Datenschutz

DSGVO Hotel & Gastgewerbe 2026: Pflichten + Fristen + Bußgelder

DSGVO im Hotel und Gastgewerbe 2026: Buchungen, Meldeschein, Gäste-WLAN, Gästekartei, Bewertungsportale und Aufbewahrungsfristen - mit echten Bußgeldern.

In einem Satz. Ein Hotel wird DSGVO-konform, indem es Buchungsdaten nur zur Vertragserfüllung nutzt, den gesetzlichen Meldeschein (§ 30 BMG) korrekt führt und ein Jahr aufbewahrt, das Gäste-WLAN datensparsam ohne unnötige Registrierung betreibt, die Gästekartei mit Präferenzen nur mit Einwilligung anlegt und für Buchungsportale sowie Channel-Manager die datenschutzrechtlichen Rollen sauber vertraglich klärt.

Was muss ein Hotel oder Gastronomiebetrieb für DSGVO-Konformität tun? Die Branche verarbeitet Buchungs-, Zahlungs- und Aufenthaltsdaten, teils Gesundheitsdaten (Allergien, Barrierefreiheit) und den gesetzlich vorgeschriebenen Meldeschein. Konformität heißt: Rechtsgrundlagen pro Verarbeitung dokumentieren, den Meldeschein melderechtlich korrekt und fristgerecht behandeln, das WLAN datensparsam gestalten, Bewertungs- und Buchungsportale richtig einordnen und ein Löschkonzept betreiben. Grundlagen: DSGVO Anforderungen und DSGVO-Checkliste.

Wichtige Punkte

  • Meldeschein nach § 30 BMG: Pflicht, 1 Jahr aufbewahren, dann vernichten.
  • Gäste-WLAN datensparsam - keine unnötige Registrierung mit Klarnamen.
  • Gästekartei mit Präferenzen nur auf Einwilligung.
  • Buchungsportale (Booking, Expedia) sind eigene Verantwortliche.
  • Marriott 18,4 Mio. £ - die Hotellerie ist ein Datenpannen-Ziel.

1. Welche Daten das Hotel verarbeitet

Hotels verarbeiten Buchungs- und Kontaktdaten, Zahlungsdaten, Ausweis-/Meldescheindaten, Aufenthalts- und Präferenzdaten (Zimmerwünsche, Diät, Allergien), Bewertungs- und Loyalty-Daten sowie Beschäftigtendaten. Allergie- und Gesundheitsangaben können besondere Kategorien nach Art. 9 DSGVO sein und brauchen dann eine Einwilligung.

2. Rechtsgrundlagen pro Verarbeitung

Verarbeitung Rechtsgrundlage
Buchung / Beherbergungsvertrag Art. 6 Abs. 1 lit. b
Zahlungsabwicklung Art. 6 Abs. 1 lit. b
Meldeschein Art. 6 Abs. 1 lit. c (§ 30 BMG)
Rechnung / Buchhaltung Art. 6 Abs. 1 lit. c
Gästekartei / Präferenzen Art. 6 Abs. 1 lit. a
Allergien / Gesundheit Art. 9 Abs. 2 lit. a (Einwilligung)
Gäste-WLAN Art. 6 Abs. 1 lit. b / lit. f
Bewertungsanfrage / Newsletter Art. 6 Abs. 1 lit. a; § 7 UWG

3. Der Meldeschein

Der besondere Meldeschein nach § 30 Bundesmeldegesetz (BMG) ist für Beherbergungsbetriebe Pflicht: Der Gast muss ihn ausfüllen und unterschreiben. Datenschutzrechtliche Besonderheiten:

  • Die Erhebung ist gesetzlich vorgeschrieben (Art. 6 Abs. 1 lit. c), keine Einwilligung nötig.
  • Der Meldeschein ist ein Jahr aufzubewahren und dann innerhalb von drei Monaten zu vernichten (§ 30 Abs. 4 BMG).
  • Er darf nur zu den melderechtlichen Zwecken genutzt werden - eine Zweitverwertung für Marketing ist unzulässig (Zweckbindung).
  • Eine Ausweiskopie zu Meldezwecken ist grundsätzlich nicht erforderlich und sollte unterbleiben.

4. Gäste-WLAN

Das Gäste-WLAN ist ein häufiger Schwachpunkt. Datensparsam heißt: keine Registrierung mit Klarnamen und Ausweisdaten, wenn ein einfacher Zugangscode genügt. Wird ein Captive Portal mit Datenerhebung betrieben, braucht es eine Rechtsgrundlage und eine Datenschutzinformation. Verbindungsdaten sind nur so kurz wie nötig zu speichern. Eine Kopplung des WLAN-Zugangs an eine Marketing-Einwilligung ist unzulässig (Kopplungsverbot).

