DSGVO-konformes Gast-Datenmanagement ist 2026 nicht mehr Option, sondern Pflicht — und in der DACH-Hotellerie ein massives Differenzierungs-Argument gegenüber US-Anbietern. Diese Übersicht zeigt die fünf konkreten Compliance-Anforderungen, ihre praktische Umsetzung und worauf bei der Auswahl von CRM und CDP zu achten ist.

1. Rechtsgrundlage für jede Datenverarbeitung

Art. 6 DSGVO verlangt: für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage vorliegen. Im Hotel-CRM-Kontext sind die wichtigsten:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Buchungs-Bestätigung, Folio-Management, Pre-Arrival-Infos. Hier braucht es keine separate Einwilligung.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Newsletter, Marketing-Mails, Re-Targeting. Pflicht: Double-Opt-In, klare Widerrufs-Möglichkeit.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Post-Stay-Survey direkt nach Aufenthalt, Bewertungs-Anfrage. Muss aber sauber begründet sein.

DSGVO-Aufsichtsbehörden verlangen: zu jedem Zeitpunkt muss nachweisbar sein, welche Einwilligung wann mit welchem Wortlaut eingeholt wurde. Praktische Umsetzung im CRM:

  • Jede Einwilligung wird mit Zeitstempel, Quelle (Booking-Engine, Hotel-Karte, Newsletter-Form) und Wortlaut-Version gespeichert
  • Bei Wortlaut-Änderungen (z.B. neue Datenschutzerklärung) wird die Einwilligung neu eingeholt
  • Widerruf einer Einwilligung deaktiviert sofort die zugehörigen Verarbeitungen

ProCampaign und dailypoint haben hier nativ ein Consent-Versionierungs-Modul. Bei US-Anbietern (Revinate, Cendyn) ist das nachträglich konfigurierbar, aber weniger eingebaut.

3. Recht auf Vergessen (Art. 17)

Auf Anfrage muss ein Gast komplett aus allen Systemen gelöscht werden. Komplexität: ein Gast-Profil ist verteilt über PMS, CRM, CDP, Buchhaltung, Loyalty-Programm. Praktische Umsetzung:

  • Im CRM/CDP einen "Right-to-be-Forgotten"-Workflow konfigurieren, der via API alle angeschlossenen Systeme triggert
  • Anonymisierung statt Löschung wo nötig (Buchhaltungs-Daten müssen aus steuerrechtlichen Gründen 10 Jahre aufbewahrt werden — der Gast wird dort zu „anonymer Gast 2024-12345")
  • Audit-Log: jede Löschung wird mit Zeitstempel und Auftraggeber dokumentiert

4. Hosting in der EU

Daten in den USA sind seit dem EU-US Data Privacy Framework (2023) wieder rechtssicher übertragbar — aber für Hotels mit deutschen Aufsichtsrats-Auflagen oder öffentlich-rechtlichen Tagungs-Kunden ist EU-Hosting oft Pflicht.

  • EU-Hosting nativ: ProCampaign (Bremen), dailypoint (Frankfurt), udo (Capaneo, Leinfelden-Echterdingen)
  • EU-Region wählbar: Mews, Apaleo (beide Microsoft Azure EU)
  • USA primär, EU optional: Revinate, Cendyn, NAVIS

5. Auftragsverarbeitungsvertrag (AVV)

Jeder externe Anbieter, der personenbezogene Daten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Standardisierte AVVs sind heute der Norm — aber in der Praxis lohnt es, drei Punkte zu prüfen:

  • Sub-Auftragnehmer-Liste: Anbieter müssen offenlegen, welche weiteren Drittanbieter sie nutzen (z.B. Email-Versand-Provider, CDN). Bei kritischen Sub-Auftragnehmern explizite Zustimmung verlangen.
  • Audit-Rechte: als Hotel solltest du das Recht haben, einmal jährlich die Datenschutz-Praktiken des Anbieters zu auditieren (in der Praxis selten ausgeübt, aber als vertragliches Recht wichtig).
  • Kündigungs-Recht bei Verstoß: bei dokumentiertem DSGVO-Verstoß muss eine außerordentliche Kündigung möglich sein.

6. Praktische Umsetzung: drei Implementierungs-Schritte

  1. Datenfluss-Inventar: dokumentiere für jede Datenkategorie (Adresse, E-Mail, Buchungs-Historie), in welchem System sie liegt, wer Zugriff hat, mit welcher Rechtsgrundlage. Pflicht nach Art. 30 DSGVO (Verarbeitungsverzeichnis).
  2. Consent-Plattform aufbauen: entweder im CRM nativ oder via dediziertem Consent-Management-Tool. Jeder Touchpoint, der Marketing-Einwilligung sammelt, muss versioniert sein.
  3. Right-to-be-Forgotten-Prozess testen: einmal jährlich einen Test-Löschungs-Auftrag durchspielen, um sicherzustellen, dass alle Systeme die Anfrage korrekt umsetzen.

Vendor-Detail im CRM-Hub. CDP-spezifische DSGVO-Konsolidierung im CDP-Hub.

Was denkst du? Schreib uns deine Meinung in die Kommentare — wir lesen jedes Feedback und antworten gern.
Kommentar schreiben →