<!-- Bizible Script --> <script type="text/javascript" class="optanon-category-C0004" src="//cdn.bizible.com/scripts/bizible.js" ></script> <!-- End Bizible Script -->
Kontakt aufnehmen
Hotels

Datenschutz im Hotel: Gästedaten DSGVO-konform verwalten

Hotels verarbeiten an jedem Touchpoint der Guest Journey große Mengen an Daten: bei jeder Buchung, jedem Check-in, jeder Zahlung und jeder Marketingkommunikation entstehen personenbezogene Daten – und die DSGVO gilt seit Mai 2018 für alle davon, ausnahmslos. Ob Hotelier, Geschäftsleitung oder Rezeption: Wer die Anforderungen kennt, schützt nicht nur seine Gäste, sondern auch den eigenen Betrieb.

Posted 25.05.2026

Was das konkret bedeutet, zeigt ein Vorfall im Oktober 2025: Sicherheitslücken bei einer externen Hotelsoftware legten rund 50 Millionen Gästeprofile von Jugendherbergen und diversen Hotels offen – teilweise mit Buchungsdaten, die bis zu 20 Jahre zurückreichten. 

Gleichzeitig hat das Vierte Bürokratieentlastungsgesetz zum 1. Januar 2025 die Meldescheinpflicht für deutsche Gäste in Deutschland abgeschafft.

In diesem Artikel erfahren Sie:

Welche Gästedaten dürfen Hotels verarbeiten?

Hotels nehmen in Datenschutzfragen eine Doppelrolle ein: Sie sind selbst Verantwortliche im Sinne der DSGVO und arbeiten gleichzeitig mit Auftragsverarbeitern zusammen, etwa PMS-Anbietern, Channel Managern oder Booking Engines. Und für diese braucht es einen Auftragsverarbeitungsvertrag (AVV). 

Die zentrale Rechtsgrundlage für buchungs- und vertragsbezogene Gästedaten ist Art. 6 Abs. 1 lit. b DSGVO: Die Verarbeitung ist zur Erfüllung des Beherbergungsvertrags erforderlich. Dazu zählen Name, Anreise- und Abreisedatum, Zimmerzuweisung sowie Rechnungs- und Zahlungsdaten – alles, was zur Abwicklung des Aufenthalts tatsächlich notwendig ist. 

Meldeschein im Hotel: Was seit Januar 2025 in Deutschland gilt 

Zum 1. Januar 2025 ist die Meldepflicht in Beherbergungsbetrieben innerhalb Deutschlands für deutsche Staatsangehörige entfallen (Viertes Bürokratieentlastungsgesetz, Oktober 2024): Wer also bis dahin jeden deutschen Gast am Check-in einen Meldeschein ausfüllen ließ, kann diesen Schritt im internen Prozess seither streichen. 

Für ausländische Gäste gilt die Meldepflicht auch in Deutschland unverändert. Gemäß § 29 Abs. 2 und § 30 Abs. 2 Bundesmeldegesetz (BMG) müssen ausländische Gäste am Anreisetag einen Meldeschein mit folgenden Pflichtangaben handschriftlich unterzeichnen:  

  • Vorname 
  • Familienname 
  • Geburtsdatum 
  • Staatsangehörigkeit 
  • Anschrift 
  • Anreise- und Abreisedatum 
  • Anzahl der ausländischen Mitreisenden und ihre Staatsangehörigkeit 
  • Seriennummer des Reisepasses oder Passersatzpapiers 

Wichtig für Hotels: Die Seriennummer des Dokuments genügt. Eine Kopie geht über das nach dem Grundsatz der Datensparsamkeit bestimmte Maß hinaus. Eine vollständige Ausweiskopie darf nur mit ausdrücklicher, informierter Einwilligung des Gastes angefertigt werden, und ist auch dann nur zulässig, wenn die Kopie als solche gekennzeichnet ist (siehe § 20 Absatz 2 Personalausweisgesetz). Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte im August 2024 gegen ein Hotel ein Bußgeld von 16.000 Euro, „weil es Personalausweisdaten ohne rechtliche Grundlage erhoben und gespeichert hatte.“ 

Sensible Daten gemäß DSGVO: Was bei besonderen Gästewünschen gilt 

Viele Hotels erfassen beim Check-in oder bei der Buchung besondere Gästewünsche: etwa Unverträglichkeiten und Ernährungsanforderungen, Mobilitätseinschränkungen oder religiöse Präferenzen. Was im Alltag wie eine einfache Serviceleistung wirkt, ist datenschutzrechtlich eine andere Kategorie: Solche Angaben können besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO darstellen, darunter fallen z. B. Gesundheitsdaten oder Informationen zur Weltanschauung. 

