Verbraucherschutz (2007)

Hotelketten

Der BigBrotherAward 2007 in der Kategorie „Verbraucherschutz“ geht an die internationalen Hotelketten in Deutschland – Marriott, Hyatt und Intercontinental (stellvertretend für viele weitere) – für die Erfassung und zentrale Speicherung äußerst persönlicher Daten ihrer Gäste ohne deren Wissen. Dazu gehören Trink- und Essgewohnheiten, Pay-TV-Nutzung, Allergien, alle privaten und beruflichen Kontaktadressen, Kreditkartendaten, Sonderwünsche und Beschwerden – alles wird festgehalten.
Laudator.in:
Rena Tangens am Redner.innenpult der BigBrotherAwards 2021.
Rena Tangens, Digitalcourage

Der BigBrotherAward 2007 in der Kategorie „Verbraucherschutz“ geht an die internationalen Hotelketten Marriott, Hyatt und Intercontinental (stellvertretend für viele weitere) in Deutschland für das Sammeln und zentrale Speichern höchstpersönlicher Informationen über ihre Gäste ohne deren Wissen.

„Zweites Kissen genehm? Essen auf dem Zimmer gewünscht? Champagner geordert? Zweites Frühstück bestellt?“

Sie glauben, das Hotelpersonal liest Ihnen die Wünsche von den Augen ab? Falsch: Das Personal kennt all Ihre Details, Eigenheiten und Sonderwünsche zumeist nicht aus Intuition, sondern weil sie im Computersystem des Hotels gespeichert sind. Richtig staunen würden Sie, wenn Sie sähen, was da alles registriert wird.

Gespeichert werden unter anderem private und berufliche Kontaktadressen, Telefonnummern, Kreditkartendaten, Geburtsdatum, Nationalität, Passnummer, komplette Rechnungen, Pay-TV-Benutzung und Telefonate. Das Hotelpersonal wird dazu angehalten, weitere Details über seine Gäste im System zu notieren wie Familienkonstellation, Trink- und Essgewohnheiten, Allergien, Hobbys, Sonderwünsche, Beschwerden, Vorlieben und so weiter. Einmal erfasst, bleiben all diese Informationen auch nach der Abreise des Gastes gespeichert – und zwar auf unbestimmte Zeit. Dieses Vorgehen bewegt sich am Rande und zum Teil auch schon jenseits der Legalität1.

„Nichtraucher? Erdnussallergie? Zimmer nur im Erdgeschoss?“

Diese Informationen werden doch zum Besten der Gäste gesammelt, um ihnen den bestmöglichen Service bieten zu können!

Nicht so ganz. Jeden Gast wertzuschätzen und ihm oder ihr den bestmöglichen Service zu bieten, das ist die große alte Tradition der Gastlichkeit. Doch diese Tradition ist – zumindest bei den großen Hotelketten – passé. Hier gibt es statt des Gastlichkeitsversprechens nun „customer relationship management“2, kurz CRM – das effiziente Kundenbeziehungsmanagement. Wichtigster Punkt dabei: „Ranking and Discrimination“3. Es geht eben nicht darum, den besten Service für alle Gäste zu bieten. Denn einige Gäste sind mehr wert für das Business als andere, und in die muss investiert werden. Und um die lukrativen Gäste von den anderen unterscheiden und ihnen bessere Angebote machen zu können, müssen möglichst viele Daten gesammelt werden4.

Nahezu jede Hotelkette hat mittlerweile ein eigenes „Kundenbindungsprogramm“, in dem all diese Daten zentralisiert gespeichert werden – eine echte Goldgrube für Data-Miner.

Und wo all diese Informationen schon einmal vorhanden sind, könnten sich schnell weitere Interessenten dafür finden.

Wer auf dem Zimmer Pay-TV schaut, findet später natürlich nicht den „Angriff der Killertomaten“, „Blasmusik im Lederdirndl“ oder ähnlich Peinliches auf seiner Rechnung, sondern die Pay-TV-Nutzung wird diskret als „Hoteldienstleistungen“ oder etwas ähnlich Unverfängliches deklariert. Das Hotelsystem aber registriert den Kanal durchaus und weiß genau, ob die romantische Komödie, der Thriller oder ein Porno konsumiert wurde.

Viele Hotels sind direkt an externe Online-Buchungssysteme wie Amadeus oder Sabre5 angeschlossen. Auch dort werden Daten der Kunden gespeichert. Das Buchungssystem Amadeus wirbt mit einem extra zu zahlenden Service für Reisebüros, der es ermöglicht, die komplette Buchungshistorie samt Kundendetails und Hobbys mit einem Klick zu übernehmen. „Bereits existierende Kundeninformationen aus Amadeus Customer Profiles (Air / Car / Hotel) stehen jederzeit aktuell zur Verfügung. (...) Außerdem sind die Kundendaten lange Zeit aktiv – egal wie alt die letzte Buchung ist.“6

In Deutschland gibt es Meldezettel, die von jedem Gast ausgefüllt werden, aber beim Hotel verbleiben und nur im Bedarfsfall von den Behörden überprüft werden. In einigen europäischen Ländern, beispielsweise Frankreich, werden Daten aber schon aus den Hotels direkt an die Polizei übertragen. In der Hotelverwaltungssoftware Opera des Marktführers Micros Fidelio gibt es dafür ein automatisiertes „Police Interface“.

Möglicherweise interessiert sich aber nicht nur die lokale Polizei für diese Informationen über die Gäste, sondern auch ausländische Geheimdienste.

