Welche DSGVO-Pflichten gelten für jedes Hotel?

Verzeichnis der Verarbeitungstätigkeiten, AVV mit allen Tech-Anbietern, Cookie-Banner mit echtem Opt-In, Datenschutzerklärung, Lösch-Konzept und Auskunfts-Prozess für Gast-Anfragen.

Ist ein Datenschutzbeauftragter für Hotels Pflicht?

Nicht zwingend — die Pflicht greift erst bei mindestens 20 Mitarbeitenden, die regelmäßig automatisiert personenbezogene Daten verarbeiten. Bei größeren Häusern oder Hotelketten ist ein Datenschutzbeauftragter Standard.

Wie lange darf ich Gast-Daten aufbewahren?

Folio-Daten: 10 Jahre (steuerliche Aufbewahrungspflicht). Marketing-Konsente: bis Widerruf. Reservierungs-Profile ohne Marketing-Zweck: 3 Jahre. Bewerber-Daten: 6 Monate nach Absage.

Was kostet ein DSGVO-Verstoß?

Bis zu 4 % des weltweiten Konzernumsatzes oder 20 Mio. € — was höher ist. Realistische Bußgeldhöhen für Hotels in DACH bisher 5.000-200.000 €, abhängig von Vorsatz, Anzahl Betroffener und Daten-Sensitivität.

DSGVO – Definition, Einordnung & Praxis

DSGVO (Datenschutz-Grundverordnung) — die EU-weite Verordnung, die seit 2018 den Umgang mit personenbezogenen Daten regelt. Für Hotels ist die DSGVO Daueraufgabe: Gast-Profile im PMS und CRM, Kommunikations-Logs, Bewertungs-Historien, Loyalty-Punkte, Cookie-Einwilligungen — alles personenbezogen. Verstöße können bis zu 4 % des weltweiten Konzernumsatzes oder 20 Mio. € kosten.

Was Hotels DSGVO-relevant betreiben

Reservierungs-Verwaltung, Pre-Stay- und Post-Stay-Mailings, Loyalty-Programme, Spa- und F&B-Konsumprofile, Kamera-Aufzeichnungen in Lobby und Parkhaus, Mitarbeiter-Schichtplanung, Gehaltsabrechnung. Pro Verarbeitungs-Vorgang: Rechtsgrundlage dokumentieren, Aufbewahrungsfristen definieren, Löschmechanismen technisch implementieren.

Sechs DSGVO-Pflichten für jedes Hotel

1) Verzeichnis der Verarbeitungstätigkeiten (VVT). 2) Auftragsverarbeitungsverträge mit allen Tech-Anbietern (PMS, CRM, Channel-Manager, Booking-Engine). 3) Cookie-Banner mit echtem Opt-In für Marketing-Cookies. 4) Datenschutzerklärung mit allen Verarbeitungs-Zwecken. 5) Lösch-Konzept (Folio nach 10 Jahren, Marketing nach Widerruf, Bewerbungen nach 6 Monaten). 6) Auskunfts-Prozess für Gast-Anfragen (Recht auf Auskunft, Recht auf Löschung). Vollständig in DSGVO-konformes Gast-Datenmanagement.

DSGVO