Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DatenschutzHotelGastronomie

Datenschutz für Hotels & Gastronomie in Hamburg

Datenschutz Hotel Gastronomie in Hamburg: Meldeschein, Gäste-CRM, Booking.com & Channel-Manager, Gäste-WLAN und Newsletter DSGVO-konform – mit Fahrplan.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
27. Mai 2026

Inhalt in Kürze

  • Hotels und Gastronomiebetriebe verarbeiten besonders viele heikle Gästedaten – vom Meldeschein über Zahlungsdaten bis zu Allergien, die nach Art. 9 DSGVO als Gesundheitsdaten gelten.
  • Der Meldeschein ist ein Jahr ab Anreise aufzubewahren und danach binnen drei Monaten zu vernichten (§ 30 Abs. 4 BMG); seit 1. Januar 2025 gilt die besondere Meldepflicht nur noch für ausländische Gäste.
  • Buchungsportale wie Booking.com oder HRS sind meist eigene Verantwortliche – Auftragsverarbeitungsverträge brauchen Sie vor allem mit PMS, Channel-Manager, Reservierungs- und Newsletter-Tool.
  • Gäste-WLAN, Newsletter, Bewertungen, Social-Media-Fotos und Zahlungsdaten sind die fünf Praxis-Baustellen, an denen es bei Hamburger Hotels und Restaurants am häufigsten klemmt.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Ein Hotelaufenthalt erzeugt mehr personenbezogene Daten als die meisten anderen Geschäftsvorfälle: Name, Anschrift, Ausweis, Kreditkarte, Anreisedatum, manchmal die Allergie beim Frühstück und der Wunsch nach einem ruhigen Zimmer zur Hofseite. Wer in Hamburg ein Hotel rund um den Hauptbahnhof, in St. Georg oder in der HafenCity betreibt – oder ein Restaurant mit Online-Reservierung – sammelt all das, oft über ein halbes Dutzend Systeme verteilt. Genau hier wird Datenschutz konkret. Und genau hier passieren in der Praxis die meisten Fehler.

Aus Hamburg:

Rund um den Hauptbahnhof und in St. Georg drängt sich die Hamburger Hotellerie auf engstem Raum – von der Pension bis zur internationalen Kette. Wenn ein Gast sich über den Umgang mit seinen Daten beschwert, landet das beim HmbBfDI in der Ludwig-Erhard-Straße 22, der Hamburger Datenschutzaufsicht. Tourismus ist ein Aushängeschild der Stadt – die Aufsicht schaut bei Beherbergung, Buchungsportalen und Gäste-WLAN genau hin.

Datenschutz im Hotel und in der Gastronomie: welche Daten überhaupt anfallen

Bevor wir über einzelne Pflichten reden, lohnt der Blick auf die Datenlandschaft. Ein typisches Stadthotel verarbeitet personenbezogene Daten an mindestens sechs Stellen gleichzeitig – und jede hat eine eigene Rechtsgrundlage und eigene Löschfrist.

  • Buchung und Vertrag: Name, Adresse, Anreise/Abreise, Zimmerwunsch – Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Meldeschein: Bei ausländischen Gästen gesetzlich vorgeschrieben (Bundesmeldegesetz).
  • Zahlung: Kreditkarte, Rechnungsdaten – mit eigenen Sicherheitsanforderungen (PCI-DSS).
  • Gäste-WLAN: Verbindungs- und Nutzungsdaten.
  • Marketing: Newsletter, Bewertungen, Stammgast-Profile.
  • Sonderfälle: Allergien, Diäten, Gesundheitswünsche – potenziell Art. 9 DSGVO.

Schon bei der Tischreservierung im Restaurant fallen personenbezogene Daten an: Sobald Sie für die Reservierung einen Namen abfragen, liegt eine Datenverarbeitung vor, die eine Rechtsgrundlage braucht (Quelle: gastgewerbe-magazin.de). Das klingt nach viel Bürokratie – ist es aber nicht, wenn man die Themen einmal sauber sortiert.