Für deren Verarbeitung reicht die Vertragsgrundlage aus Artikel 6 DSGVO nicht aus. Hotels brauchen eine ausdrückliche Einwilligung des Gastes gemäß Artikel 9 Absatz 2 lit. a DSGVO – freiwillig, informiert und jederzeit widerrufbar. Das bedeutet in der Praxis: Wer besondere Wünsche im Gästeprofil speichert, muss das aktiv abfragen und dokumentieren. 

Besonders wichtig ist die Löschung bei der Profilbereinigung: Wird ein Gästeprofil gelöscht oder anonymisiert, geschieht dies bei einem DSGVO-konformen PMS wie dem Guestline PMS von Access vollständig auf Profilebene statt nur für einzelne Datenfelder. Das stellt sicher, dass auch Sonderwünsche oder sensible Notizen keinem Gast mehr zugeordnet werden können.  

Auch technische Hintergrunddaten (sogenannte Protokolldaten oder Logfiles), die bei der Nutzung entstehen, werden dabei automatisch innerhalb von 12 bis 18 Monaten vollständig bereinigt.

Wie lange müssen Hotels Gästedaten aufbewahren?

Hier treffen 2 Pflichten aufeinander, die auf den ersten Blick widersprüchlich wirken: Die DSGVO verlangt, personenbezogene Daten zu löschen, sobald sie nicht mehr benötigt werden. Das Handels- und Steuerrecht schreibt gleichzeitig vor, bestimmte Unterlagen jahrelang aufzubewahren. Für Hotels bedeutet das: Nicht alle Gästedaten dürfen gleich behandelt werden.  

Aufbewahrungsfristen im Überblick: 

Datenkategorie  Aufbewahrungsfrist Rechtsgrundlage
Buchungsbelege und Rechnungen  Seit 2025 von 10 auf 8 Jahre verkürzt.1  § 257 HGB, § 147 Abs. 1 Nr. 4 & 4a i.V.m. Abs. 3 AO
Handels- oder Geschäftsbriefe (auch E-Mails)  6 Jahre (z. B. Bestätigungs-E-Mails, Korrespondenz zur Buchung). 1  § 257 HGB, § 147 Abs. 1 Nr. 2, 3 & 5 i.V.m. Abs. 3 AO
Meldescheine  1 Jahr (Löschung zwingend innerhalb von 3 Monaten nach Fristablauf).  § 30 Abs. 4 Bundesmeldegesetz (BMG) 
Gästeprofile und Buchungsdaten  Zweckgebunden: Sofort löschen/anonymisieren, wenn keine gesetzliche Frist mehr greift (Speicherbegrenzung).  Art. 5 Abs. 1 lit. e DSGVO
Marketingeinwilligungen

Dauer: Solange die Einwilligung aktiv ist.  

Nach einem Widerruf: Einwilligung selbst darf nicht sofort gelöscht werden. Der Nachweis, dass eine Einwilligung erteilt und widerrufen wurde, muss aus Gründen der Rechenschaftspflicht weiterhin dokumentiert bleiben. 

 Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht), Art. DSGVO


Löschpflichten und Aufbewahrungsfristen automatisch im Griff 

Manuelle Datenlöschung ist fehleranfällig und im stressigen Hotelalltag kaum realistisch umsetzbar. Unser DSGVO-konformes Guestline PMS übernimmt das für Sie: Lösch- und Anonymisierungs-Workflows laufen auf Basis konfigurierbarer Aufbewahrungsfristen völlig automatisch ab – zuverlässig, revisionssicher und ohne manuellen Aufwand. So bleibt der Kopf frei für Ihre Gäste, während im Hintergrund die Compliance stimmt. 

Datenschutz ohne Papierkram: So entlastet ein DSGVO-konformes PMS den Hotelalltag

Ein Property Management System ist das operative Schaltzentrum eines Hotels. Gleichzeitig ist es der zentrale Ort, an dem personenbezogene Gästedaten gesammelt, gespeichert und verarbeitet werden. Das Spektrum reicht von Buchungsdetails über Zahlungsdaten bis hin zu Gästepräferenzen. Ein DSGVO-konformes PMS nimmt dem Hotelbetrieb einen Großteil des administrativen Aufwands ab. 

Die 5 wichtigsten DSGVO-Anforderungen an ein Hotel-PMS 

Eine Checkliste für die Praxis – diese 5 Punkte zeigen, was ein DSGVO-konformes PMS können muss: 

1. Auftragsverarbeitungsvertrag (AVV) 

Unternehmen, die ein PMS zur Verarbeitung personenbezogener Gästedaten bereitstellen, gelten rechtlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein schriftlicher AVV ist Pflicht. Fehlt er, läuft der Hotelbetrieb nicht datenschutzkonform. 

