DSGVO-Checkliste für Boutique-Hotels (2026)
Praktische DSGVO-Checkliste für Hotels mit 20-80 Zimmern: Datenmapping, AVV-Verträge, 72-Stunden-Meldepflicht, Aufbewahrungsfristen und Cookie-Einwilligung.
Ein Hotel mit 34 Zimmern in München erhielt an einem Dienstagmorgen eine Datenschutzauskunftsanfrage eines Gastes. Die E-Mail enthielt den Satz “gemäß Artikel 15.” Der Hoteldirektor wusste nicht, in welchem seiner neun Systeme Gästedaten gespeichert waren, hatte keine dokumentierte Aufbewahrungsrichtlinie und keinen unterzeichneten Auftragsverarbeitungsvertrag (AVV) mit seinem Channel-Manager. Er hatte 30 Tage Zeit, zu antworten. Die Anwaltskosten beliefen sich auf etwa 3.400 Euro, für eine Anfrage, die ein 90-minütiger Compliance-Audit zur Routine gemacht hätte.
DSGVO-Konformität im kleinen Hotel bedeutet nicht, eine Rechtsabteilung aufzubauen. Es geht darum, fünf konkrete Pflichten zu verstehen, den Datenfluss zu kartieren und dokumentierte Antworten bereit zu haben, bevor ein Gast fragt. Dieser Leitfaden behandelt genau das: für ein Objekt mit 20-80 Zimmern, ohne eine Beratungsrechnung über 5.000 Euro.
Haftungsausschluss: Dieser Artikel bietet ausschließlich operative Orientierung. Er stellt keine Rechtsberatung dar. Die Situation jedes Objekts ist unterschiedlich; konsultieren Sie bei konkreten Fragen einen qualifizierten Datenschutzbeauftragten oder Rechtsanwalt.
Was die DSGVO von einem 30-Zimmer-Hotel tatsächlich verlangt
Die Verordnung klingt einschüchternd. In der Praxis läuft es für ein kleines Hotel auf fünf Pflichten hinaus:
1. Rechtsgrundlage für jede Verarbeitungstätigkeit. Sie benötigen einen dokumentierten rechtlichen Grund für jede Kategorie von Gästedaten, die Sie erfassen. Die meisten operativen Daten (Name, Buchungsdetails, Zahlungsdaten) sind durch die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b gedeckt. Marketing-E-Mails erfordern ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a.
2. Dateninventar und Datenmapping. Sie müssen angeben können: welche Daten Sie halten, wo sie gespeichert sind, wer darauf zugreifen kann, wie lange Sie sie aufbewahren und wem Sie sie mitteilen. Das ist Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT), erforderlich nach Art. 30. Es muss nicht aufwendig sein; eine Tabellenkalkulation genügt.
3. Auftragsverarbeitungsverträge (AVV) mit jedem Dienstleister. Gemäß Art. 28 DSGVO benötigt jeder Dritte, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen unterzeichneten AVV. Das umfasst Ihren PMS-Anbieter, Channel-Manager, E-Mail-Plattform, WLAN-Anbieter, Buchungsmaschine und Zahlungsabwickler.
4. Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Wenn personenbezogene Daten kompromittiert werden und die Verletzung “voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt,” müssen Sie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO benachrichtigen. In Deutschland ist die zuständige Behörde je nach Bundesland unterschiedlich: der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden, die jeweiligen Landesdatenschutzbehörden (z.B. LDA Bayern, BlnBDI Berlin) für private Unternehmen. Das Überschreiten dieser Frist ist selbst ein Verstoß.
5. Beantwortung von Betroffenenanfragen innerhalb von 30 Tagen. Gäste können Auskunft über ihre Daten verlangen (Art. 15), Berichtigung fordern (Art. 16), Löschung verlangen (Art. 17) oder Datenübertragbarkeit beantragen (Art. 20). Sie haben einen Kalendermonat ab dem Datum des Eingangs Zeit zu antworten.
Laut GDPR Enforcement Tracker haben Datenschutzbehörden aus 15 Ländern 83 Bußgelder im Unterkunfts- und Gastgewerbesektor verhängt, mit einem Gesamtbetrag von etwa 22,6 Mio. Euro. Deutsche Behörden sind nach Spanien die aktivsten im Sektor mit 17 Fällen.
Das Gästedaten-Inventar: Wo die Daten tatsächlich liegen
Ein typisches Hotel mit 40 Zimmern verarbeitet Gästedaten in mindestens acht Systemen:
| System | Gespeicherte Daten | AVV erforderlich? |
|---|---|---|
| Hotelverwaltungssystem (PMS) | Namen, Daten, Präferenzen, Zahlungstoken, Notizen | Ja |
| Channel-Manager | Reservierungsdaten von OTAs (Booking.com, Expedia) | Ja |
| Buchungsmaschine | Direktbuchungsdaten, Kartendaten | Ja |
| E-Mail-Marketing-Tool | E-Mail-Adressen, Einwilligungsbelege, Öffnungsraten | Ja |
| Zahlungsabwickler | Kartendaten (tokenisiert), Transaktionsverlauf | Ja |
| WLAN Captive Portal | E-Mail-Adresse, Geräte-ID, Sitzungsprotokolle | Ja |
| Überwachungskameras (CCTV) | Videoaufnahmen von Gästen in Gemeinschaftsbereichen | Ja |
| Bewertungsplattform | Öffentliche Bewertungen, Managementantworten | Gemeinsamer Verantwortlicher |
Videoüberwachung verdient besondere Beachtung. Laut dem GDPR Enforcement Tracker Bericht für das Gastgewerbe entfallen etwa zwei Drittel aller Bußgelder im Hotelsektor auf Videoüberwachung. Typische Verstöße: Kameras in Mitarbeiterbereichen ohne Aushang, Aufbewahrung von Aufnahmen länger als nötig, fehlende Beschilderung.
Eine Übersicht, wie Ihr PMS mit dem Rest Ihres Technologie-Stacks zusammenhängt, bietet der Technologie-Leitfaden für Boutique-Hotels.
Wichtiger Hinweis zur deutschen Rechtslage: Neben der DSGVO gilt in Deutschland das Bundesdatenschutzgesetz (BDSG), das in einigen Bereichen strengere Anforderungen stellt, etwa beim Beschäftigtendatenschutz (§ 26 BDSG) und bei der Benennung von Datenschutzbeauftragten (ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten). Hotels, die in mehreren Bundesländern tätig sind, unterliegen zudem den Regelungen der jeweiligen Landesdatenschutzgesetze.
Wie Sie in der Praxis eine Löschanfrage eines Gastes bearbeiten
Kurze Antwort: Sie haben einen Monat und müssen aus jedem System löschen, während Sie aufbewahren, was das Gesetz verlangt.
Die praktischen Schritte der Reihe nach:
Schritt 1: Identität prüfen. Bestätigen Sie, dass die Anfrage vom tatsächlichen Gast stammt. Bitten Sie um Bestätigung der Reservierungsnummer oder der bei der Buchung angegebenen E-Mail-Adresse.
Schritt 2: Den Umfang der Anfrage klären. Will der Gast alles gelöscht haben oder nur Marketing-Daten? Klären Sie dies, bevor Sie handeln.
Schritt 3: Aufbewahrungspflichten prüfen. Manche Daten können nicht gelöscht werden, selbst wenn ein Gast dies verlangt. Buchungsbelege und Rechnungen müssen in Deutschland nach dem Handelsgesetzbuch (HGB) 10 Jahre aufbewahrt werden. Das sind gesetzliche Pflichten, die die Löschpflicht überlagern. Polizeiliches Melderecht (Beherbergungsstatistikgesetz) sieht eigene Aufbewahrungsfristen für die Meldedaten der Gäste vor.
Schritt 4: Aus allen Systemen löschen. Gehen Sie jeden Eintrag in Ihrem Dateninventar durch: PMS, E-Mail-Tool, WLAN-Protokolle, Bewertungsplattform-Korrespondenz. “Löschung” kann tatsächliche Löschung oder Anonymisierung bedeuten.
Schritt 5: Antwort dokumentieren. Gemäß Art. 17 DSGVO müssen Sie innerhalb eines Monats antworten und bestätigen, was gelöscht und was aufbewahrt wurde (und warum). Bewahren Sie diesen Nachweis mindestens drei Jahre auf.
Realistischer Zeitaufwand für ein 40-Zimmer-Hotel mit kartiertem Datenbestand: etwa drei Stunden Arbeit.
Die 72-Stunden-Meldepflicht bei Datenschutzverletzungen
Der falsche Ansatz: intern zu entscheiden, dass ein kleiner Vorfall “wahrscheinlich keine Rolle spielt,” und auf eine Meldung zu verzichten. Das scheitert an Art. 33 DSGVO, der den Meldeschwellenwert auf “voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt” festlegt, eine weitaus niedrigere Schwelle als “wir halten es für ernst.”
Der richtige Ansatz ist ein dokumentiertes Datenpannen-Reaktionsprotokoll mit einer internen Entscheidungsfrist von 24 Stunden, nicht 72 Stunden. Die ersten 24 Stunden brauchen Sie für die Schweregradbewertung, die restlichen 48 Stunden für die Erstellung und Einreichung der Meldung.
Praktische Szenarien, in denen die 72-Stunden-Uhr startet:
Szenario 1: Ein Laptop mit Gäste-E-Mails wird aus dem Empfangsbereich gestohlen. Selbst wenn der Laptop passwortgeschützt war, erfüllt eine unverschlüsselte Gäste-E-Mail-Liste auf einem verlorenen Gerät den Meldeschwellenwert.
Szenario 2: Ein Mitarbeiter klickt auf einen Phishing-Link, und der Angreifer greift 20 Minuten lang auf das E-Mail-Konto zu. Wenn das Konto Buchungsbestätigungen der Gäste enthielt, ist das eine Datenschutzverletzung.
Szenario 3: An einem Zahlungsterminal wird ein Skimming-Gerät entdeckt. Das löst sowohl die DSGVO-Meldepflicht (an die Landesdatenschutzbehörde) als auch PCI-DSS-Verfahren aus.
Die technischen Aspekte der Reaktion auf Datenschutzverletzungen behandelt der Hotel-Cybersicherheitsleitfaden.
Aufbewahrungsfristen: Wie lange Sie Gästedaten aufbewahren müssen
Die DSGVO schreibt keine festen Aufbewahrungsfristen vor. Sie verlangt, dass Sie diese selbst festlegen, dokumentieren und tatsächlich durchsetzen.
In Deutschland unterliegen Hotels mehreren sich überschneidenden Aufbewahrungspflichten:
Buchhaltungsunterlagen und Rechnungen: Das Handelsgesetzbuch (HGB) und die Abgabenordnung schreiben eine Aufbewahrungsfrist von 10 Jahren für Buchungsbelege vor. Das sind unter Umständen mehr als die DSGVO-Grundsätze der Datensparsamkeit vorsehen würden; die steuerrechtliche Pflicht hat Vorrang.
Meldepflicht (Beherbergungsstatistikgesetz): Hotels sind verpflichtet, die Meldedaten der Gäste für behördliche Zwecke zu erfassen. Die Aufbewahrungsfristen variieren je nach Bundesland, betragen aber typischerweise 12 Monate für die Meldeformulare.
Videoüberwachungsaufnahmen: Die meisten Datenschutzbehörden empfehlen 72 Stunden bis maximal 30 Tage für allgemeine Überwachungsaufnahmen in Gemeinschaftsbereichen des Hotels.
Praktische Aufbewahrungstabelle für ein 40-Zimmer-Hotel:
| Datentyp | Aufbewahrungsfrist | Rechtsgrundlage | Löschungsmethode |
|---|---|---|---|
| Gästerechnungen/Belege | 10 Jahre (DE) | Steuerrecht/HGB | Geplante Archivierung |
| Gastprofile (nach Aufenthalt) | 2 Jahre (dann Anonymisierung) | Berechtigtes Interesse | PMS-Autolöschung |
| Marketing-E-Mail-Liste | Aktiv + 3 Jahre nach Abmeldung | Einwilligung | ESP-Löschfunktion |
| Videoüberwachungsaufnahmen | 14-30 Tage | Berechtigtes Interesse | Automatisches Überschreiben |
| Meldedaten | Nach Landesrecht | Gesetzliche Pflicht | Wie vorgeschrieben |
| Datenpannen-Protokolle | Mindestens 3 Jahre | Dokumentationspflicht | Sicheres Löschen |
AVV-Verträge mit Ihren Technologieanbietern
Ein Auftragsverarbeitungsvertrag ist ein rechtsverbindlicher Vertrag, der festlegt, wie ein Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet. Art. 28 DSGVO verlangt einen solchen Vertrag mit jedem Anbieter, der Gästedaten verarbeitet.
Die meisten Boutique-Hotels haben keinen einzigen unterzeichneten AVV. Die Anbieter haben ihn fast sicher, das Hotel hat ihn nur nie unterzeichnet.
Wo Sie die AVV finden:
PMS-Anbieter: Cloudbeds enthält einen AVV in den Standardbedingungen, abrufbar aus den Kontoeinstellungen. Mews stellt einen AVV auf Anfrage über das Rechts-/Compliance-Team bereit. Little Hotelier und RoomRaccoon haben Datenverarbeitungsbedingungen in ihren Dienstleistungsverträgen.
Gästekommunikationsplattformen: Wenn Sie Duve, Akia, Canary Technologies, Guestivo oder ähnliche Anbieter nutzen, prüfen Sie deren Website auf einen AVV-Link oder fragen Sie beim Support-Team nach. Diese Plattformen verarbeiten Gästedaten vor der Ankunft und bei der digitalen Eincheck-Abwicklung.
E-Mail-Marketing: Mailchimp, Brevo und Klaviyo bieten AVV zur Selbstbedienung in den Kontoeinstellungen an.
Cookie-Consent-Tools: Termly und OneTrust bieten AVV-Vorlagen als Teil ihrer Compliance-Plattform an. Termly beginnt bei etwa 10 USD/Monat.
Bei einem PMS-Wechsel übertragen sich Ihre AVV-Pflichten auf den neuen Anbieter. Der Hotel-PMS-Migrationsleitfaden behandelt die praktischen Schritte der Datenübergabe.
Cookie-Einwilligung, Analyse und Ihre Hotel-Website
Nach TCF 2.2 ist eine “stillschweigende Einwilligung” durch weiteres Surfen gemäß DSGVO ungültig. Ein konformes Cookie-Banner muss:
- Vor dem Setzen nicht wesentlicher Cookies erscheinen
- Gleich prominent sichtbare Schaltflächen “Akzeptieren” und “Ablehnen” anbieten
- Granulare Einwilligung nach Zweck ermöglichen (Analyse, Werbung, Personalisierung)
- Den Widerruf der Einwilligung so einfach ermöglichen wie die Erteilung
Ein kroatisches Hotel wurde von der kroatischen Datenschutzbehörde mit 45.000 Euro Bußgeld belegt, speziell wegen unzulässiger Verarbeitung über Cookies ohne gültige Einwilligung.
Praktische Werkzeuge: CookieYes (ab etwa 10 USD/Monat) und Cookiebot (ab etwa 10 USD/Monat) scannen Ihre Website automatisch auf Cookies, erzeugen ein konformes Banner und erstellen eine Cookie-Richtlinie.
Ein 5-Tage-DSGVO-Auffrischung für ein 40-Zimmer-Hotel
| Tag | Aufgabe | Geschätzter Zeitaufwand |
|---|---|---|
| Tag 1 | Dateninventar: Auflistung aller Systeme, gespeicherten Daten und Zugriffsrechte | 2-3 Stunden |
| Tag 2 | AVV-Überprüfung: AVV bei allen Datenverarbeitern finden, prüfen und unterzeichnen | 2-4 Stunden |
| Tag 3 | Aufbewahrungsrichtlinie: Fristen für jede Datenkategorie festlegen und dokumentieren | 1-2 Stunden |
| Tag 4 | Datenpannen-Protokoll: einseitiges Dokument mit Entscheidungsträger, Behördenkontakt, Meldevorlage | 1 Stunde |
| Tag 5 | Betroffenenrechte-Workflow + Cookie-Banner: Antwortvorlage für Auskunfts-/Löschanfragen; konformes Cookie-Consent-Tool installieren | 2-3 Stunden |
Gesamtaufwand: etwa 8-13 Arbeitsstunden für eine Person.
Häufig gestellte Fragen
Wie lange habe ich Zeit, auf eine Datenschutzauskunftsanfrage (SAR) zu antworten? Einen Kalendermonat ab dem Datum des Eingangs der Anfrage gemäß Art. 12 DSGVO. Sie können um zwei weitere Monate verlängern, wenn die Anfrage komplex ist, müssen den Gast jedoch innerhalb des ersten Monats darüber informieren.
Gilt die DSGVO für unser Hotel außerhalb der EU? Ja, wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten. Die DSGVO hat extraterritorialen Geltungsbereich gemäß Art. 3. Wenn Ihr Hotel auf EU-zugänglichen OTAs erscheint oder Buchungen von EU-Bürgern entgegennimmt, gilt die DSGVO.
Welche Bußgelder drohen kleinen Hotels tatsächlich? Die meisten Bußgelder im Hotelsektor liegen für kleine Objekte im Bereich von 5.000-50.000 Euro. In Hamburg wurde 2024 ein Hotel mit 16.000 Euro Bußgeld belegt, weil es Kopien von Gäste-Ausweispapieren ohne Rechtsgrundlage gespeichert hatte. Die deutschen Landesdatenschutzbehörden sind aktiv und führen auch bei kleineren Unternehmen Prüfverfahren durch.
Gilt die DSGVO auch für Mitarbeiterdaten? Ja. Personenbezogene Daten von Mitarbeitern unterliegen der DSGVO genauso wie Gästedaten. In Deutschland sieht zudem § 26 BDSG spezifische Regelungen für den Beschäftigtendatenschutz vor, die über die DSGVO hinausgehen. Videoüberwachung in Mitarbeiterbereichen erfordert in den meisten Fällen eine Betriebsvereinbarung oder Zustimmung des Betriebsrats.
Was tun, wenn ein Gast Löschung von Daten beantragt, die ich gesetzlich aufbewahren muss? Sie können die Löschung für diese Datenkategorie verweigern und die gesetzliche Pflicht als Grundlage nennen. Sie müssen den Gast schriftlich über die spezifische Rechtsgrundlage für die Aufbewahrung informieren. Löschen Sie alles, wozu Sie nicht gesetzlich verpflichtet sind, aufzubewahren.
Die meisten kleinen Hotels werden nie mit einem Bußgeld belegt. Der praktische Grund für Compliance: Wenn ein Gast eskaliert, wollen Sie die Antwort in 48 Stunden haben, nicht in einer Panikreaktion.
Geschrieben von Maciej Dudziak
Themen