1 Jahr
Meldeschein-Aufbewahrung (§ 30 BMG)
Art. 9
DSGVO → Allergien/Gesundheit
72 h
Datenpanne melden (Art. 33)
20
Personen → DSB-Pflicht (§ 38 BDSG)

Der Meldeschein: Bundesmeldegesetz trifft Datensparsamkeit

Beim Meldeschein prallen zwei Welten aufeinander: eine gesetzliche Pflicht zur Erhebung und Aufbewahrung – und der Grundsatz der Datensparsamkeit aus der DSGVO. Beide gelten gleichzeitig.

Die wichtigste Änderung der letzten Jahre: Seit dem 1. Januar 2025 ist die besondere Meldepflicht in Beherbergungsstätten für deutsche Staatsangehörige entfallen. Den handschriftlichen Meldeschein müssen Sie nur noch für ausländische Gäste ausstellen lassen (Quelle: Hotelverband Deutschland / gesetze-im-internet.de). Für deutsche Gäste dürfen Sie die buchungsbezogenen Daten natürlich weiter im Rahmen der Vertragserfüllung verarbeiten – nur eben nicht mehr als gesetzliche Meldedaten.

Was bleibt, ist die Aufbewahrungsfrist: Der Meldeschein ist ein Jahr ab dem Tag der Anreise aufzubewahren und danach innerhalb von drei Monaten zu vernichten oder zu löschen (§ 30 Abs. 4 BMG). Das ist keine Kür, sondern eine konkrete Löschpflicht – wer Meldescheine jahrelang im Ordner liegen lässt, verstößt gegen das Bundesmeldegesetz und gegen die DSGVO zugleich.

Häufiger Fehler:

Meldescheine wandern in einen Ordner und werden nie wieder angefasst. Richtig ist: nach exakt einem Jahr ab Anreise aussortieren, spätestens nach weiteren drei Monaten vernichten. Legen Sie dafür einen festen Quartals-Rhythmus an – sonst sammelt sich über Jahre ein Archiv mit Ausweisdaten an, das im Schadensfall zum Problem wird.

Datensparsamkeit heißt hier konkret: Sie erheben nur, was das Gesetz verlangt. Eine Ausweiskopie ist beim Check-in in der Regel nicht zulässig – das Bundesmeldegesetz verlangt die Vorlage des Dokuments zur Identitätsprüfung, nicht das Anfertigen einer Kopie. Wer routinemäßig Ausweise scannt und speichert, sammelt mehr, als er darf.

Buchungsportale und Channel-Manager: wer ist hier eigentlich verantwortlich?

Kaum ein Hotel füllt die Zimmer noch ohne Booking.com, HRS, Expedia und Co. – meist gebündelt über einen Channel-Manager, der die Verfügbarkeiten auf alle Portale verteilt. Datenschutzrechtlich ist das ein Knäuel aus verschiedenen Rollen, und die Unterscheidung ist entscheidend für die Frage, welchen Vertrag Sie brauchen.

PartnerRolle (typisch)Was Sie brauchen
Booking.com / HRS / ExpediaEigener Verantwortlicher (für die Vermittlung)Datenschutzhinweise, Klarheit über Datenfluss – meist kein klassischer AVV
Channel-ManagerAuftragsverarbeiterAVV nach Art. 28 DSGVO
Property-Management-System (PMS)AuftragsverarbeiterAVV nach Art. 28 DSGVO
Reservierungssystem (Gastronomie)AuftragsverarbeiterAVV nach Art. 28 DSGVO
Newsletter-/CRM-ToolAuftragsverarbeiterAVV nach Art. 28 DSGVO

Der Denkfehler, den wir oft sehen: Hoteliers vermuten, sie bräuchten mit Booking.com einen Auftragsverarbeitungsvertrag. Die großen Buchungsportale sind aber für die Vermittlung in der Regel eigene Verantwortliche – sie entscheiden selbst über Zwecke und Mittel der Verarbeitung der Gästedaten in ihrem System. Der AVV nach Art. 28 DSGVO ist dagegen bei den Tools fällig, die in Ihrem Auftrag und nach Ihren Weisungen Daten verarbeiten: Ihr PMS, der Channel-Manager, das Reservierungstool, der Newsletter-Dienst.

