EINWILLIGUNGSERKLÄRUNG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN DRITTSTAATEN
Reisebüros, iSd Art 49 DSGVO
Inhalt:
- Erläuterungen und Hinweise
- Muster Einwilligungserklärung Datenschutz Betroffener für unsicheren Drittstaat
Erläuterung und Hinweise
Unzureichendes Datenschutzniveau in Drittstaaten
Viele der von Kunden gewünschten Reiseziele liegen in Drittstaaten, in denen die europäischen Datenschutzstandards nicht gelten und auch nicht durchgesetzt werden können: Oft gibt es keinen Beschluss der Europäischen Kommission, wonach das Datenschutzniveau in einem Staat angemessen ist, und auch sonst keine vergleichbaren Bestätigungen österreichischer Behörden zur Bestätigung der Angemessenheit des Datenschutzes. Vor Wirksamwerden der DSGVO am 25.5.2018 sind dies aus Sicht der Europäischen Kommission bislang lediglich Andorra, Argentinien, die Färoer Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay und mit Einschränkungen Kanada und die USA. Verhandlungen mit anderen Staaten laufen, siehe dazu und zum Stand der Verhandlungen mit weiteren Staaten die Webseite der EU, abrufbar unter https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en.
In vielen Fällen gibt es für Drittstaaten auch sonst keine entsprechenden Grundlagen (Dokumente, internen verbindlichen Vorschriften, Standardschutzklauseln, genehmigten Verhaltensregeln, Zertifizierungen oder sonstigen Garantien), mit denen das Reisebüro die Rechte des Kunden auf Verarbeitung von deren Daten nach EU-Standards sicherstellen kann. Im Rahmen der Erfüllung des vom Kunden gewünschten Vertrags dürfen einige der Kundendaten, die für die Buchungsvorgänge erforderlich sind, in unsichere Drittstaaten übermittelt werden (Art 49 Abs 1 lit b) und c) DSGVO). Das gilt nicht für Daten, die für diesen Zweck in Wahrheit nicht benötigt werden und es gibt zudem erhebliche Bedenken, ob sensible Daten (z.B. Daten zu physischer oder mentaler Gesundheit) ohne ausdrückliche Einwilligung des Kunden in unsichere Drittstaaten übermittelt werden dürfen. Wir empfehlen deshalb dringend, eine solche Einwilligung einzuholen und diese in größeren zeitlichen Abständen bei Gelegenheit regelmäßig zu erneuern.
Absicherung durch Einwilligungserklärung für unsichere Drittstaaten
Wenn das Reisebüro ein Interesse daran hat, Umfang und die Dauer der Datenverarbeitung und Datenübermittlung in solche Staaten durch eine Einwilligung des Kunden abzusichern und auch für weitere Buchungen des Kunden vorzubeugen, empfiehlt sich die Einholung einer gesonderten Einwilligungserklärung gemäß Art 49 Abs 1 lit a) DSGVO. Dieser Einwilligung sollte als Beiblatt, auf das verwiesen wird, eine regelmäßig (zumindest einmal pro Quartal) aktualisierte Liste mit Informationen, welche Drittstaaten als sicher gelten, angeschlossen werden.
Dieses Dokument bezieht sich auf die ab 25.5.2018 in Österreich wirksame Rechtslage. Es wurde in Zusammenarbeit der Bundessparte Tourismus und Freizeitwirtschaft, des Fachverbands der Reisebüros und der Rechtsanwaltskanzlei MSP Law als unverbindliches Beispiel für jene Mitglieder der Wirtschaftskammer Österreich erstellt, die als Reisebüros tätig sind. Da Unternehmen sehr unterschiedlich arbeiten, muss dieses Dokument an die Gegebenheiten des Unternehmens angepasst werden. Es wird empfohlen, für diese Anpassung einen Rechtsberater beizuziehen. Eine Haftung der Urheber dieses Musters ist ausgeschlossen.
EINWILLIGUNGSERKLÄRUNG DATENSCHUTZ BETROFFENER DRITTSTAATEN
Ich, Name ________________________________________ Geburtsdatum _______________
Anschrift: PLZ ______________ Ort _______________________________________________
Adresse _______________________________________________________________________
willige im eigenen Namen ein, dass die A&R MOSER OG, Reisebüro Moser als Reisebüro (im Folgenden „Reisebüro“ genannt)
meine personenbezogenen Daten, insbesondere
- Stammdaten (Name, Vorname, Adresse, Mail Adresse, Telefonnummer),
- die Daten in Reisedokumenten (insbesondere Passnummer, Passdaten, Geburtsdatum, ausstellende Behörde, Laufzeit, biometrische Daten, nationaler Ursprung),
- die Daten zu Zahlungsart und im Zusammenhang mit EC-Karten, Kreditkarten und Bankkarten,
- Destinationen, Hotels, Aufenthaltsdauer, Kontaktpersonen, Konditionen, Special Services, Gesundheitsdaten, Vielfliegernummer, und
- Gesundheitsdaten inklusive Medikation, z.B. im Zusammenhang mit Allergien und Erkrankungen aller Art, sowie Daten über besondere Bedürfnisse und zu Ehe/Partnerschaft
zu folgenden Zwecken verarbeitet [Zutreffendes ankreuzen]:
|
Pauschale |
|
Rundreisen |
|
Hotel only |
|
Zusatzleistung Städte |
|
Flug only |
|
Transfer |
|
KF only |
|
Gutscheine |
|
Mietwagen |
|
Zug / Bus |
|
Versicherung |
|
Fähre |
|
Events |
|
Check in |
|
Getränkepaket |
|
Bordmanifest |
|
Ausflüge |
|
Visum |
|
Sitzplatzreservierung |
|
Rollstuhlservice |
|
Zusatzgepäck |
|
Gruppenreisen |
|
|
|
|
|
Alle für meine jetzigen und weiteren Urlaube/Reisen notwendigen Zwecke |
Weiters stimme ich der Übermittlung der Daten an
- Konzernunternehmen-Veranstalter [Beilage A]
- Kooperationspartner [Beilage xx]
- Emergency Hotline [spezifizieren]
- Online-Buchungsplattformen
und deren Erfüllungsgehilfen [Mitarbeiter] zu.
Ich will, dass alle Reisen und damit zusammenhängenden Dienstleistungen, deren Buchung ich in der Zukunft beim Reisebüro beauftrage, dass meine besonderen Kundenwünsche berücksichtigt werden dürfen.
Zum Zweck meiner optimalen Betreuung wünsche ich, dass
O all meine in dieser Erklärung genannten Daten über die Dauer meiner Geschäftsbeziehung zum Reisebüro hinaus gespeichert bleiben dürfen, damit diese Daten im Fall einer neuen von mir gewünschten Buchung verarbeitet und im erforderlichen Ausmaß an Dritte übermittelt werden dürfen.
O all meine in dieser Erklärung genannten Daten über die Dauer meiner Geschäftsbeziehung zum Reisebüro hinaus und maximal 3 Jahre über die längste, für das Reisebüro geltende gesetzliche Aufbewahrungspflicht hinaus.
O Ich wurde ausdrücklich und ausführlich darüber aufgeklärt, dass
- all diese personenbezogenen Daten zu diesem Zweck auch in Staaten außerhalb der EU übermittelt werden müssen, damit das Reisebüro alle erforderlichen Verarbeitungsprozesse durchführen und durch Dritte veranlassen kann.
- diese Drittstaaten die in der EU und in Österreich geltenden Datenschutzstandards nicht erfüllen: Es liegt kein Angemessenheitsbeschluss iSv Art 45 DSGVO vor und es gibt auch keine geeigneten Garantien iSv Art 46 DSGVO.
- mit der Übermittlung aller personenbezogenen Daten das Risiko verbunden ist, dass die personenbezogenen Daten unter Verletzung der in Österreich und der EU geltenden Datenschutzrechtstandards auch von unbekannten Dritten [Kategorien der Empfänger in Drittstaaten spezifizieren] verarbeitet werden und dass insbesondere meine Betroffenenrechte nicht gewahrt werden, die zulässige Verarbeitungs- und Speicherdauer überschritten werden könnte und ERGÄNZEN (verantwortliches Reisebüro) das nicht verhindern kann.
All das nehme ich in Kauf und dessen ungeachtet wird zu diesen Datenverarbeitungen und Datenübermittlungen in den in Anlage 1 genannten Drittstaaten ausdrücklich von mir die Zustimmung erteilt und bestätigt, dass
- diese Maßnahmen zur Vertragserfüllung des Reisebüros erforderlich sind und in meinem Interesse liegen,
- alle Reisen und damit zusammenhängenden Dienstleistungen, deren Buchung ich in der Zukunft beim Reisebüro beauftrage, möglichst effektiv und zeitsparend erfolgen sollen und dass meine besonderen Kundenwünsche fortgesetzt berücksichtigt werden dürfen und
- 3 Jahre über die längste, für das Reisebüro geltende gesetzliche Aufbewahrungspflicht hinaus gespeichert bleiben dürfen,
- damit diese Daten im Fall einer neuen von mir gewünschten Buchung verarbeitet und
- im erforderlichen Ausmaß an Dritte übermittelt werden dürfen.
O Ich wurde darüber aufgeklärt, dass ich berechtigt bin, diese Einwilligung jederzeit ganz oder teilweise gegenüber dem Reisebüro zu widerrufen.
Mir ist bekannt, dass die Datenschutzpolitik des Reisebüros auf seinem Webportal unter www.reisebuero-moser.at und www.onlineurlaub.at abgerufen werden kann und ich bestätige hiermit, diese gelesen und verstanden zu haben und bin damit einverstanden.
________________________ (Ort), ________________ (Datum)
_______________________________________________ (Kunde)
Unterschrift…………………………………………………………………………………………………….