DSGVO-konformes Gast-Datenmanagement ist 2026 nicht mehr Option, sondern Pflicht — und in der DACH-Hotellerie ein massives Differenzierungs-Argument gegenüber US-Anbietern. Diese Übersicht zeigt die fünf konkreten Compliance-Anforderungen, ihre praktische Umsetzung und worauf bei der Auswahl von CRM und CDP zu achten ist.

1. Rechtsgrundlage für jede Datenverarbeitung

Art. 6 DSGVO verlangt: für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage vorliegen. Im Hotel-CRM-Kontext sind die wichtigsten:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Buchungs-Bestätigung, Folio-Management, Pre-Arrival-Infos. Hier braucht es keine separate Einwilligung.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Newsletter, Marketing-Mails, Re-Targeting. Pflicht: Double-Opt-In, klare Widerrufs-Möglichkeit.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Post-Stay-Survey direkt nach Aufenthalt, Bewertungs-Anfrage. Muss aber sauber begründet sein.

DSGVO-Aufsichtsbehörden verlangen: zu jedem Zeitpunkt muss nachweisbar sein, welche Einwilligung wann mit welchem Wortlaut eingeholt wurde. Praktische Umsetzung im CRM:

  • Jede Einwilligung wird mit Zeitstempel, Quelle (Booking-Engine, Hotel-Karte, Newsletter-Form) und Wortlaut-Version gespeichert
  • Bei Wortlaut-Änderungen (z.B. neue Datenschutzerklärung) wird die Einwilligung neu eingeholt
  • Widerruf einer Einwilligung deaktiviert sofort die zugehörigen Verarbeitungen

ProCampaign und dailypoint haben hier nativ ein Consent-Versionierungs-Modul. Bei US-Anbietern (Revinate, Cendyn) ist das nachträglich konfigurierbar, aber weniger eingebaut.

3. Recht auf Vergessen (Art. 17)

Auf Anfrage muss ein Gast komplett aus allen Systemen gelöscht werden. Komplexität: ein Gast-Profil ist verteilt über PMS, CRM, CDP, Buchhaltung, Loyalty-Programm. Praktische Umsetzung:

  • Im CRM/CDP einen "Right-to-be-Forgotten"-Workflow konfigurieren, der via API alle angeschlossenen Systeme triggert
  • Anonymisierung statt Löschung wo nötig (Buchhaltungs-Daten müssen aus steuerrechtlichen Gründen 10 Jahre aufbewahrt werden — der Gast wird dort zu „anonymer Gast 2024-12345")
  • Audit-Log: jede Löschung wird mit Zeitstempel und Auftraggeber dokumentiert

4. Hosting in der EU

Daten in den USA sind seit dem EU-US Data Privacy Framework (2023) wieder rechtssicher übertragbar — aber für Hotels mit deutschen Aufsichtsrats-Auflagen oder öffentlich-rechtlichen Tagungs-Kunden ist EU-Hosting oft Pflicht.

  • EU-Hosting nativ: ProCampaign (Bremen), dailypoint (Frankfurt), udo (Capaneo, Leinfelden-Echterdingen)
  • EU-Region wählbar: Mews, Apaleo (beide Microsoft Azure EU)
  • USA primär, EU optional: Revinate, Cendyn, NAVIS

5. Auftragsverarbeitungsvertrag (AVV)

Jeder externe Anbieter, der personenbezogene Daten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Standardisierte AVVs sind heute der Norm — aber in der Praxis lohnt es, drei Punkte zu prüfen:

  • Sub-Auftragnehmer-Liste: Anbieter müssen offenlegen, welche weiteren Drittanbieter sie nutzen (z.B. Email-Versand-Provider, CDN). Bei kritischen Sub-Auftragnehmern explizite Zustimmung verlangen.
  • Audit-Rechte: als Hotel solltest du das Recht haben, einmal jährlich die Datenschutz-Praktiken des Anbieters zu auditieren (in der Praxis selten ausgeübt, aber als vertragliches Recht wichtig).
  • Kündigungs-Recht bei Verstoß: bei dokumentiertem DSGVO-Verstoß muss eine außerordentliche Kündigung möglich sein.

6. Praktische Umsetzung: drei Implementierungs-Schritte

  1. Datenfluss-Inventar: dokumentiere für jede Datenkategorie (Adresse, E-Mail, Buchungs-Historie), in welchem System sie liegt, wer Zugriff hat, mit welcher Rechtsgrundlage. Pflicht nach Art. 30 DSGVO (Verarbeitungsverzeichnis).
  2. Consent-Plattform aufbauen: entweder im CRM nativ oder via dediziertem Consent-Management-Tool. Jeder Touchpoint, der Marketing-Einwilligung sammelt, muss versioniert sein.
  3. Right-to-be-Forgotten-Prozess testen: einmal jährlich einen Test-Löschungs-Auftrag durchspielen, um sicherzustellen, dass alle Systeme die Anfrage korrekt umsetzen.

Vendor-Detail im CRM-Hub. CDP-spezifische DSGVO-Konsolidierung im CDP-Hub.

HÄUFIGE FRAGEN

Welche Rechtsgrundlagen gibt es für die Datenverarbeitung im Hotel-CRM?

Die wichtigsten sind Vertragserfüllung (für Buchungsbestätigungen ohne separate Einwilligung), Einwilligung mit Double-Opt-In (für Marketing und Newsletter) und berechtigtes Interesse (für Post-Stay-Umfragen und Bewertungsanfragen). Jede Verarbeitung benötigt eine dokumentierte Rechtsgrundlage nach Art. 6 DSGVO.

Wie muss ein Gast gelöscht werden, wenn er sein Recht auf Vergessen ausübt?

Ein automatisierter Workflow muss alle verknüpften Systeme (PMS, CRM, CDP, Buchhaltung) via API triggern. Wo gesetzliche Aufbewahrungsfristen gelten, wird statt gelöscht anonymisiert. Alle Löschungen müssen mit Zeitstempel und Auftraggeber protokolliert werden.

Wo sollten Hotel-Gästdaten gehostet werden?

EU-Hosting ist für viele Hotels Pflicht oder Compliance-Best-Practice. Deutsche Anbieter wie ProCampaign und dailypoint bieten natives EU-Hosting, internationale Anbieter ermöglichen EU-Regionen auf Microsoft Azure oder setzen primär auf USA-Server.

Was muss beim Consent-Management versioniert werden?

Jede Einwilligung benötigt Zeitstempel, Quelle (Booking-Engine, Newsletter-Form etc.), Wortlaut und Version. Bei Änderungen der Datenschutzerklärung muss die Einwilligung neu eingeholt werden, und Widerrufe deaktivieren sofort die zugehörigen Verarbeitungen.

Welche drei Punkte sind beim Auftragsverarbeitungsvertrag (AVV) kritisch?

Offenlegung aller Sub-Auftragnehmer, Audit-Rechte für das Hotel mindestens einmal jährlich und die Möglichkeit zur außerordentlichen Kündigung bei dokumentiertem DSGVO-Verstoß.
Was denkst du? Schreib uns deine Meinung in die Kommentare — wir lesen jedes Feedback und antworten gern.
Kommentar schreiben →