2. Rollenbasierte Zugriffsrechte 

Datenschutz bedeutet auch: Zugriff nur für die, die ihn brauchen. Ein DSGVO-konformes System erlaubt es, Rechte nach Aufgaben zu vergeben. So sieht das Housekeeping beispielsweise keine Zahlungsdaten, während die Buchhaltung keinen Zugriff auf Reinigungspläne benötigt. 

3. Automatisierte Lösch- und Anonymisierungsfristen 

Manuelle Datenpflege ist zeitaufwendig und fehleranfällig. Ein DSGVO-konformes PMS unterstützt daher automatisierte Workflows für verschiedene Datenkategorien: Während Rechnungsdaten aufgrund gesetzlicher Fristen lange gespeichert werden müssen, können Marketingdaten oder Gästepräferenzen wie die Vorliebe fürs Kopfkissen deutlich früher automatisch gelöscht oder anonymisiert werden. Das System stößt diese Prozesse selbstständig an und hält Ihre Datenbank sauber. 

4. Einwilligungsmanagement 

Ob Newsletter oder Treueprogramm: Wer Gäste für Werbung und Marketingzwecke kontaktieren möchte, braucht eine dokumentierte Einwilligung. Das PMS muss diese Zustimmung rechtssicher erfassen und bei Widerruf umgehend reagieren. 

5. PCI-DSS-Konformität & Tokenisierung 

Zum Schutz sensibler Kreditkartendaten arbeitet ein modernes PMS mit Tokenisierung. Das erhöht nicht nur die Datensicherheit, sondern schützt Hotels auch vor Fake-Buchungen, da die Gültigkeit der Karten bereits bei der Reservierung geprüft wird. 

Datenleck bei Gästedaten: Was steht auf dem Spiel? 

Dass Datenschutzvorfälle in der Hotellerie keine Theorie sind, zeigt ein Vorfall aus dem Oktober 2025: Aufgrund von Sicherheitslücken bei einem Software-Dienstleister waren rund 50 Millionen Gästeprofile und 30 Millionen Reservierungen bei zahlreichen Hotels und anderen Unterkünften betroffen – teilweise reichten die gespeicherten Buchungsdaten 20 Jahre zurück.2 

Die rechtlichen Konsequenzen sind klar geregelt: 

Meldepflicht (Art. 33 DSGVO): Hotels müssen eine Datenschutzverletzung innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. 

Bußgelder (Art. 83 DSGVO): Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. 

Schadensersatz (Art. 82 DSGVO): Betroffene Gäste haben Anspruch auf materiellen oder immateriellen Schadensersatz. Ein Datenleck, das durch das Aufbewahren veralteter Daten begünstigt wurde, bietet hier eine gefährliche Angriffsfläche. 

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Hotels müssen jederzeit nachweisen können, dass ihre gesamte Datenverarbeitung – von der Erhebung bis zur fristgerechten Löschung – den gesetzlichen Grundsätzen entspricht. 

Das Gesetz verlangt also nicht nur technische Sicherheit, sondern vor allem eine strikte Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten müssen gelöscht oder anonymisiert werden, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden. 

Schwerer als etwaige Bußgelder wiegt oft der Reputationsschaden: Gäste, deren Daten kompromittiert wurden, buchen so schnell nicht wieder.

Mit Guestline von Access wird Datenschutz für Hotels zur Routine

Datenschutz-Compliance ist im Hotelalltag keine einmalige Aufgabe, sie fällt täglich an: beim Check-in, bei der Rechnungsstellung, bei Anfragen der Gäste. Ohne geeignete Software bedeutet das für Rezeptionsteams und Buchhaltung einen erheblichen manuellen Aufwand, der fehleranfällig ist und viel Zeit kostet. 

Mit dem Guestline PMs von Access kann sich Ihr Team auf die Gäste konzentrieren. Die datenschutzkonformen Prozesse laufen dabei im Hintergrund: 

Auftragsverarbeitungsvertrag (AVV): The Access Group agiert als Auftragsverarbeiter nach DSGVO. Die vertragliche Grundlage ist von Anfang an geregelt, ohne separaten Abstimmungsaufwand. 

Rollenbasierte Zugriffsrechte: Nur autorisierte Mitarbeitende sehen die Daten, die sie für ihre Aufgaben benötigen. An der Rezeption sind das z. B. Buchungsdetails, während das Reinigungspersonal nur den Zimmerstatus für eine effiziente Zimmerreinigung sieht.  

PCI-DSS-konforme Zahlungsabwicklung: Kreditkartendaten werden automatisch über verschlüsselte Token ins PMS eingespeist, Rohdaten werden nicht gespeichert. 

Automatische Löschung & Anonymisierung: Nach Ablauf der jeweiligen Aufbewahrungsfristen werden Gastprofile und Buchungsdaten automatisch gelöscht oder anonymisiert. 

Einwilligung als Teil des Workflows: Consent-Felder für Newsletter, Treueprogramme oder Marketingkommunikation sind fest in Buchung und Check-in integriert, lückenlos dokumentiert und jederzeit nachweisbar.

Häufige Fragen zur DSGVO in Hotels

Brauche ich als Hotelier einen Datenschutzbeauftragten? 

Ab einer bestimmten Betriebsgröße ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben. Nach § 38 BDSG besteht die Pflicht, sobald mindestens 20 Personen regelmäßig personenbezogene Daten automatisiert verarbeiten. Für viele Hotels mittlerer Größe ist diese Schwelle schnell erreicht. Unabhängig davon müssen Betriebe jeder Größe die DSGVO einhalten. 

Darf ich Ausweiskopien von Gästen anfertigen? 

Hotels in der EU dürfen nicht ohne Weiteres Ausweiskopien erstellen. Das deutsche Melderecht verlangt für ausländische Gäste lediglich die Seriennummer des Ausweisdokuments, keine Kopie. Das Anfertigen von Ausweiskopien gilt nach dem Grundsatz der Datensparsamkeit (Art. 5 DSGVO) als unverhältnismäßig und darf nur mit ausdrücklicher Genehmigung des Gastes erstellt werden. 

Gilt die DSGVO auch für ausländische Gäste? 

Ja. Die DSGVO gilt immer dann, wenn ein Hotel in der EU personenbezogene Daten verarbeitet – unabhängig von der Nationalität der Gäste. Ob jemand aus Deutschland, den USA oder Japan anreist: Die Schutzstandards bleiben dieselben. 

Davon zu unterscheiden ist die melderechtliche Pflicht, die sich nach nationalem Recht richtet. In Deutschland beispielsweise müssen ausländische Gäste einen Meldeschein mit der Seriennummer ihres Reisepasses oder Passersatzpapiers handschriftlich unterzeichnen. Für inländische Gäste ist diese Pflicht in Deutschland entfallen. 

Was muss ich tun, wenn ich eine Auskunftsanfrage eines Gastes erhalte? 

Nach Art. 15 DSGVO haben Gäste das Recht zu erfahren, welche Daten das Hotel über sie gespeichert hat. Diese Anfrage muss beantwortet werden – „zu aufwendig" ist kein gültiger Ablehnungsgrund. Das hat der Bundesfinanzhof mit Urteil vom 14. Januar 2025 (IX R 25/22) ausdrücklich klargestellt. Ein DSGVO-konformes PMS macht die Beantwortung solcher Anfragen deutlich schneller und einfacher: Ihr Team kann alle relevanten Daten strukturiert abrufen, ohne aufwendige manuelle Suche.

Datenschutz im Hotelgewerbe: Dranbleiben lohnt sich

Die DSGVO regelt klar, was Hotels bei der Verarbeitung von Gästedaten zu beachten haben: von der ersten Buchung bis zur fristgerechten Löschung. Gleichzeitig entwickeln sich die Rahmenbedingungen im Hotelalltag laufend weiter, wie die Abschaffung der Meldescheinpflicht für deutsche Gäste in Deutschland Anfang 2025 zeigt. Umso wichtiger ist es, beim Datenschutz handlungsfähig zu bleiben, ohne wertvolle Zeit im Tagesgeschäft zu verlieren. 

Das Guestline PMS von Access entlastet Ihr Team im Hotelalltag an den entscheidenden Stellen: Zahlungen laufen PCI-DSS-konform, rollenbasierte Zugriffsrechte greifen ab dem ersten Tag, Einwilligungen für Werbung werden direkt beim Check-in erfasst und personenbezogene Daten löschen oder anonymisieren sich nach Ablauf der Fristen vollautomatisch.  

Mit unserem System behalten Sie Ihre Compliance im Griff und gewinnen mehr Zeit für das, was wirklich zählt: Ihre Gäste. 

Guestline PMS entdecken 

Hinweis: 
Dieser Artikel dient als allgemeiner Überblick und ersetzt keine rechtliche Beratung. Wenden Sie sich bei spezifischen Fragen an einen qualifizierten Datenschutzbeauftragten. 

Quellen und weiterführende Informationen 

Rechtliche Grundlagen (Stand: Mai 2026) 

Praxis und Orientierung für Hotels