Immer wieder sorgen Nachrichten über Datendiebstahl und Sicherheitslücken bei Online-Plattformen für Aufsehen. Erst kürzlich kam es zum Datenskandal und Bußgeldern in Millionenhöhe für die internationale Hotel-Gruppe Marriot ebenso wie die Airline British Airways nach der Bekanntgabe, dass Millionen von Kundendaten durch Hackerangriffe unfreiwillig weitergegeben wurden. Zwei Unternehmen, die eng im Bereich Geschäftsreise eingebunden sind. Es stellt sich also die Frage, wie es um die allgemeine Sicherheit von Daten im Geschäftsreisesektor bestellt ist. Wir haben dazu mit unserem Kunden, Dr. Veit Blumschein gesprochen, CEO der Travel Management Lösung Lanes & Planes.
Welche Rolle spielt Datenschutz bei Geschäftsreisen?
Um Geschäftsreisen zu buchen, müssen Mitarbeiter ihre sensibelsten Daten hinterlegen, u. a. Pass- und Profildaten wie Alter und Wohnort. Nicht selten auch Kreditkartendaten und sogar Informationen zu Allergien. Unternehmen haben daher eine extrem hohe Sorgfaltspflicht gegenüber den Mitarbeitern – nicht erst seit der neuen DSGVO ist Datenschutz also ein extrem wichtiges Thema bei Geschäftsreisen.
Was steht für Mitarbeiter auf dem Spiel?
Hacker können mit Profil- und Reisedaten ein Profil der Mitarbeiter erstellen. Persönliche Daten wie Vorname, Nachname, Kreditkartennummer, E-Mail und Mobilnummer, aber auch Bewegungsprofile und kritische Informationen wie Passdaten können so unrechtmäßig genutzt oder illegal weiterverkauft werden.
Was ist die gängige Buchungsart von Geschäftsreisen?
Oft zeigen sich zwei Kategorien von Kunden: Eine Gruppe bucht Geschäftsreisen selbstständig und führt auch die Reisekostenabrechnung selbst durch. Hier ist es schwierig für Unternehmen, einen transparenten Einblick in den Weg der Mitarbeiterdaten zu erhalten, da meist viele unterschiedliche Plattformen verwendet werden. Die zweite Gruppe sind Unternehmen, die mit Plattformen und Tools arbeiten, deren Datenverarbeitung oftmals im Ausland, z. B. Indien oder den USA, ausgelagert ist und somit teilweise den strengen Anforderungen der DSGVO nicht immer gerecht werden können. Zudem unterbleibt oftmals aus Know-How- und Zeit-Mangel eine Überprüfung der vorhandenen Sicherungsmaßnahmen der Datenverarbeitung und -speicherung. Das kann gut gehen, bei Vorfällen wie einem Hackerangriff kann aber schnell auch auf den ursprünglichen Verantwortlichen, also oftmals den Geschäftsführer, zurückgegriffen werden. Das wird oft unterschätzt.
Welche Daten werden bei einer Geschäftsreisebuchung normalerweise abgefragt?
Bei den meisten Geschäftsreisebuchungen werden Daten wie Vorname, Nachname, Geburtsdatum und Firma abgefragt. Für internationale Geschäftsreisen werden außerdem die Passdaten benötigt, um eine reibungslose Buchung zu ermöglichen. Bei Lanes & Planes werden zusätzlich noch Bonus-Karten-Informationen abgefragt, wie z. B. Bahncard oder Miles & More.
Auf welche Weise kann ein Unternehmen sicherstellen, dass Geschäftsreisen datenschutzkonform gebucht werden?
Eine Option ist z. B. die Entscheidung gegen einen Cloud-basierten Service – so kann das Hosting in Deutschland gehalten und die Sicherungsmaßnahmen bei dem Datenverarbeiter überprüft werden. Dadurch ist der Schutz vor unkontrolliertem Fremdzugriff oder Abwanderung von Daten sichergestellt und vor allem sind die Spielregeln wie Speicherdauer der Daten definiert. Unser Unternehmen hat sich außerdem für eine Zusammenarbeit mit datenschutzexperte.de als unabhängige Beratung zu diesem Thema entschieden, da wir so im Geschäftsalltag gerade beim sensiblen Thema Datenschutz optimal beraten und unterstützt werden.
Zum Autor:
Dr. Veit Blumschein, CEO von Lanes & Planes, ist seit 15 Jahren in der Reise- sowie Geschäftsreiseindustrie tätig. Sein Unternehmen ist die erste Travel Management Lösung, die alle Bereiche der Geschäftsreise von der Buchung über Auslagen bis zur Abrechnung voll digital abbildet. Lanes & Planes verfügt mittlerweile über das größte B2B-Inventar der europäischen Travel Branche und zählt namhafte Unternehmen mit mehr als 50.000 Mitarbeitern zu seinen Kunden.
Artikel veröffentlicht am: 25. Juli 2019
