Motel One schickt Hotelgast-Daten an Google

Gastbeiträge
,
1

Motel One schickt Hotelgast-Daten an Google

Unsere Tourismusreihe geht weiter. Diesmal ist Motel One an der Reihe. Motel One ist eine deutsche Hotelkette, die vorwiegend im europäischen Raum operiert. Seit kurzem gehört zum Sortiment auch ein Hotel in New York, USA.

Die Datenschutzerklärung

Die Datenschutzerklärung ist in erster Linie übersichtlich und beinhaltet zwar die üblichen Verdächtigen (Google & Co. als Analysedienste), jedoch werden bei Auswahl der nur „technisch Notwendigen Cookies“ nur Verbindungen zu Motel One hergestellt.

Das Feedback

Als Datenschützer, der um die Zustände in der Tourismusindustrie weiß, wird man jedoch stutzig und fragt gerne im Vorfeld an, ob Daten mit anderen Standorten (gerade bei Hotelketten) ausgetauscht werden. Beispielsweise ob vor Ort versucht wird den Personalausweis zu kopieren und ob beispielsweise das Personal entsprechend geschult ist dies nicht zu tun. Das Vorgehen, dass der Personalausweis kopiert werden soll, wird gerne in einigen europäischen Ländern versucht.

Diese E-Mails an den Datenschutzbeauftragten blieben im Vorfeld komplett unbeantwortet.

Der Zugriff

Durch regelmäßige Hotelbesuche habe ich festgestellt (innerhalb Deutschlands als auch im europäischen Ausland), dass im europäischen Ausland auf Datensätze zugegriffen werden kann, die in Deutschland erhoben wurden und andersherum.

Das bedeutet, dass Motel One mit allen Filialen Gästedaten teilt, womöglich auch mit den USA und von dort aus wohl auch auf Datensätze zugegriffen werden kann - außer es wurde für „ein“ Hotel extra eine eigene Datenbank erstellt.

Hey, Google

Nachdem Hotelbesuch erhält man eine Survey E-Mail. Diese kann man nicht (lt. Hotelpersonal) im Vorfeld abbestellen.

In der Datenschutzerklärung ist diese genannt:

SurveySparrow ist so konzipiert, dass unter allen Umständen die Privatsphäre des Einzelnen respektiert wird, wie es in der Datenschutz-Grundverordnung garantiert ist. SurveySparrow hat weder direkt noch indirekt Zugriff auf die Umfrageantworten, und -ergebnisse, die auf der genannten Plattform generiert werden. Alle Daten werden sicher auf Servern in der EU gespeichert. SurveySparrow verkauft oder missbraucht Ihre Daten nicht und gibt sie auch nicht an dritte Werbetreibende oder Vermarkter weiter. Die von den Umfrageteilnehmern übermittelten Daten von SurveySparrow werden weder gescannt noch weitergegeben. Die auf der SurveySparrow-Plattform generierten Ergebnisse können nur von Motel One zur Analyse und Überprüfung exportiert werden.

Motel One verwendet Ihre Antworten, um den angebotenen Service zu verbessern. Ihre personenbezogenen Daten werden nicht verwendet, es sei denn, dies wird in einer bestimmten Frage ausdrücklich verlangt. Motel One verwendet Ihre Daten niemals, um ein identifizierbares Profil von Ihnen zu erstellen. Ihre Daten werden niemals verkauft, monetarisiert oder über den angemessenen Rahmen der Durchführung von Marken-, Design- und Nutzererfahrungsforschung hinaus weitergegeben.

und weiter heißt es:

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet. Der Vertrag basiert auf Standardvertragsklauseln der EU und kann unter folgendem Link eingesehen werden: https://surveysparrow.com/legal/dpa/

SurveySparrow ist ein US-Unternehmen mit Sitz in 2345 Yale St FL 1, Palo Alto, CA 94306
An dieser Stelle erspare ich mir und euch, nochmal den Cloud Act und die Zugriffsmöglichkeit von US-Unternehmen auf europäische Datensätze zu erwähnen. Denn nachdem Besuch erhält man eine E-Mail von trustyou.com.

Ein deutsches Unternehmen aus München, was auf den ersten Blick „eigentlich“ einen guten Eindruck macht. Allerdings wird der gesamte Surveydienst, den Trustyou zur Verfügung stellt über Google Mail abgewickelt.

Die Daten gehen somit in die USA und das ohne das es jemals bei Motel One in der Datenschutzerklärung erwähnt wurde.

Welche Daten sind betroffen?

  • Vor- und Nachname des Gastes: Es wird zu einer E-Mail automatisch (auch wenn dieser nicht per Default eingestellt war z. B. weil es sich um eine generelle Mail handelt) der vollständige Name des Gastes davorgesetzt. An dieser Stelle eine kleine Anmerkung zum Prinzip der Datensparsamkeit gem. DSGVO.
  • E-Mail Adresse des Gastes
  • Bei Geschäftsreisen durch die E-Mail Adresse der Arbeitgeber
  • im unverschlüsselten Header wird ebenfalls das Hotel, welches der Gast besucht hat, genannt.
  • Durch den Versandtag der E-Mail ist auch der Zeitraum des Besuchs bekannt.

Bei mehrfachen Besuchen weiß Google somit allein durch die Meta-Daten das Reiseverhalten einer namentlich bekannten Person.

Trust You wird in keinster Weise in der Datenschutzerklärung von Motel One erwähnt.
Auch die Trust You Datenschutzerklärung erwähnt den E-Mail Host nicht. Sucht man aktiv in der Datenschutzerklärung von Trust You nach Google: https://www.trustyou.com/downloads/TrustYou_GmbH_Privacy_Policy_ENG_12-2020_clean.pdf dann taucht der Firmenname so oft auf, dass man sich fragen sollte, ob der Name Trust You für das Unternehmen gerechtfertigt ist.

Und jetzt?

Selbstverständlich kann man als Betroffener ein Auskunftsersuchen gem. DSGVO stellen und anfragen:

  • welche Hotels Zugriff auf die Daten haben / hatten
  • warum personenbezogene Daten an Google weitergegeben werden
  • Die Löschung dieser Survey-Daten beantragen und bestätigen lassen
  • Anfragen, warum sich für Trust You entschieden wurde und was einen E-Mail Provider außerhalb der EU rechtfertigt?
1 „Gefällt mir“