Tipp:

Listen Sie einmal alle Dienstleister auf, die Gästedaten sehen. Dann ordnen Sie jedem eine Rolle zu – eigener Verantwortlicher oder Auftragsverarbeiter. Wie Sie einen AVV prüfen und worauf es ankommt, zeigen wir im Detail in unserem Leitfaden zur AVV-Prüfung mit Muster.

Achten Sie zusätzlich auf den Drittland-Bezug: Viele Buchungs- und Marketing-Tools verarbeiten Daten auf Servern außerhalb der EU. Dann brauchen Sie eine zusätzliche Rechtsgrundlage für den Transfer. Das gehört in Ihr Verzeichnis von Verarbeitungstätigkeiten – das zentrale Dokument, das wir gleich noch ansprechen.

Gäste-WLAN: erfassen, loggen, einwilligen

Kostenloses WLAN gehört heute zum Standard – im Hotelzimmer wie im Café. Datenschutzrechtlich ist das WLAN-Angebot zugleich ein eigenes Verarbeitungsthema, weil dabei Verbindungs- und Nutzungsdaten anfallen.

Drei Punkte sind in der Praxis wichtig:

  1. Captive Portal mit Datenschutzhinweis: Die Anmeldeseite vor dem Login informiert über die Datenverarbeitung. Wo Sie Daten über das technisch Nötige hinaus erheben, brauchen Sie eine Einwilligung – freiwillig, vor der Nutzung, dokumentiert.
  2. Datensparsame Erfassung: Fragen Sie nur ab, was Sie für den Betrieb brauchen. Eine Klarnamen- oder E-Mail-Pflicht fürs WLAN ist selten nötig und schafft mehr Daten, als Sie verantworten wollen.
  3. Kurze Speicherfristen: Verbindungsdaten so kurz wie möglich aufbewahren. In der Praxis speichern viele Anbieter Verbindungsdaten nur wenige Tage bis Wochen – eine Pflicht zur monatelangen Vorratsspeicherung trifft Sie als WLAN-Betreiber nicht.

Ein Hamburger Café, das WLAN anbietet, ist hier in derselben Lage wie ein 200-Zimmer-Hotel: Es geht nicht um die Technik, sondern um Transparenz und Datensparsamkeit. Praktische Hinweise zu Captive Portals und DSGVO-Vorgaben finden sich etwa bei den Industrie- und Handelskammern (Quelle: ihk.de).

Das Wichtigste: Beim Gäste-WLAN gilt die gleiche Logik wie überall im Datenschutz – so wenig Daten wie möglich, so kurz wie möglich, mit klarer Information vorab. Wer das WLAN nur als Service sieht und nicht als Verarbeitung, übersieht eine echte Pflicht.

Gäste-CRM und PMS: Stammgast-Profile und der heikle Art. 9

Das Property-Management-System ist das Herz jedes Hotels. Hier liegen Buchungshistorie, Zimmerpräferenzen, Notizen aus dem letzten Aufenthalt – und manchmal Dinge, die deutlich sensibler sind, als auf den ersten Blick erscheint.

Allergien, Unverträglichkeiten und Diätwünsche sind das klassische Beispiel. Notiert der Service „Gast ist Diabetiker” oder „glutenfrei wegen Zöliakie”, entstehen Gesundheitsdaten nach Art. 9 DSGVO – besonders geschützte Kategorien, für die strengere Regeln gelten. Das gilt für das Hotelrestaurant genauso wie für ein À-la-carte-Restaurant, das die Allergie seiner Stammgäste speichert. Auch die Frage, wie Sie Allergien speichern dürfen, gehört zu den Standardthemen im Gastgewerbe (Quelle: dataguard.de).

So gehen Sie sauber damit um:

  • Nur auf Wunsch des Gastes. Speichern Sie Gesundheitsangaben nur, wenn der Gast sie selbst mitteilt, und nur für den konkreten Aufenthalt.
  • Rechtsgrundlage dokumentieren. Halten Sie fest, warum Sie die Angabe verarbeiten – in der Regel auf ausdrücklichen Wunsch des Gastes.
  • Nicht dauerhaft im Profil führen. Löschen Sie Allergie-Notizen nach dem Aufenthalt, statt sie unbegrenzt im Stammgast-Profil zu sammeln – außer der Gast wünscht das ausdrücklich.
  • Zugriff begrenzen. Nicht jeder im Team muss Gesundheitsangaben sehen. Rollen und Berechtigungen im PMS sauber setzen.

Stammgast-Profile sind ein zweischneidiges Schwert: Sie machen den Service besser, sammeln aber über Jahre ein Verhaltens- und Vorliebenprofil an. Hier hilft ein Löschkonzept, das festlegt, wann inaktive Profile aufgeräumt werden. Wie Sie Löschfristen pragmatisch festlegen, zeigen wir im Beitrag zum Löschkonzept mit Löschfristen.

Newsletter, Bewertungen und Fotos: Marketing ohne Ärger

Marketing ist für Hotels und Restaurants überlebenswichtig – und einer der häufigsten Anlässe für Beschwerden. Drei Bereiche stechen heraus.

Newsletter: Für Werbe-E-Mails brauchen Sie eine nachweisbare Einwilligung im Double-Opt-in-Verfahren. Die bloße Buchung ist keine Einwilligung in Newsletter-Werbung. Eine enge Ausnahme ist der Bestandskunden-Versand nach § 7 Abs. 3 UWG für ähnliche eigene Angebote – die Voraussetzungen sind aber streng, und der Gast muss jederzeit widersprechen können. Trennen Sie Buchungsdaten und Marketing-Verteiler.

Bewertungen und Reputation: Antworten Sie auf eine Google-, Booking- oder TripAdvisor-Bewertung, geben Sie keine Buchungsdetails preis, die der Gast nicht selbst öffentlich gemacht hat. „Schön, dass Ihnen die Suite 412 und das vegane Frühstück gefallen haben” ist gut gemeint – und plaudert Gästedaten aus.

Fotos und Social Media: Ein Foto vom vollen Restaurant oder der Hochzeitsfeier, auf dem Gäste erkennbar sind, brauchen Sie eine Einwilligung, bevor Sie es auf Instagram posten. Das gilt für das Recht am eigenen Bild ebenso wie für die DSGVO.

Achtung:

Der häufigste Marketing-Fehler ist der Newsletter-Versand an alle, die mal gebucht haben – ohne separate Einwilligung. Das ist ein klassischer Abmahn- und Beschwerdegrund. Wer hier sauber mit Double-Opt-in arbeitet, nimmt sich das größte Risiko aus dem Marketing.

Zahlung und Reservierung: Kreditkarte, PCI-DSS und Reservierungssysteme

Sobald Kreditkartendaten ins Spiel kommen, gelten zusätzlich zur DSGVO die Sicherheitsstandards der Zahlungsbranche – der PCI-DSS. Das ist kein Datenschutzgesetz, sondern ein Branchenstandard, aber er bestimmt, wie Sie Kartendaten speichern, übertragen und schützen müssen.

Der pragmatische Weg für die meisten Hamburger Hotels: Kartendaten gar nicht selbst speichern, sondern über einen zertifizierten Zahlungsdienstleister abwickeln. Wer keine Kartennummern im eigenen System hält, reduziert sowohl das PCI-DSS-Risiko als auch das DSGVO-Risiko deutlich. Notieren Sie keine vollständigen Kartennummern auf Reservierungszetteln oder in PMS-Freitextfeldern – das ist ein klassisches Einfallstor.

Auch das Reservierungssystem in der Gastronomie ist ein Auftragsverarbeiter, mit dem Sie einen AVV brauchen. Und es speichert oft mehr, als nötig: Telefonnummer, E-Mail, Notizen. Hier gilt dasselbe wie im Hotel – nur erheben, was der Reservierungszweck braucht, und nach angemessener Frist löschen.

Brauche ich als Hotel oder Restaurant einen Datenschutzbeauftragten?

Das ist die Frage, die wir am häufigsten hören. Die Antwort hat zwei Ebenen.

DSGVO-konform arbeiten müssen Sie immer – ab dem ersten Gästedatensatz, egal ob Gästehaus mit vier Zimmern oder Hotelgruppe mit mehreren Häusern. Einen bestellten Datenschutzbeauftragten brauchen Sie nach § 38 BDSG erst, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Quelle: dsgvo-gesetz.de).

In einem mittelgroßen Hamburger Hotel mit Rezeption, Reservierung, Buchhaltung, Housekeeping-Planung und Restaurant ist diese Schwelle schneller erreicht, als viele denken – jeder, der am System mit Gästedaten arbeitet, zählt mit. Eine Hotelgruppe liegt fast immer darüber. Und selbst wer unter der Schwelle bleibt, kann von einer Datenschutzfolgenabschätzung betroffen sein, wenn er umfangreich sensible Daten verarbeitet.

Tipp:

Ob Sie über der Schwelle liegen, lässt sich in wenigen Minuten klären. Mehr zur DSB-Pflicht für Hamburger KMU lesen Sie im Beitrag DSB-Pflicht in Hamburg: wann und wie. Wenn Sie einen externen DSB suchen, finden Sie auf unserer Startseite die Tarife und den Angebotsrechner.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Im Hotel und in der Gastronomie kommt dazu, dass die Daten besonders heikel sind: Ausweis, Kreditkarte, manchmal eine Allergie. Da reicht ein offenes Reservierungssystem, und schon ist es ein Thema.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Der pragmatische Fahrplan für Hotel und Gastronomie

Datenschutz in der Beherbergung ist kein Aktenordner-Marathon, wenn man die richtigen Stellen anpackt. Das ist die Reihenfolge, die wir bei Hamburger Mandanten in St. Georg, der HafenCity und rund um den Hauptbahnhof empfehlen:

  1. Verzeichnis von Verarbeitungstätigkeiten (VVT): Listen Sie auf, welche Gästedaten Sie wo verarbeiten – Buchung, Meldeschein, Zahlung, WLAN, Marketing. Das ist die Landkarte für alles Weitere.
  2. AVV mit allen Auftragsverarbeitern: PMS, Channel-Manager, Reservierungssystem, Newsletter-Tool, Zahlungsdienstleister.
  3. Meldeschein-Routine: Ausländische Gäste erfassen, ein Jahr ab Anreise aufbewahren, danach binnen drei Monaten vernichten.
  4. Art.-9-Daten klären: Allergien und Gesundheitsangaben nur auf Wunsch, mit Rechtsgrundlage, mit Löschfrist.
  5. Newsletter auf Double-Opt-in: Marketing-Verteiler von Buchungsdaten trennen, Einwilligungen sauber dokumentieren.
  6. Gäste-WLAN: Captive Portal, datensparsame Erfassung, kurze Speicherfristen.
  7. Datenschutzerklärung und Informationspflichten: Auf Website, Buchungsstrecke und am Empfang transparent informieren.

Die Datenschutzerklärung ist dabei keine Pflichtübung, sondern Ihr Aushängeschild gegenüber Gästen. Wie Sie sie 2026 sauber aufsetzen, zeigen wir im Beitrag Datenschutzerklärung für die Website erstellen. Und falls Ihr Hotel oder Restaurant in St. Georg oder der HafenCity sitzt: Auf unseren Stadtteil-Seiten für Datenschutz in St. Georg und Datenschutz in der HafenCity finden Sie den lokalen Bezug.

Datenschutz im Hotel oder Restaurant in 7 Werktagen startklar

Wir prüfen Ihre Gästedaten, Buchungsportale, das WLAN und Ihr Marketing – pragmatisch, ohne den Betrieb lahmzulegen. Im kostenlosen 15-Minuten-Erstgespräch klären wir, was bei Ihnen wirklich zählt.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Wie lange muss ich Meldescheine im Hotel aufbewahren?

Der besondere Meldeschein für Beherbergungsbetriebe ist ein Jahr ab dem Tag der Anreise aufzubewahren und danach innerhalb von drei Monaten zu vernichten oder zu löschen (§ 30 Abs. 4 BMG). Seit dem 1. Januar 2025 ist die besondere Meldepflicht für deutsche Staatsangehörige entfallen – der handschriftliche Meldeschein ist nur noch für ausländische Gäste vorgeschrieben.

Brauche ich mit Booking.com oder HRS einen Auftragsverarbeitungsvertrag?

In der Regel nicht im klassischen Sinn. Buchungsportale wie Booking.com oder HRS sind für die Vermittlung meist eigene Verantwortliche und keine reinen Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO brauchen Sie dagegen mit Anbietern, die in Ihrem Auftrag Daten verarbeiten – Ihrem Property-Management-System, dem Channel-Manager, dem Newsletter-Tool oder dem Reservierungssystem. Im Zweifel prüfen wir, wer welche Rolle hat.

Darf ich Allergien und Unverträglichkeiten meiner Gäste speichern?

Ja, aber vorsichtig. Angaben zu Allergien, Unverträglichkeiten oder Diäten können Gesundheitsdaten nach Art. 9 DSGVO sein und genießen besonderen Schutz. Speichern Sie sie nur, wenn der Gast sie selbst mitteilt und Sie sie für den Aufenthalt brauchen, dokumentieren Sie eine Rechtsgrundlage und löschen Sie sie nach dem Aufenthalt, statt sie dauerhaft im Stammgast-Profil zu führen.

Was muss ich beim Gäste-WLAN im Hotel datenschutzrechtlich beachten?

Erfassen Sie nur die Daten, die Sie für den Betrieb wirklich brauchen, und speichern Sie Verbindungsdaten so kurz wie möglich. Ein Captive Portal mit Datenschutzhinweis und – wo nötig – Einwilligung gehört dazu. Eine Pflicht zur monatelangen Vorratsdatenspeicherung gibt es für Sie als WLAN-Betreiber nicht; viele Anbieter speichern Verbindungsdaten daher nur wenige Tage bis Wochen.

Brauche ich für den Hotel-Newsletter eine Einwilligung?

Ja. Für Werbe-Newsletter brauchen Sie eine nachweisbare Einwilligung im Double-Opt-in-Verfahren – die reine Buchung reicht nicht. Eine Ausnahme ist der Bestandskunden-Versand nach § 7 Abs. 3 UWG für ähnliche eigene Angebote, der enge Voraussetzungen hat. Trennen Sie Buchungsdaten und Marketing-Verteiler sauber.

Wer ist in Hamburg meine Datenschutz-Aufsichtsbehörde?

Für Hotels und Gastronomiebetriebe in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in der Ludwig-Erhard-Straße 22 zuständig. Dort landen Beschwerden von Gästen und dorthin melden Sie Datenpannen innerhalb von 72 Stunden nach Art. 33 DSGVO.

Recherche-Stand: verifiziert am 27. Mai 2026 über gesetze-im-internet.de (§ 30 BMG), Hotelverband Deutschland (IHA), dsgvo-gesetz.de (§ 38 BDSG), dataguard.de, ihk.de und gastgewerbe-magazin.de.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot