DSGVO im Restaurant: So managen Sie Gästedaten sicher und rechtskonform

TL;DR

• DSGVO im Restaurant: So managen Sie Gästedaten sicher und rechtskonform.
• Reservierungen, WLAN, Newsletter - im Alltag eines Gastronomiebetriebs fallen mehr…
• Die DSGVO ist dabei kein Schreckgespenst, sondern ein wichtiger Leitfaden.
• Wer sorgfältig mit Gästedaten umgeht, stärkt Vertrauen und senkt gleichzeitig das Risiko…

Teaser / Vorspann (2–4 Sätze):

Reservierungen, WLAN, Newsletter – im Alltag eines Gastronomiebetriebs fallen mehr personenbezogene Daten an, als vielen bewusst ist. Die DSGVO ist dabei kein Schreckgespenst, sondern ein wichtiger Leitfaden. Wer sorgfältig mit Gästedaten umgeht, stärkt Vertrauen und senkt gleichzeitig das Risiko teurer Abmahnungen. Dieser Artikel zeigt, wo typische Datenschutzfallen lauern – und wie Sie sie pragmatisch schließen.

1. Daten sind das neue Gold – auch im Wirtshaus

Stellen Sie sich vor, Sie blättern morgens durch das volle Reservierungsbuch, checken die Online-Buchungen, öffnen kurz das Gäste-WLAN und beantworten ein paar Newsletter-Anmeldungen. All das passiert in wenigen Minuten – und jedes Mal verarbeiten Sie personenbezogene Daten. Seit 2018 gilt die DSGVO, doch Unsicherheiten sind geblieben: Welche Daten dürfen Sie speichern? Wie lange? Und wofür?

Viele Betriebe unterschätzen, was alles als personenbezogen gilt: Name, Telefonnummer, aber auch IP-Adressen, Allergie-Hinweise oder Zahlungsdaten. Gleichzeitig wünschen sich Gäste klare Ansagen: Wie geht das Restaurant mit ihren Informationen um? Ein Hotelier bringt es auf den Punkt: „Wir sehen Datenschutz als Teil unserer Diskretion. Ein Gast, der sich sicher fühlt, kommt wieder.“ Genau darum lohnt es sich, das Thema nicht als lästige Bürokratie zu sehen, sondern als Qualitätsstandard.

2. Der Klassiker: Reservierung und Gästebuch

Der Alltag beginnt meist mit dem Reservierungsbuch – digital oder analog. Was harmlos aussieht, ist in puncto Datenschutz ein sensibles Dokument. Ein klassischer Fehler: Das offene Buch an der Theke, in das jeder Gast beim Bezahlen hineinsehen kann. Namen, Telefonnummern, vielleicht sogar Zusatzinfos – all das darf nicht für Dritte einsehbar sein.

Digitale Reservierungssysteme erleichtern den Ablauf, bringen aber Pflichten mit sich. Für Tools wie Resmio oder OpenTable benötigen Sie einen sogenannten Auftragsverarbeitungsvertrag (AVV). Dieser regelt, wie der Anbieter die Daten verarbeitet. Wichtig ist zudem die Datenminimierung: Fragen Sie nur das ab, was wirklich nötig ist – Name, Kontaktdaten, Uhrzeit. Alles darüber hinaus zählt als Marketingzweck und braucht eine separate Einwilligung. Ein Datenschutzbeauftragter fasst es sinngemäß so zusammen: „Viele Gastronomen tappen in die Falle, Reservierungsdaten automatisch für Marketing zu nutzen. Das ist ohne explizite Einwilligung ein klarer Verstoß.“

Noch sensibler wird es bei Allergie- oder Gesundheitsinformationen. Diese zählen laut DSGVO Art. 9 zu den besonders schutzwürdigen Daten. Falls Gäste freiwillig entsprechende Hinweise geben, sollten Sie sie nur für den konkreten Besuch nutzen – und nicht weiter speichern.

Auch Löschfristen sind relevant: Reservierungsdaten dürfen nicht unbegrenzt aufbewahrt werden. Sobald der Zweck – also der Restaurantbesuch – entfällt, müssen sie gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z. B. bei Rechnungen). Ein guter Richtwert: Reservierungsdaten nach wenigen Wochen entfernen, Rechnungsdaten entsprechend den steuerrechtlichen Vorgaben archivieren.

3. Digitale Stolpersteine: Website, WLAN & Newsletter

Ihre Website ist oft der erste digitale Kontaktpunkt für Gäste – und ein häufiger Ort für Abmahnungen. Pflichtangaben wie Impressum und Datenschutzerklärung müssen leicht findbar sein. Ein Klassiker unter den Fallstricken: Google Fonts. Wenn Schriften über externe Server geladen werden, wird die IP-Adresse des Besuchers in die USA übertragen – und das sorgt regelmäßig für teure Abmahnungen. Der sicherste Weg: Google Fonts lokal einbinden. Fachportale wie das Gastgewerbe-Magazin und Ratgeberseiten wie Machs-wie-henry.de weisen ausdrücklich darauf hin.

Auch Cookie-Banner bleiben ein Thema. Technisch nicht notwendige Cookies – zum Beispiel für Tracking – dürfen nicht vorausgewählt sein. Gäste müssen aktiv zustimmen können.

Beim Newsletter gilt das Double-Opt-In – immer. Eine häufige, aber unzulässige Praxis ist es, E-Mail-Adressen aus Reservierungen einfach in den Verteiler zu übernehmen. Ohne ausdrückliche Einwilligung ist das nicht erlaubt. Newsletter-Marketing ist weiterhin möglich und sinnvoll, aber nur mit klarer Zustimmung und sauberer Dokumentation.

Das Gäste-WLAN ist ebenfalls ein datenschutzrelevanter Bereich. Empfehlenswert ist eine Vorschaltseite mit Nutzungsbedingungen. Erheben Sie beim Login nur jene Daten, die für den Betrieb nötig sind – also möglichst wenig. Zusätzliche Analyse- oder Marketingfunktionen sollten standardmäßig deaktiviert sein.

4. Videoüberwachung und Fotos

Viele Betriebe setzen Kameras ein – zur Diebstahlprävention oder zum Schutz des Personals. Das ist grundsätzlich zulässig, aber nur mit klarer Zweckbindung. Die Datenschutzkonferenz (DSK) empfiehlt, Gäste bereits vor Betreten des überwachten Bereichs gut sichtbar zu informieren. Das Hinweisschild sollte neben dem Kamerasymbol auch den Verantwortlichen und Kontaktangaben nennen. Tonaufzeichnungen sind tabu. Zudem gilt eine strenge Speicherbegrenzung: Ohne Vorfälle sollten Aufnahmen nach 48 bis 72 Stunden gelöscht werden.

Ein weiteres Feld voller Unsicherheiten: Fotos von Gästen, etwa bei Veranstaltungen. Einzelne Personen erkennbar abzubilden und auf Social Media zu veröffentlichen, erfordert eine Einwilligung. Übersichtsaufnahmen, auf denen Gäste nur Beiwerk sind, können zulässig sein – dennoch ist Vorsicht ratsam. Ein kurzer Hinweis, eine freiwillige Fotoecke oder eine klare Kommunikation bei Events sind gute Wege, Missverständnisse zu vermeiden.

5. Internes: Mitarbeiterdaten & Bewerbungen

Nicht nur Gästedaten, auch Mitarbeiterinformationen unterliegen strengen Regeln. Krankmeldungen, Arbeitsverträge oder Personalgespräche gehören sicher verwahrt – der Zugriff sollte nur dem Chef oder der Personalabteilung vorbehalten sein.

Bei Bewerbungen gilt: Ablehnungsunterlagen dürfen Sie nicht „für später“ im Schrank horten. Nach etwa sechs Monaten müssen sie gelöscht werden, da danach die Fristen des Allgemeinen Gleichbehandlungsgesetzes (AGG) ablaufen. Fachportale wie Keyed.de betonen die Wichtigkeit dieser Grenze. Wer Kandidaten länger im Blick behalten möchte, braucht deren ausdrückliche Zustimmung zum Talent-Pool.

Ein Datenschutzbeauftragter wird erst ab 20 Personen verpflichtend, die ständig mit digitaler Datenverarbeitung arbeiten. Das betrifft vor allem größere Hotels. Für kleinere Betriebe bleibt es empfehlenswert, intern klare Zuständigkeiten festzulegen.

Fazit / Ausblick

Datenschutz ist kein einmal abhakbares Projekt, sondern ein laufender Prozess – ähnlich wie Hygiene oder Qualitätssicherung. Wer die Grundlagen versteht, vermeidet nicht nur unnötige Risiken, sondern zeigt Gästen und Mitarbeitern, dass ihr Vertrauen ernst genommen wird. Die wichtigsten Punkte sind schnell formuliert: Transparenz, Datensparsamkeit und klare Verantwortlichkeiten. In den kommenden Jahren wird das Thema weiter an Bedeutung gewinnen, da digitale Systeme im Gastgewerbe immer stärker vernetzt sind. Wenn Sie jetzt die zentralen Baustellen angehen, sind Sie nicht nur gesetzlich auf der sicheren Seite, sondern auch im Vorteil gegenüber weniger aufmerksamen Wettbewerbern.

Kurz-Check für Ihren Betrieb

• Liegt das Reservierungsbuch (analog oder digital) vor neugierigen Blicken geschützt?
• Sind Google Fonts lokal eingebunden und Cookie-Banner korrekt konfiguriert?
• Nutzen Sie für Newsletter immer Double-Opt-In?
• Gibt es klare Hinweise auf Videoüberwachung und kurze Speicherfristen?
• Werden Bewerbungsunterlagen nach spätestens sechs Monaten gelöscht?
• Kennt Ihr Team die Basics des Datenschutzes?

---

Disclaimer: Dieser Artikel dient der allgemeinen Information und ersetzt keine anwaltliche Beratung.

Weitere Bilder