Gästedaten und DSGVO im kleinen Hotel: praktisch statt panisch
Hotels verarbeiten zwangsläufig persönliche Daten – von der Buchung bis zur Meldepflicht. Was die DSGVO im Alltag eines kleinen Hauses wirklich verlangt, ohne Bürokratie-Angst.
Jedes Hotel ist ein Datenverarbeiter, ob es will oder nicht. Name, Adresse, manchmal Ausweisdaten, Zahlungsinformationen, Kommunikation – schon eine einzige Buchung erzeugt einen Strauß personenbezogener Daten. Die DSGVO regelt, wie man damit umgeht. Für kleine Häuser klingt das nach Bürokratie-Monster, ist in der Praxis aber überschaubar, wenn man ein paar Grundprinzipien beherzigt.
Worum es bei der DSGVO im Kern geht
Hinter den vielen Paragraphen steckt eine einfache Idee: Personenbezogene Daten gehören der Person, nicht dem Betrieb, der sie verarbeitet. Daraus folgen ein paar praktische Grundsätze:
- Zweckbindung. Daten werden für einen klaren Zweck erhoben (Buchung, Rechnung, Meldepflicht) und nicht beliebig anderweitig genutzt.
- Datenminimierung. Man erhebt nur, was man wirklich braucht – nicht „auf Vorrat".
- Speicherbegrenzung. Daten werden nicht ewig aufbewahrt, sondern nur so lange, wie es Zweck oder Gesetz verlangen.
- Sicherheit. Daten werden vor unbefugtem Zugriff geschützt.
Wer diese vier Prinzipien im Hinterkopf hat, trifft die meisten Entscheidungen im Alltag intuitiv richtig.
Die Spannung mit der Aufbewahrungspflicht
Ein häufiges Missverständnis: „DSGVO heißt, ich muss Daten löschen." Das stimmt nur halb. Steuer- und handelsrechtliche Aufbewahrungspflichten verlangen, dass Rechnungen und buchhaltungsrelevante Unterlagen über Jahre aufbewahrt werden – in Deutschland je nach Dokument bis zu zehn Jahre. Diese Pflicht geht der Löschung vor.
In der Praxis bedeutet das: Eine Gästerechnung darf und muss aufbewahrt werden, auch wenn der Gast eine Löschung wünscht – das Recht auf Löschung endet dort, wo eine gesetzliche Aufbewahrungspflicht beginnt. Daten, die nicht aufbewahrungspflichtig sind (etwa eine alte Marketing-Einwilligung oder Kommunikation ohne steuerliche Relevanz), sollten dagegen gelöscht werden, wenn ihr Zweck erfüllt ist.
Was im Alltag konkret zu tun ist
Für ein kleines Haus lässt sich die DSGVO auf eine handhabbare Liste herunterbrechen:
- Datenschutzerklärung auf der Website, die verständlich erklärt, welche Daten zu welchem Zweck verarbeitet werden.
- Einwilligungen sauber einholen, wo nötig – etwa für WhatsApp-Kommunikation oder Marketing. Eine vorhandene Telefonnummer ersetzt keine Einwilligung.
- Zugriff begrenzen. Nicht jeder im Team braucht Zugriff auf alle Gästedaten. Rollen und Berechtigungen helfen, das sauber zu trennen.
- Auftragsverarbeiter prüfen. Wer Software einsetzt, die Gästedaten verarbeitet (PMS, Buchungstool, Kommunikations-Dienst), braucht mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV). Seriöse Anbieter stellen den bereit.
- Auskunft und Löschung ermöglichen. Gäste haben das Recht zu erfahren, welche Daten gespeichert sind, und – im Rahmen der Aufbewahrungspflichten – auf Löschung.
Warum EU-Anbieter den Umgang erleichtern
Ein oft unterschätzter Punkt ist, wo die eingesetzte Software die Daten verarbeitet. Dienste mit Servern und Unternehmenssitz in der EU vereinfachen die DSGVO-Konformität erheblich, weil keine zusätzlichen Garantien für den Datentransfer in Drittländer nötig sind. Bei der Auswahl von PMS-Erweiterungen, Kommunikations- oder Buchhaltungstools lohnt deshalb der Blick auf den Serverstandort und einen sauberen AVV – das erspart später viel Erklärungsaufwand.
Fazit
DSGVO im kleinen Hotel ist kein Bürokratie-Monster, sondern eine Frage weniger klarer Prinzipien: nur erheben, was man braucht; für klare Zwecke nutzen; nicht länger speichern als nötig – außer das Gesetz verlangt es; und schützen, was man hält. Wer eine verständliche Datenschutzerklärung hat, Einwilligungen sauber einholt, Zugriffe begrenzt und mit seinen Software-Anbietern AVVs abschließt, ist im Alltag auf der sicheren Seite. Datenschutz ist dabei kein Hindernis, sondern Teil eines vertrauenswürdigen Gastgebers.