Das Wichtigste in Kürze

Viele Hotelbetriebe koordinieren Schichten, Gästeanfragen und HR-Themen über private Messenger wie WhatsApp. Das ist praktisch – und rechtlich heikel. Wer Gästedaten über ungesicherte Apps teilt, riskiert DSGVO-Bußgelder, verliert im Streitfall Beweismittel und hat bei Datenpannen kein Sicherheitsnetz. Drei Problembereiche, die du kennen solltest.

Dienstplan per WhatsApp-Gruppe, Zimmerstatus per Telegram, Beschwerden per iMessage – in vielen Hotels läuft die interne Kommunikation genau so. Schnell, unkompliziert, kostenlos. Und so lange nichts schiefgeht, fällt das Problem niemandem auf.

Dann geht doch etwas schief.

Das DSGVO-Problem sitzt im Gruppenchat

Sobald Gästenamen, Zimmernummern, Allergien oder Zahlungsinformationen durch einen privaten Messenger laufen, verlässt personenbezogene Daten die kontrollierte Infrastruktur des Hotels. Das ist ein Problem – und zwar kein theoretisches.

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat wiederholt klargestellt: Unternehmen sind verantwortlich für jeden Weg, auf dem personenbezogene Daten ihr Haus verlassen. WhatsApp etwa überträgt Metadaten auf Meta-Server – auch bei aktivierter Ende-zu-Ende-Verschlüsselung. Wer das im geschäftlichen Kontext nutzt, ohne Auftragsverarbeitungsvertrag und ohne dokumentierte Rechtsgrundlage, bewegt sich auf dünnem Eis.

Was die DSGVO konkret fordert
  • Personenbezogene Daten dürfen nur über Systeme verarbeitet werden, mit denen ein Auftragsverarbeitungsvertrag (AVV) geschlossen wurde
  • Für WhatsApp Business existiert ein solcher Vertrag mit Meta – für private WhatsApp-Nummern im Teameinsatz nicht
  • Datenpannen müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden – das setzt voraus, dass du überhaupt weißt, wo die Daten liegen
  • Bußgelder bei DSGVO-Verstößen: bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro

HR-Streit ohne Beweismittel – das ist das eigentliche Risiko

Private Messenger gehören dem Mitarbeitenden, nicht dem Betrieb. Verlässt jemand das Unternehmen – ob im Guten oder im Streit – sind alle Chatnachrichten weg. Kündigung angefochten? Vorwurf der Diskriminierung? Abmahnung, die mündlich kommuniziert wurde? Ohne gesicherten Nachrichtenverlauf steht Aussage gegen Aussage.

Wer keine Kontrolle über die Kommunikationsinfrastruktur hat, verliert im Zweifel den Prozess.

Das betrifft nicht nur große Ketten. Gerade kleinere Betriebe mit flachen Hierarchien kommunizieren besonders viel per Messenger – und haben entsprechend weniger dokumentiert, wenn es ernst wird.

Redaktions-Einschätzung: Die meisten Betriebe merken das Problem erst, wenn ein ehemaliger Mitarbeitender die Arbeitsgerichtsklage einreicht oder ein Gast eine Datenpanne meldet. Dann ist Handeln teuer.

Welche Alternativen tatsächlich funktionieren

Die gute Nachricht: Es gibt spezialisierte Lösungen, die genau für Hotelbetriebe gebaut wurden – mit Rollensteuerung, Archivierungsfunktion und DSGVO-konformer Infrastruktur.

Bekannte Anbieter im Überblick

  • Beekeeper – auf Frontline-Worker ausgelegt, Schichtpläne und Chats in einer App, EU-Serverstandorte verfügbar
  • Staffbase – deutsches Unternehmen, Mitarbeiter-App mit Chat, Dokumenten und Dienstplanung, DSGVO-konform
  • Microsoft Teams – ab bestimmten Microsoft-365-Lizenzen inklusive, AVV mit Microsoft standardmäßig vorhanden
  • Quoality / Hapi Hotel – auf Hotel-Operations zugeschnitten, Gästekommunikation und Team-Chat kombiniert

Der Wechsel kostet Geld – meist zwischen 3 und 8 Euro pro Nutzer und Monat, je nach Anbieter und Funktionsumfang. Was ein DSGVO-Bußgeld oder ein verlorenes Arbeitsgerichtsverfahren kostet, liegt um ein Vielfaches höher.

Private Messenger vs. Business-Tools
WhatsApp & Co.
Business-Kommunikation
DSGVO-konform
NeinKein AVV für private Nummern
JaAVV standardmäßig inkludiert
Archivierung
Nicht möglichDaten liegen beim Nutzer
ZentralisiertRevisionssicher, exportierbar
Rollenkontrolle
KeineJeder sieht alles
GranularAbteilungs- und Funktions-Filter
Kosten
KostenlosBis zum Bußgeld
3–8 €/Nutzer/MonatJe nach Anbieter und Umfang
Quelle: Anbieterangaben, DSGVO Art. 28/83, eigene Einschätzung

So gehst du das an – Schritt für Schritt

Der Wechsel muss nicht von heute auf morgen passieren. Aber er muss geplant sein.

  1. Bestandsaufnahme: Welche Apps nutzt dein Team aktuell? Wo laufen Gästedaten durch?
  2. Datenschutzbeauftragten einbeziehen: Externe DSBs gibt es ab ca. 90 Euro pro Monat – Pflicht ab bestimmten Betriebsgrößen, sinnvoll für alle
  3. Anbieter evaluieren: Demo-Termine mit Beekeeper, Staffbase oder einem PMS-integrierten Tool anfragen
  4. Team schulen: Nicht nur das neue Tool erklären – auch warum der Wechsel passiert. Akzeptanz ist entscheidend
  5. Altdaten klären: Bestehende WhatsApp-Gruppen mit Gästedaten offiziell auflösen, Mitarbeitende informieren
  • AVV mit allen eingesetzten Kommunikationstools geschlossen
  • Verzeichnis der Verarbeitungstätigkeiten aktuell (inkl. interne Kommunikation)
  • Datenpannen-Prozess definiert (wer meldet, wann, wie)
  • HR-relevante Kommunikation archivierungsfähig
  • Mitarbeitende zu Datenschutz in Kommunikationstools geschult

Fazit: Das Problem skaliert mit dem Betrieb

Ein kleines Familienhotel mit fünf Mitarbeitenden hat ein anderes Risikoniveau als eine Stadthotellerie mit 80 Saisonkräften. Aber das Grundproblem ist dasselbe: Private Messenger wurden nicht für geschäftliche Kommunikation mit personenbezogenen Daten gebaut. Je früher du auf ein kontrolliertes System wechselst, desto weniger musst du im Nachhinein aufräumen. Die Frage ist nicht ob etwas passiert – sondern ob du dann eine Antwort hast.

HÄUFIGE FRAGEN

Ist WhatsApp im Hotelbetrieb grundsätzlich verboten?

Verboten ist es nicht per se, aber für geschäftliche Kommunikation mit personenbezogenen Daten brauchst du einen Auftragsverarbeitungsvertrag. Für private WhatsApp-Nummern im Teameinsatz gibt es keinen – das ist das Problem.

Was passiert, wenn ein Mitarbeitender das Unternehmen verlässt und alle Chats mit sich nimmt?

Alle Nachrichten auf dem privaten Gerät gehören dem Mitarbeitenden. Im Streitfall – etwa bei einer Kündigungsschutzklage – hast du keinen Zugriff mehr auf die Kommunikation und stehst ohne Beweismittel da.

Welche Kommunikationstools sind DSGVO-konform für Hotels geeignet?

Beekeeper und Staffbase sind auf Frontline-Worker und den deutschsprachigen Markt ausgelegt und bieten DSGVO-konforme Infrastruktur. Microsoft Teams ist ab bestimmten Microsoft-365-Lizenzen ebenfalls eine Option – der Auftragsverarbeitungsvertrag mit Microsoft ist standardmäßig vorhanden.

Was kostet ein Wechsel zu einem Business-Kommunikationstool?

Je nach Anbieter und Funktionsumfang rechne mit 3 bis 8 Euro pro Nutzer und Monat. Demo-Termine sind bei den meisten Anbietern kostenlos.

Muss ein kleines Hotel einen Datenschutzbeauftragten haben?

Das hängt von der Mitarbeiterzahl und der Art der verarbeiteten Daten ab. Generell gilt: Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist ein DSB Pflicht. Externe Datenschutzbeauftragte gibt es ab etwa 90 Euro pro Monat.
Was denkst du? Schreib uns deine Meinung in die Kommentare — wir lesen jedes Feedback und antworten gern.
Kommentar schreiben →