Speicherung von Kreditkartendaten der Gäste im Hotel

(Last Updated On: 10. Oktober 2018)

Zuerst einmal eine Orientierungshilfe, die zwar für Rheinland-Pfalz herausgegeben wurde, aber leicht auf andere Gebiete und auch auf Österreich übertragen werden kann.

Hervorheben und zitieren möchte ich aus dem PDF:

Zur Gewährleistung der hier angesprochenen Datensicherheit verpflichtet § 9 BDSG
den Hotelier, alle „technischen und organisatorischen Maßnahmen zu treffen“, die
erforderlich sind, um die rechtmäßige Nutzung der Daten zu gewährleisten.
Dazu muss er
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Zutrittskontrolle),
2. verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden
können (Zugangskontrolle),
3. gewährleisten, dass die zur Nutzung Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
4. gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind (Eingabekontrolle),
5. gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen
eine Übermittlung personenbezogener Daten erfolgt (Weitergabekontrolle),
6. gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
(Auftragskontrolle),
7. gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder
Verlust geschützt sind (Verfügbarkeitskontrolle) und
8. gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden (Trennungsprinzip).
Dabei hat er insbesondere die dem Stand der Technik entsprechenden
Verschlüsselungsverfahren einzusetzen.
Diese Grundsätze der Datensicherheit gelten nicht nur für die Computer des
Hotelbetriebs selbst, sondern auch dann, wenn der Hotelier seinen Hotelgästen die
Nutzung von WLAN ermöglicht.
Kommt es trotzdem zu Datendiebstahl oder Datenverlusten, so ist der Hotelier
verpflichtet, den hiervon Betroffenen, also insbesondere den Hotelgästen, diese
„Datenpanne“ anzuzeigen und Maßnahmen zu treffen, den hierdurch drohenden
Schaden zu begrenzen; eine solche Anzeige ist auch der DatenschutzAufsichtsbehörde
gegenüber abzugeben (§ 42a BDSG).

Ist es wirklich so einfach?

Nein, tatsächlich ist es sogar noch viel einfacher, denn die AGBS der Kreditkartenunternehmen sind restriktiver,  als das Datenschutzgesetz. Wirklich einfach wird es also erst, wenn man die Richtlinien und AGB’s der Kreditkartenunternehmen befolgt, denn hält man sich an die Sicherheitsanforderungen des PCI-DSS Regelwerkes, was eigentlich schon seit Ende 2007 der Fall sein sollte, dann wird man auch dem Datenschutz gerecht werden. Kurze Übersicht:

  • Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
  • Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
  • Schutz der gespeicherten Daten: Keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bspw. vollständige Daten, Kartennummer, CVV2, usw.
  • Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
  • Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
  • Entwicklung und Verwendung sicherer Systeme und Anwendungen
  • Beschränkung des Datenzugriffs
  • Zuweisung von eindeutigen Kennungen für allen Personen mit Zugriff zu einem Computersystem
  • Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
  • Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
  • Laufende Überwachung der Sicherheitssysteme und -prozesse
  • Unternehmensrichtlinien in Sachen Informationssicherheit

Das soll einfach sein? Ja, unbedingt, denn aus dem Leitfaden für Sicherheit im Hotel geht deutlich hervor:
Sollten in Ihrem Hotel Kreditkarteninformationen in elektronischer Form gespeichert werden, greift sofort SAQ D! Deshalb sei an dieser Stelle nochmals darauf hingewiesen, dass auf jegliche elektronische Speicherung von Kreditkartendaten verzichtet werden sollte, sofern diese nicht unbedingt notwendig ist! Siehe im folgenden PDF:

Man kann sich also von vornherein alle übrigen Fragen sparen, wenn man in einem Hotel Kreditkartendaten dauerhaft elektronisch speichern möchte und sich gleich das „Self-Assessment Questionnaire D and Attestation of Compliance for Merchants“ zur Hand nehmen und damit wird die Angelegenheit einfach. Wer dem nicht gerecht wird, darf damit rechnen, bald keine weiteren Verträge mit den Kreditkartenunternehmen zu bekommen. Somit erübrigen sich sämtliche seltsame Fragen, wie: „Darf ich die KK-Daten in einer Datenbank speichern? Müssen sie verschlüsselt sein? Darf ich sie in einem Excel-File speichern oder als PDF? Muss dazu eine bestimmte Form eingehalten werden? Soll ich sie abmalen, irgendwo eintippen oder fotografieren? …“ Und was weiß der Kuckuck, was sich manche Leute seltsamerweise fragen, obwohl es eine klare und eindeutige Richtlinie seitens der Kreditkartenunternehmen gibt.

 
Weblinks:


Bildquelle: Screenshot von httpss://www.pcisecuritystandards.org/

(618)


History

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert