1. Daten sind das neue Gold – und ein Risiko
Stellen Sie sich vor, ein Gast reserviert online, trägt eine Nussallergie ein und loggt sich später ins Gäste-WLAN ein. All diese Informationen helfen Ihnen, den Aufenthalt angenehmer zu gestalten. Doch sie sind gleichzeitig wertvolle Daten – und damit streng geschützt. Die handgeschriebenen Reservierungsbücher haben vielerorts digitalen Tools Platz gemacht, und damit rückt die DSGVO automatisch stärker in Ihren Betriebsalltag.
Gerade Allergien oder Unverträglichkeiten fallen unter sogenannte „besondere Kategorien personenbezogener Daten“ nach Art. 9 DSGVO. Hier ist besondere Sorgfalt gefragt. Doch keine Sorge: Datenschutz ist machbar. Mehr noch – er wird zum Qualitätsmerkmal, das Vertrauen schafft und professionelle Abläufe unterstreicht.
Wie es eine Branchenexpertin einmal formulierte: „Viele Gastronomen scheitern nicht am Willen, sondern am Überblick. Ein sauberes Verarbeitungsverzeichnis ist das Fundament – wer das hat, schläft ruhiger.“ Genau darum geht es in den folgenden Abschnitten.
2. Die kritischen Touchpoints: Wo Daten fließen
Daten entstehen in Restaurants und Hotels an vielen Stellen – oft, ohne dass man es im Alltag bewusst wahrnimmt. Hier die wichtigsten Stationen, an denen Gästeinformationen typischerweise verarbeitet werden.
Tischreservierungen
Name, Telefonnummer oder E-Mail-Adresse gehören zu den Standardangaben. Die gute Nachricht: Für die Durchführung einer Reservierung brauchen Sie in der Regel keine zusätzliche Einwilligung, denn Art. 6 Abs. 1 lit. b DSGVO erlaubt die Datenverarbeitung zur Vertragserfüllung. Wichtig ist nur: Nutzen Sie die Angaben wirklich nur für die Reservierung – nicht heimlich für Marketing.
Sensible Notizen wie Allergien sollten Sie nur speichern, wenn eine ausdrückliche Einwilligung vorliegt. Besonders in Profil- oder CRM-Funktionen von Reservierungstools müssen Sie darauf achten, was dauerhaft abgelegt wird.
Gäste-WLAN
Viele Betriebe bieten kostenfreies WLAN an. Dabei entstehen automatisch technische Daten wie MAC-Adressen oder Login-Informationen. Eine Vorschaltseite mit Nutzungsbedingungen ist Pflicht – und sie schützt Sie zusätzlich vor Missverständnissen, wenn einmal etwas schiefläuft.
Bezahlung
Kartenzahlungen erzeugen ebenfalls personenbezogene Daten. Hier greifen technische Sicherheitsstandards wie PCI-DSS, doch eine wichtige Grundregel lautet: Speichern Sie keine CVC-Codes oder vollständigen Kartennummern außerhalb des Zahlungssystems. Notizzettel sind tabu.
Gutscheine & Website
Auch beim Kauf von Gutscheinen oder beim Kontaktformular auf Ihrer Website werden Namen und Kontaktdaten übermittelt. Die Datenschutzerklärung sollte deshalb leicht auffindbar und verständlich sein. Hilfreiche Übersichten zum Thema finden Sie unter anderem bei DataGuard oder Proliance.
3. Pflichtprogramm: Informationspflicht & Verzeichnis
Die DSGVO verlangt Transparenz. Gäste müssen nachvollziehen können, welche Daten Sie erheben und wozu.
Informationspflicht – Art. 13 DSGVO
Ihre Datenschutzerklärung ist der Dreh- und Angelpunkt. Sie gehört auf jede Website und sollte im Restaurant leicht zugänglich sein – etwa über einen Aushang oder QR-Code. Darin erläutern Sie, welche Daten Sie verarbeiten, wie lange Sie diese speichern und an wen sie ggf. weitergegeben werden.
Verarbeitungsverzeichnis (VVT)
Ein oft unterschätzter Punkt: Jeder Gastronom benötigt ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Darin listen Sie auf, welche Daten Sie in welchen Bereichen verwenden – von der Reservierung über das Kassensystem bis zum Newsletter. Es ist kein Hexenwerk, aber essenzielle Pflicht. Viele werden überrascht sein, wie schnell sie damit Klarheit über ihre internen Abläufe gewinnen.
Datenschutzbeauftragter – ja oder nein?
Erst ab 20 regelmäßig mit Datenverarbeitung betrauten Personen muss ein Betrieb offiziell einen Datenschutzbeauftragten benennen. Dazu zählen auch Servicekräfte, wenn sie mit digitalen Handhelds arbeiten. Für viele kleinere Restaurants ist die Benennung nicht nötig – aber die Einhaltung der Regeln selbstverständlich trotzdem.
4. Stolperfallen: Newsletter & Videoüberwachung
In diesem Bereich passieren die meisten Verstöße im Gastgewerbe. Dabei sind die Regeln gut handhabbar, wenn man sie kennt.
Newsletter und Marketing
Wer Werbung per E-Mail verschicken möchte, braucht eine aktive Einwilligung. Vorangekreuzte Häkchen sind verboten. Die bewährte Lösung: das Double-Opt-In-Verfahren. Damit beweisen Sie, dass die Anmeldung wirklich vom Gast selbst stammt.
Eine Ausnahme bildet die sogenannte Bestandskundenwerbung nach § 7 UWG. Sie ist erlaubt, wenn der Gast bereits Kunde ist, es um ähnliche Angebote geht und er jederzeit widersprechen kann. Praktisch heißt das: Eine kurze Passage zur Widerspruchsmöglichkeit gehört in jede Marketing-Mail.
Videoüberwachung
Kameras sind ein besonders sensibles Thema. Die häufigsten Bußgelder entstehen laut Tätigkeitsberichten der Datenschutzbehörden durch unzulässige Überwachung – etwa wenn Mitarbeiter dauerhaft gefilmt werden oder Kameras auf öffentliche Wege zeigen.
Ein Beispiel: Ein Restaurant in Hamburg musste 3.000 € zahlen, weil drei Kameras dauerhaft Küche und Verkaufsbereich filmten. Das zeigt, wie ernst die Behörden dieses Thema nehmen.
Erlaubt ist Überwachung nur, wenn ein berechtigtes Interesse besteht – etwa zum Schutz vor Diebstahl oder Vandalismus. Tabu sind Intimbereiche (Toiletten), und auch Speisebereiche sollten nur in Ausnahmefällen überwacht werden. Zwingend erforderlich sind klare Hinweisschilder, bevor Gäste den überwachten Raum betreten. Ein Experte bringt es auf den Punkt: „Vorsicht bei der Videoüberwachung. Kameras, die den öffentlichen Gehweg oder dauerhaft die Mitarbeiter filmen, sind die häufigste Ursache für Bußgelder in der Branche.“
5. Zusammenarbeit mit Dienstleistern: Reservierungstools, Newsletter & Co.
Viele Gastronomiebetriebe nutzen externe Tools – OpenTable, Resmio, TheFork, Mailchimp oder Dienstleister für die Lohnbuchhaltung. Das ist völlig in Ordnung, aber nur mit einem Auftragsverarbeitungsvertrag (AVV). Dieser regelt, wie der Anbieter Ihre Daten im Auftrag verarbeitet.
Seriöse Tools stellen den AVV meist per Klick im Backend bereit. Prüfen Sie, ob ein solcher Vertrag vorliegt – ohne AVV ist die Weitergabe der Daten unzulässig. Praktische Hinweise dazu finden Sie unter anderem bei Proliance und in den Fachartikeln von Machs wie Henry.
Fazit & Ausblick
Datenschutz ist kein notwendiges Übel, sondern Teil eines professionellen Betriebs. Wer sauber dokumentiert, transparent kommuniziert und wichtige Grundlagen wie das VVT oder Einwilligungen im Blick behält, schützt sich nicht nur vor Bußgeldern – er stärkt auch das Vertrauen seiner Gäste. Gerade in einer Branche, in der persönliche Betreuung und Service eine große Rolle spielen, ist das ein Wettbewerbsvorteil.
Gleichzeitig entwickelt sich die Rechtslage laufend weiter: Neue Reservierungstools, KI-gestützte Auswertungen oder digitale Kassensysteme bringen zusätzliche Anforderungen mit sich. Wer heute klare Prozesse etabliert, ist morgen deutlich entspannter unterwegs.
Kurz-Check für Ihren Betrieb
- Ist Ihre Datenschutzerklärung aktuell und leicht auffindbar?
- Haben Sie ein Verarbeitungsverzeichnis nach Art. 30 DSGVO?
- Liegen für Newsletter-Empfänger nachweisbare Einwilligungen vor?
- Sind Kamerastandorte DSGVO-konform gekennzeichnet – und wirklich nötig?
- Existieren AV-Verträge mit allen Dienstleistern, die Daten verarbeiten?
Wenn Sie diese Punkte abhaken können, sind Sie vielen Mitbewerbern voraus – und schaffen ein sicheres Fundament für die digitale Zukunft Ihres Betriebs.
---
Hinweis: Dieser Artikel dient der Information und ersetzt keine anwaltliche Beratung.
Weitere Bilder