5. Gästekartei und Bewertungsportale

Eine Gästekartei mit gespeicherten Präferenzen (Lieblingszimmer, Diät, Getränk) ist ein Service, aber keine Vertragsnotwendigkeit - sie braucht daher eine Einwilligung, sobald über die reine Buchungsabwicklung hinaus profiliert wird. Bewertungsanfragen nach dem Aufenthalt sind Werbung: Sie setzen eine Einwilligung oder die engen Voraussetzungen der Bestandskundenwerbung (§ 7 Abs. 3 UWG) voraus. Bewertungsportale (Google, TripAdvisor, HolidayCheck) sind eigene Verantwortliche.

6. Buchungsportale und Channel-Manager

Booking.com, Expedia und HRS sind für die Vermittlung eigenständige Verantwortliche; das Hotel wird mit Übernahme der Buchung selbst Verantwortlicher für die Aufenthaltsdaten. Der Channel-Manager, das Property-Management-System (PMS) und Cloud-Dienste sind dagegen typische Auftragsverarbeiter - hier ist ein Auftragsverarbeitungsvertrag nach Art. 28 nötig. Bei US-Anbietern kommt ein Transfer-Impact-Assessment hinzu.

7. Aufbewahrungsfristen

Datenart Frist Grundlage
Meldeschein 1 Jahr, dann Vernichtung binnen 3 Monaten § 30 Abs. 4 BMG
Rechnungen, Buchungsbelege 10 Jahre § 147 AO, § 257 HGB
Beherbergungsvertrag / Korrespondenz 6 Jahre § 257 HGB
Gästekartei / Präferenzen bis Widerruf Einwilligung
Gäste-WLAN-Verbindungsdaten so kurz wie möglich Datenminimierung
Bewerberdaten 6 Monate nach Absage AGG-Klagefrist

Die einjährige Meldescheinfrist ist eine der wenigen gesetzlichen Löschfristen mit fester Obergrenze - ihre Missachtung ist ein typischer Prüfbefund.

8. Echte Bußgelder - was den Sektor betrifft

Die Hotellerie ist wegen umfangreicher Gästedaten ein Ziel von Datenpannen:

Jahr Behörde Fall (Sektor) Sanktion Lehre für Hotels
2020 ICO (UK) Marriott / Starwood ca. 18,4 Mio. £ Gästedatenbanken absichern, Übernahmen prüfen
2021 LfDI BW Notebooksbilliger (Handel) 10.400.000 € keine dauerhafte Videoüberwachung
2020 HmbBfDI H&M (Beschäftigte) 35.300.000 € keine exzessiven Personalprofile

Der Marriott-Fall (Datenpanne in der Starwood-Buchungsdatenbank mit Millionen betroffener Gäste) ist die Blaupause der Branche: Große, oft aus Übernahmen ererbte Gästedatenbanken müssen technisch abgesichert und bei M&A datenschutzrechtlich geprüft werden.

9. Häufige Fehler

  • Meldeschein länger als ein Jahr aufbewahrt oder für Marketing genutzt.
  • Ausweiskopien ohne Rechtsgrundlage angefertigt.
  • Gäste-WLAN mit übermäßiger Datenerhebung und Marketing-Kopplung.
  • Bewertungsanfragen ohne Einwilligung an alle Gäste.
  • Kein AVV mit PMS, Channel-Manager und Cloud-Anbieter.
  • Videoüberwachung in Lobby und Personalräumen ohne Beschilderung und Abwägung.

10. Tool-Unterstützung

Legiscope unterstützt Hotels und Gastronomiebetriebe beim Verarbeitungsverzeichnis, bei AVV mit PMS- und Channel-Manager-Anbietern, bei rechtssicheren WLAN- und Bewertungsprozessen und einem Löschkonzept inklusive der Meldescheinfrist.

11. Datenpanne im Hotel

Typische Szenarien: ein Datenleck im Property-Management-System oder Buchungsportal mit Gäste- und Zahlungsdaten (siehe Marriott), ein Fehlversand der Rechnung an den falschen Gast, ein verlorenes Tablet an der Rezeption oder ein ungesichertes Captive-Portal des WLAN. Ab Kenntnis läuft die 72-Stunden-Frist nach Art. 33 DSGVO; bei betroffenen Zahlungs- oder Gesundheitsdaten (Allergien) ist zusätzlich nach Art. 34 zu benachrichtigen. Vorsorge: Zugriffsbeschränkung im PMS, Verschlüsselung, minimale Datenspeicherung im WLAN, regelmäßige Updates. Meldewege: Datenpanne melden.

12. Umsetzung in fünf Schritten

  1. Datenlandkarte: Buchungs-, Melde-, Zahlungs-, WLAN- und Präferenzdaten sowie alle Portale und Systeme erfassen.
  2. Rollen klären: Buchungsportale als eigene Verantwortliche einordnen, AVV mit PMS, Channel-Manager und Cloud schließen.
  3. Meldeschein-Prozess: korrekte Erfassung, sichere Ablage, Vernichtung nach einem Jahr - getrennt von Marketingdaten.
  4. WLAN und Marketing: WLAN datensparsam gestalten, Gästekartei und Bewertungsanfragen auf Einwilligung stützen.
  5. Löschkonzept: Meldeschein 1 Jahr, Rechnungen 10 Jahre, WLAN-Logs so kurz wie möglich - Löschroutinen einrichten.