Die Daten der Gäste werden nämlich keineswegs nur – wie die Gäste annehmen – bei dem besuchten Hotel in Deutschland, sondern konzernweit auf zentralen Servern gespeichert. Und die wiederum befinden sich bei den größten Hotelketten – in den USA. Um den Datenschutz war es dort sowieso schon nicht gut bestellt. Nun gibt es in den USA seit 2001 auch noch den „USA PATRIOT Act“7. Unter dem Vorwand der Terrorismusbekämpfung erlaubt dieses Gesetz den Geheimdiensten Zugriff auf Daten der Wirtschaft, auch ohne richterlichen Beschluss.

„Kein Schweinefleisch? Internetanschluss? Auslandstelefonate nach Saudi Arabien vom Zimmer aus?“

Was glauben Sie, welche Schlüsse man daraus ziehen könnte?

Viele unangenehme Folgen für die Gäste sind denkbar. So wird Identitätsdiebstahl zum leichten Spiel, wenn detaillierte persönliche Informationen über Kunden gesammelt vorliegen. Und wenn diese Details erst in die Klatschpresse oder in die Hände der Konkurrenz gelangen oder gar für Erpressungen genutzt werden ...

Ende 2005 gingen bei der Hotelkette Marriott eine große Menge sensibler Daten aus einem Rechenzentrum in Orlando (Florida) verloren. Es handelte sich um Backup-Bänder mit Daten (inkl. Adressen und Kreditkartendaten) von über 200.000 Personen, die Mitglieder des Marriott Vacation Club waren8. Die Bänder tauchten nicht wieder auf, Marriott musste schließlich den Verlust melden und seine Kundinnen und Kunden benachrichtigen.

Doch skandalös ist nicht der spezielle Fall, sondern schon der Normalbetrieb der Datensammelei in Hotels: Denn die Gäste wissen nichts von all diesem Treiben.

Wir waren neugierig und haben einen Mitarbeiter des Hyatt gefragt, was passiert, wenn Gäste dem Hotel mitteilen, dass sie nicht wollen, dass all diese Informationen über sie gespeichert werden. Der Mitarbeiter musste überlegen und sagte dann, dass das nicht vorkäme. Denn die Gäste hätten ja keine Ahnung, was alles über sie gespeichert werde. Aber wenn doch? „Dann wird im Bemerkungsfeld eingetragen, dass der Gast gesagt hat, dass er das nicht will ...“

Da möchten wir mit Friedrich Schiller sagen:

Hier wendet sich der Gast mit Grausen. „So kann ich hier nicht ferner hausen.“9

Herzlichen Glückwunsch zum BigBrotherAward, liebe Hotelmanager von Marriott, Hyatt, Intercontinental und anderen!

Jahr
Kategorie

Laudator.in

Rena Tangens am Redner.innenpult der BigBrotherAwards 2021.
Rena Tangens, Digitalcourage
Quellen:

1 Vgl. BDSG § 4 Abs. 3 und BDSG § 4b und c.

2 „Consider the Value of the Customer. Successful CRM is not about providing the best service on the block; rather, the key to effective relations with your customers is in providing appropriate service. We all know that customers are not equal.“ Zitat aus „Effective Customer Relationship Management (CRM) Implementations“. (Web-Archive-Link)

3 „Ranking and Discrimination: Some customers are worth more to your business than others and you need to invest more of your scarce resources in the most valuable customers, and less in the others. This strategy is perhaps the most difficult element of CRM for hoteliers to accept, but it is absolutely essential. While the grand tradition of hospitality is to value every guest and deliver outstanding service to all of them, in practice it simply isn’t possible.“ Zitat aus „The ABCs of CRM“ (Part 1 und Part 2) (Web-Archive-Links Part 1 und Part 2)

4 „In addition to being a frequency program driven by personalized communications, guest recognition and service (rather than points, points and more points), ByRequest captures a detailed set of reported preferences, augmented by analysis of observed behaviors.“ Zitat aus „The ABCs of CRM“

5 Sabre (Akronym für Semi-Automatic Business Research Environment) ist eines von vier bedeutenden Computerreservierungssystemen (CRS). Über ein Terminal angeschlossen, lassen sich die weltweite Verfügbarkeit von Flügen, Hotelbetten, Zugfahrkarten und anderer Dienstleistungen prüfen und Buchungen durchführen.

6 Vgl. Datenschutz Nachrichten 1/2007

7 „Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001“

8 Siehe heise.de vom 29.12.2005: „Hotelkette Marriott vermisst Backup-Bänder mit umfangreichen Kundendaten“ (Web-Archive-Link), USA Today vom 28.12.2005: „Marriott timeshare unit says customer data is missing” (Web-Archive-Link) und Computerwoche vom 4.4.2006: „Secret Service gibt Suche nach verlorenen Daten auf“ (Web-Archive-Link)

9 Friedrich Schiller, Der Ring des Polykrates

Über die BigBrotherAwards

Spannend, unterhaltsam und gut verständlich wird dieser Datenschutz-Negativpreis an Firmen, Organisationen und Politiker.innen verliehen. Die BigBrotherAwards prämieren Datensünder in Wirtschaft und Politik und wurden deshalb von Le Monde „Oscars für Datenkraken“ genannt.

Ausgerichtet von (unter anderem):

BigBrother Awards International (Logo)

BigBrotherAwards International

Die BigBrotherAwards sind ein internationales Projekt: In bisher 19 Ländern wurden fragwürdige Praktiken mit diesen Preisen ausgezeichnet.