DSGVO-konforme Profilbildung in Hotels ist nicht nur Compliance — sie ist Wettbewerbsvorteil. Hotels mit sauberer DSGVO-Architektur können Daten aktiver nutzen, weil sie keine Angst vor Aufsichtsbehörden haben müssen. Diese Übersicht zeigt die fünf Kern-Bausteine einer DSGVO-konformen CDP-Strategie und wie die wichtigsten Anbieter sie umsetzen.

Baustein 1: Daten-Minimierung als Architektur-Prinzip

Art. 5 DSGVO verlangt Datenminimierung — nur die Daten verarbeiten, die für den Zweck wirklich nötig sind. Eine CDP soll Profile bilden, aber nicht jedes Datenfeld muss in jedes Profil. Praktische Umsetzung:

  • Sensible Daten (Religion, Gesundheit, sexuelle Orientierung) werden nicht in der CDP geführt. Wenn z.B. eine Allergie-Information für Pre-Arrival-Service nötig ist, bleibt sie im PMS und wird nicht ins CDP synchronisiert.
  • Kreditkarten-Daten bleiben beim Payment-Provider (PCI-DSS-zertifiziert), nicht im CDP.
  • Mitarbeiter-Daten sind separat zu führen — keine Vermischung von Hotel-Mitarbeiter-Profilen mit Gast-Profilen.

Jede Datenverarbeitung in der CDP muss eine Rechtsgrundlage haben. Praktische Umsetzung:

  • Consent-Klassen definieren: Pflicht-Verarbeitungen (Vertragserfüllung, z.B. Buchungs-Bestätigung), Marketing-Verarbeitungen (mit Einwilligung), Analytics (mit Einwilligung oder berechtigtem Interesse).
  • Jedes Profil-Attribut bekommt eine Consent-Klasse zugeordnet.
  • Bei Aktivierung (z.B. Marketing-Mail) prüft das System: hat das Profil die nötigen Einwilligungen? Wenn nein, wird die Aktivierung blockiert.

Baustein 3: Speicherdauer pro Datenkategorie

Art. 5 DSGVO verlangt: Daten dürfen nicht länger gespeichert werden als für den Zweck nötig. Praktische Umsetzung:

  • Buchungs-Daten: 10 Jahre (steuerrechtliche Aufbewahrung).
  • Folio-Daten: 10 Jahre (steuerrechtlich), danach Anonymisierung.
  • Marketing-Daten (Email-Engagement, Web-Verhalten): 24-36 Monate, danach Löschung.
  • Inaktive Profile: nach 3 Jahren ohne Aktivität Anonymisierung oder Löschung.

Gute CDPs ermöglichen die automatisierte Anwendung dieser Regeln. Bei dailypoint, ProCampaign und udo (Capaneo) sind solche Retention-Policies nativ konfigurierbar. Bei US-Anbietern oft Custom-Konfiguration.

Baustein 4: Auskunfts- und Löschrechte

Art. 15 (Auskunft) und Art. 17 (Löschung) verlangen, dass Gäste ihre Daten einsehen und löschen können. Praktische Umsetzung:

  • Self-Service-Portal: Gast loggt sich ins Hotel-Portal ein, sieht alle gespeicherten Daten, kann Korrekturen anfordern oder Löschung beantragen.
  • Löschungs-Workflow: bei Löschungs-Antrag werden Daten in CDP, CRM, PMS, Email-Provider, Werbe-Plattformen koordiniert gelöscht oder anonymisiert.
  • Audit-Log: jede Löschung wird mit Zeitstempel, Auftraggeber und gelöschten Datenkategorien protokolliert.

Baustein 5: Data Residency und EU-Hosting

Für Hotels mit deutschen Aufsichtsrats-Auflagen oder öffentlich-rechtlichen Tagungs-Kunden ist EU-Hosting oft Pflicht. Anbieter-Vergleich:

  • Native EU-Hosting: ProCampaign (Bremen, eigenes Rechenzentrum nach EN50600 Class 4), dailypoint (Deutschland), udo (Capaneo, Leinfelden-Echterdingen).
  • EU-Region wählbar: Mews, Apaleo, Adobe RT-CDP (alle Microsoft Azure / AWS EU-Region).
  • USA primär, EU optional: Revinate, Cendyn, NAVIS, Tealium, Twilio Segment — EU-Hosting auf Anfrage, nicht Standard.

Praktische Implementations-Schritte

  1. Datenfluss-Inventar (Art. 30 DSGVO): dokumentiere jeden Datenfluss zwischen Systemen mit Rechtsgrundlage, Zweck, Speicherdauer.
  2. Consent-Plattform: zentralisierte Verwaltung aller Einwilligungen, mit Versionierung.
  3. Connector-Konfiguration: jeder Daten-Sync respektiert die Consent-Klassen.
  4. Self-Service-Portal: für Auskunfts- und Löschungs-Anfragen.
  5. Quartals-Audit: Stichproben-Prüfungen, ob Retention-Policies eingehalten werden.

HÄUFIGE FRAGEN

Welche sensiblen Daten sollten nicht in einer CDP gespeichert werden?

Sensible Daten wie Religion, Gesundheit und sexuelle Orientierung sollten nicht in der CDP geführt werden. Auch Kreditkartendaten bleiben beim PCI-DSS-zertifizierten Payment-Provider und werden nicht ins CDP synchronisiert.

Wie lange dürfen Marketing-Daten in einer DSGVO-konformen CDP gespeichert werden?

Marketing-Daten wie Email-Engagement und Web-Verhalten dürfen 24-36 Monate gespeichert werden und müssen danach gelöscht werden.

Welche praktischen Schritte sind für die DSGVO-Compliance notwendig?

Notwendig sind ein Datenfluss-Inventar, eine Consent-Plattform, richtig konfigurierte Connectors, ein Self-Service-Portal für Nutzeranfragen und quartalsweise Audits zur Überprüfung der Einhaltung von Aufbewahrungsrichtlinien.

Welche CDP-Anbieter bieten natives EU-Hosting an?

ProCampaign (Bremen), dailypoint (Deutschland) und udo/Capaneo (Leinfelden-Echterdingen) bieten natives EU-Hosting an. Andere Anbieter wie Mews oder Adobe ermöglichen EU-Regionen über Azure/AWS, während US-Anbieter EU-Hosting nur auf Anfrage anbieten.

Was ist das Prinzip der Datenminimierung nach DSGVO?

Nach Art. 5 DSGVO dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck wirklich notwendig sind — nicht jedes Datenfeld muss in jedes Profil.
Was denkst du? Schreib uns deine Meinung in die Kommentare — wir lesen jedes Feedback und antworten gern.
Kommentar schreiben →