13. Betroffenenrechte in der Praxis

Gäste machen ihre Rechte gegenüber dem Betrieb geltend - meist zu Buchungs-, Bewertungs- und Newsletterdaten, mit der Monatsfrist (Art. 12 Abs. 3):

  • Auskunft (Art. 15): Buchungs-, Aufenthalts-, Präferenz- und Marketingdaten aus PMS und Newsletter-Tool zusammenführen. Meldescheindaten unterliegen ihrer eigenen gesetzlichen Zweckbindung.
  • Berichtigung (Art. 16): unrichtige Stammdaten korrigieren.
  • Löschung (Art. 17): Gästekartei und Marketingdaten sind auf Wunsch zu löschen; Rechnungen bleiben 10 Jahre gesperrt, der Meldeschein wird nach einem Jahr ohnehin vernichtet.
  • Widerspruch (Art. 21) gegen Bewertungsanfragen und Newsletter: sofort umzusetzen.
  • Beschwerde: Gäste können sich an die Aufsichtsbehörde wenden (Art. 77); Verstöße können Schadensersatz nach Art. 82 begründen.

Ein häufiger Konflikt: Der Gast fordert die Löschung, obwohl noch eine offene Rechnung oder ein laufender Vorgang besteht. Hier ist zwischen sofort löschbaren Marketingdaten und aufbewahrungspflichtigen Belegen zu unterscheiden - ein dokumentierter Prozess je Datenkategorie schafft Klarheit.

Fazit

Im Gastgewerbe treffen gesetzliche Meldepflichten (Meldeschein), datensparsames WLAN, Marketing-Einwilligungen und große Gästedatenbanken aufeinander. Wer den Meldeschein korrekt behandelt, das WLAN schlank hält, die Gästekartei auf Einwilligung stützt und AVV mit PMS und Portalen führt, deckt die zentralen Risiken ab. Der Marriott-Fall zeigt, wie teuer eine ungesicherte Gästedatenbank wird. Für Betriebe mit angeschlossenem Onlineshop siehe DSGVO Onlineshop E-Commerce Deutschland.

FAQ

Wie lange muss ich den Meldeschein aufbewahren?

Nach § 30 Abs. 4 BMG ein Jahr; danach ist er innerhalb von drei Monaten zu vernichten. Eine längere Aufbewahrung oder eine Marketing-Nutzung ist unzulässig.

Darf ich für das Gäste-WLAN Klarnamen und Ausweisdaten verlangen?

Nein, das ist regelmäßig unverhältnismäßig. Wenn ein einfacher Zugangscode genügt, verstößt eine umfangreiche Registrierung gegen die Datenminimierung. Eine Kopplung an eine Marketing-Einwilligung ist unzulässig.

Sind Booking.com und Expedia Auftragsverarbeiter?

Nein. Buchungsportale sind für die Vermittlung eigenständige Verantwortliche. Das Hotel wird für die Aufenthaltsdaten selbst Verantwortlicher. AVV nach Art. 28 sind dagegen mit PMS, Channel-Manager und Cloud-Dienstleistern nötig.

Darf ich nach dem Aufenthalt um eine Bewertung bitten?

Nur mit Einwilligung oder unter den engen Voraussetzungen der Bestandskundenwerbung (§ 7 Abs. 3 UWG), also für ähnliche Leistungen und mit klarer Widerspruchsmöglichkeit.

Brauche ich eine Einwilligung für Allergie-Angaben?

Ja. Allergie- und Gesundheitsangaben sind besondere Kategorien nach Art. 9; ihre Speicherung in der Gästekartei setzt eine ausdrückliche Einwilligung voraus.

Darf ich Buchungsdaten für Marketing weiterverwenden?

Nicht ohne eigene Rechtsgrundlage. Die für die Buchung erhobenen Daten dürfen zunächst nur zur Vertragserfüllung genutzt werden. Für Newsletter und Angebote brauchen Sie eine Einwilligung oder die engen Voraussetzungen der Bestandskundenwerbung (§ 7 Abs. 3 UWG). Meldescheindaten sind aufgrund ihrer gesetzlichen Zweckbindung von jeder Marketingnutzung ausgeschlossen.

Darf ich in der Lobby und im Eingangsbereich filmen?

Nur eingeschränkt. Videoüberwachung braucht eine dokumentierte Interessenabwägung (Art. 6 Abs. 1 lit. f), eine deutliche Beschilderung und eine kurze Speicherdauer (in der Regel 48-72 Stunden). In Zimmern, Sanitär-, Wellness- und Personalräumen ist eine Überwachung unzulässig. Bei umfangreicher systematischer Überwachung öffentlich zugänglicher Bereiche kann zudem eine Datenschutz-Folgenabschätzung erforderlich sein, und die Aufzeichnungen sind streng zweckgebunden auf die Sicherheit zu beschränken.

Behördeninformationen: DSK und BfDI; Gesetzestext Meldeschein unter gesetze-im-internet.de/bmg (§ 30).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →