wird, bleibt abzuwarten.

Deutsche Firmen sollten in jedem Fall künftig vorsichtiger sein: Ungemach droht ihnen nicht nur durch das mögliche Ausspähen ihrer Daten und derjenigen ihrer Beschäftigten, sondern auch durch hiesige Behörden. Denn mit dem Inkrafttreten der neuen EU-Datenschutzverordnung im Mai 2018 dürfte das behördlich bislang vernachlässigte Thema der Datensicherheit an Aufmerksamkeit gewinnen. „Behörden werden von sich aus aktiv werden und überprüfen, ob sich Firmen an den Datenschutz halten“, sagt Hochschulprofessor Ehlen. Auch die Teilnahme ihrer US-Partner an Privacy Shield bietet keine Sicherheit.

Geradestehen für die Partner

Besonders brisant: Unternehmen müssen nicht nur nachweisen, dass sie sich selbst datenschutzrechtlich korrekt verhalten. Sie müssen auch für ihre Dienstleister die Hand ins Feuer legen. Fürs Travel Management bedeutet das: Es muss eine sogenannte Auftragskontrolle vornehmen. „Travel Manager müssen künftig überprüfen, wie ihre Partner mit den Personendaten umgehen“, so Tobias Ehlen. „Das gilt für Fluggesellschaften und Hotels ebenso wie für die Reisebüros.“

„Hier müssen unbedingt auch die Reisebüros der Unternehmen, also die TMC, mit ins Boot geholt werden“, fordert VDR-Präsident und SAP-Reisechef Gerdom denn auch seine Kollegen auf. „Sie sollten die Travel Manager von sich aus regelmäßig und im Detail darüber informieren, welche Daten aus welchen Ländern an Prism geliefert werden.“

Dabei können selbst Firmen auf dünnes Eis geraten, die gar nicht fliegen. Die Deutsche Bahn etwa hatte kürzlich angekündigt, ihre Kundendaten nicht mehr selbst zu verwalten, sondern diese in die Amazon-Cloud zu verlagern. Für Unternehmen wäre das ein No-Go: Als US-Konzern müsste Amazon seine Daten im Zweifel an US-Behörden weitergeben. Würde sich die Bahn tatsächlich für den Internet-Konzern entscheiden, müssten Bahn-Corporate-Kunden darauf drängen, dass sie von diesem Vorgehen ausgenommen werden.

Wer nicht nachweisen kann, dass bei ihm und seinen Partnern Daten geschützt werden, für den kann es teuer werden. Abgesehen von eventuellen zivilrechtlichen Klagen der betroffenen Personen sind strafrechtlich Bußgelder von bis zu 300.000 Euro möglich. EU-Justizkommissarin Viviane Reding droht Unternehmen sogar „mit Strafen von bis zu zwei Prozent des Jahresumsatzes“, wenn sie „illegal Daten übermitteln“. Um Unternehmen auf das Problem aufmerksam zu machen, haben deutsche Behörden im vergangenen Jahr 500 Firmen angeschrieben und etwa danach gefragt, ob sie im Reisebereich Clouds nutzen. Entworfen wurde der umfassende Fragebogen von den Datenschutzämtern aus zehn Bundesländern. „Damit wollten uns die Behörden für das Thema sensibilisieren“, so Knut Weisser, Data Privacy Officer der Allianz.

Jeder Betrieb sollte seine Reisedienstleister vertraglich verpflichten, Auskunft über alle Personendaten zu geben. Einmal pro Jahr ist diese Dienstleistung kostenfrei. Firmen können die Löschung von Daten verlangen, und sollte eine Aufbewahrungsfrist vorgeschrieben sein, so müssen die Partner die entsprechenden Daten sicher vor Zugriff sperren.

„Zunächst einmal müssen sich die Unternehmen selbst über ihren Datenfluss im Travel Management im Klaren sein – welche Daten werden gesammelt, wie werden sie genutzt und wie und warum werden sie verarbeitet“, sagt Kasey Chappelle, Datenschutz- beauftragte bei American Express GBT. „Reisende sollten über alle Dienstleistungen hinweg wissen, wie und warum ihre Daten genutzt werden – und von wem.“ Fakt ist: Immer mehr Travel Manager sorgen sich um Datensicherheit. In Umfragen nimmt das Thema eine Spitzenposition ein – zumindest im deutschsprachigen Raum. In der International Travel Management Study von Airplus nannten 87% der Reiseverantwortlichen die Absicherung digitaler Firmendaten als ein Problem, dessen Bedeutung zunehmen wird.

Tipps für die Datensicherheit

Verlangen Sie von Dienstleistern wie Reisebüros Auskunft darüber, welche Personendaten sie haben und an wen sie diese weitergeben.

Der Datenschutz verbietet nicht das Datensammeln. Das ist mitunter nötig: für Reporting, für Reisesicherheit. Machen Sie jedoch den Datenfluss transparent: Was wird gesammelt? Wie schützen Sie es? An wen geben Sie Daten weiter? Was machen Ihre Dienstleister damit?

Verankern Sie in Verträgen mit Reisebüros, Airlines und anderen, dass diese den Datenfluss transparent machen. Schließen Sie so weit wie möglich aus, dass Daten in die USA transferiert werden oder auf US-Servern landen. Lassen Sie Ihre Dienstleister Ihre Standard-AGB zum Datenschutz unterschreiben.

0 Leser-Kommentare

  1. Top 5: Die beliebtesten Witze
  2. Kino-Witz: Das ist billig!
  3. Nordkorea-Witz: Wie im Paradies
  4. Manieren-Witz: Die Jugend von heute!
  5. Hotel-Witz: Wohl Pech gehabt
  6. EDV-Witz: Autopanne mit IT-Freak
Google
  • Weitere Tipps Zum Reise-Management
Zur Rubrik Reise-Management