Recht & Compliance 9 Min.

DSGVO Restaurant: Gästezaten rechtssicher erfassen & verwalten

Was dürfen Restaurants über Gäste speichern? DSGVO-Pflichten für Reservierungen, Loyalty-Programme und digitale Menüs – mit Checkliste.

DSGVO im Restaurant: Was Gastronomen bei Gästedaten wissen müssen

Reservierungssysteme, digitale Speisekarten, Treueprogramme, Analytics-Tools — moderne Gastronomie-Software sammelt Daten über Gäste. Was viele Gastronomen nicht wissen: Schon das Speichern eines Namens und einer E-Mail-Adresse für eine Tischreservierung unterliegt der Datenschutz-Grundverordnung. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Dieser Artikel erklärt, was erlaubt ist, was Einwilligung erfordert und wie Sie Ihren Betrieb DSGVO-konform aufstellen.

Warum DSGVO für Restaurants keine Randnotiz ist

Die DSGVO (Datenschutz-Grundverordnung), die seit Mai 2018 EU-weit gilt, betrifft jeden Betrieb, der personenbezogene Daten verarbeitet. Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen: Name, Telefonnummer, E-Mail-Adresse, IP-Adresse, Standortdaten, Bestellhistorie und sogar Speisepräferenzen, sofern sie einer Person zugeordnet werden können.

Restaurants verarbeiten solche Daten täglich — oft ohne sich dessen bewusst zu sein. Die Datenschutzbehörden in Deutschland haben in den letzten Jahren ihren Fokus ausgeweitet und verhängen zunehmend auch Bußgelder gegen kleine und mittelständische Betriebe. Die Annahme, als kleines Restaurant unter dem Radar zu bleiben, ist ein kalkuliertes Risiko.

Welche Daten Restaurants typischerweise erheben

Reservierungsdaten

Name, Telefonnummer, E-Mail, Datum, Uhrzeit, Personenzahl, Sonderwünsche (Allergien, Geburtstag, Hochzeitstag) — das klassische Reservierungsformular ist eine Goldgrube personenbezogener Daten. Rechtliche Grundlage ist hier in der Regel Art. 6 Abs. 1 lit. b DSGVO: die Vertragserfüllung. Die Daten sind zur Durchführung der Reservierung nötig und dürfen für diesen Zweck verarbeitet werden.

Was nicht automatisch erlaubt ist: Diese Daten für Newsletter, Marketingkampagnen oder die Weitergabe an Drittanbieter zu nutzen. Dafür ist eine separate, freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.

Daten aus digitalen Speisekarten

Eine digitale Speisekarte ohne App kann, je nach technischer Implementierung, IP-Adressen, Gerätekennungen, Sessiondaten und Bestellhistorien erfassen. Wichtig: Schon das Setzen von Cookies, die nicht unbedingt notwendig sind, erfordert eine aktive Einwilligung des Nutzers (Cookie-Banner). Technisch notwendige Cookies für den Betrieb der Bestellfunktion fallen unter die Ausnahme.

Analytics und Tracking

Wenn Restaurants Google Analytics, Meta Pixel oder ähnliche Tracking-Tools in ihrer digitalen Infrastruktur einsetzen, werden Daten in der Regel auf Server außerhalb der EU übertragen. Das ist ein DSGVO-Problem, das explizite Einwilligung erfordert und einer technisch korrekten Datenschutzerklärung bedarf. Datenschutzkonforme Analytics-Lösungen für die Gastronomie setzen auf Datenverarbeitung innerhalb der EU ohne personenbezogenes Tracking.

Treueprogramme und Kundenbindung

Treueprogramme, Stempelkarten-Apps oder personalisierte Angebote erfordern, dass Gästedaten dauerhaft gespeichert und ausgewertet werden. Das ist mit Einwilligung möglich, aber die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Vorgeangekreuzte Checkboxen sind nicht DSGVO-konform.

Was ist erlaubt — und was erfordert Einwilligung?

Datenverarbeitungsfall Rechtliche Grundlage Einwilligung nötig? Aufbewahrungsfrist
Tischreservierung (Name, Tel., E-Mail) Art. 6 Abs. 1 lit. b (Vertragserfüllung) Nein — aber Datenschutzhinweis nötig Bis zum Ablauf der Reservierung + 30 Tage
Bestelldaten (Gerichte, Betrag, Datum) Art. 6 Abs. 1 lit. c (rechtl. Verpflichtung, GoBD) Nein — steuerrechtliche Pflicht 10 Jahre (Buchführungspflicht)
Newsletter-Versand an Gäste Art. 6 Abs. 1 lit. a (Einwilligung) Ja — Double-Opt-in erforderlich Bis Widerruf der Einwilligung
Tracking/Analytics mit Google Analytics Art. 6 Abs. 1 lit. a (Einwilligung) Ja — Cookie-Banner, aktive Zustimmung Laut Einwilligung, max. 2 Jahre
Treueprogramm mit Profilbildung Art. 6 Abs. 1 lit. a (Einwilligung) Ja — freiwillig, spezifisch, informiert Bis Widerruf + angemessene Frist
Corona-Kontaktdaten (historisch) Art. 6 Abs. 1 lit. c (öffentl. Recht) Nein — aber zweckgebunden, inzwischen zu löschen Sofort zu löschen, wenn rechtl. Pflicht entfällt
Mitarbeiterdaten § 26 BDSG (Beschäftigtendatenschutz) In der Regel nein — gesetzliche Grundlage Laut Arbeitsrecht (bis zu 30 Jahre)

Die drei häufigsten DSGVO-Verstöße in der Gastronomie

1. Fehlende oder mangelhafte Datenschutzerklärung auf der Website

Jede Website, die personenbezogene Daten verarbeitet (und das tut jede Website mit Kontaktformular, Reservierungswidget oder Analytics), benötigt eine vollständige Datenschutzerklärung. Diese muss benennen, welche Daten zu welchem Zweck verarbeitet werden, wer der Verantwortliche ist, welche Rechte Betroffene haben und wie Beschwerden eingereicht werden können. Fehlende oder veraltete Datenschutzerklärungen gehören zu den häufigsten Beanstandungen durch Abmahnanwälte und Datenschutzbehörden.

2. Weitergabe von Gästedaten an Drittanbieter ohne Auftragsverarbeitervertrag

Wer einen Software-Dienstleister nutzt, der Gästedaten verarbeitet — also z. B. ein Reservierungssystem, eine Bestell-App oder ein CRM-Tool — muss mit diesem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Das ist kein bürokratisches Detail, sondern eine rechtliche Pflicht. Ohne AVV haftet der Restaurantbetreiber für Datenschutzverstöße des Dienstleisters.

3. Zu langer Datenspeicherung ohne Löschkonzept

Daten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck nötig ist (Datensparsamkeitsprinzip, Art. 5 Abs. 1 lit. e DSGVO). Wer Reservierungsdaten aus dem Jahr 2019 noch in einer Excel-Datei hat, verstößt möglicherweise gegen die DSGVO. Ein einfaches Löschkonzept — welche Daten nach welcher Frist gelöscht werden — schützt vor diesem Risiko.

Praktische DSGVO-Checkliste für Gastronomen

DSGVO-Compliance: Mindeststatus für jeden Restaurantbetrieb
  1. Datenschutzerklärung auf Website und digitaler Speisekarte vorhanden und aktuell
  2. Cookie-Banner korrekt implementiert (nur technisch notwendige Cookies ohne Einwilligung)
  3. Auftragsverarbeitungsvertrag mit allen Software-Dienstleistern abgeschlossen
  4. Einwilligungsprotokolle für Newsletter und Treueprogramme dokumentiert
  5. Löschkonzept definiert: Welche Daten werden wann automatisch gelöscht?
  6. Mitarbeiter geschult: Wer darf Gästedaten einsehen, ändern, exportieren?
  7. Auskunftsprozess definiert: Wie reagieren Sie auf Auskunftsersuchen von Gästen?
  8. Datenspeicherort bekannt: Liegen alle Daten auf EU-Servern?

Allergendaten: Besondere Sensibilität

Wenn Gäste bei der Reservierung oder Bestellung Informationen zu Allergien oder diätetischen Anforderungen angeben, handelt es sich um Gesundheitsdaten — eine besonders schützenswerte Datenkategorie nach Art. 9 DSGVO. Für deren Verarbeitung gelten strengere Anforderungen. In der Praxis bedeutet das: Allergendaten sollten nach dem jeweiligen Restaurantbesuch gelöscht werden, sofern keine explizite Einwilligung zur dauerhaften Speicherung vorliegt. Die korrekte Allergenkennzeichnung in der Speisekarte ist dabei eine separate gesetzliche Pflicht.

Bußgelder: Was droht bei Verstößen?

Die DSGVO sieht zwei Bußgeldrahmen vor:

  • Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für formelle Verstöße (z. B. fehlender AVV, keine Datenschutzerklärung)
  • Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes für materielle Verstöße (z. B. Verarbeitung ohne Rechtsgrundlage, Weitergabe an Dritte ohne Einwilligung)

Für kleine Gastronomiebetriebe sind die tatsächlich verhängten Bußgelder oft deutlich niedriger — aber Abmahnungen von Wettbewerbern und Datenschutzverbänden können empfindliche Kosten verursachen, ohne dass eine Datenschutzbehörde eingeschaltet sein muss. Reputationsschäden bei einem öffentlich gewordenen Datenschutzvorfall sind schwerer zu quantifizieren, aber real.

SpeiseCloud: DSGVO-konform by Design

SpeiseCloud wurde von Beginn an für den deutschen und österreichischen Markt entwickelt — mit DSGVO-Konformität als Grundprinzip, nicht als nachträgliche Maßnahme. Alle Daten werden ausschließlich auf Servern in Deutschland und der EU verarbeitet und gespeichert. Es findet kein Tracking ohne ausdrückliche Einwilligung des Gastes statt.

Für jeden SpeiseCloud-Kunden steht ein Auftragsverarbeitungsvertrag zur Verfügung. Die Analytics-Funktionen von SpeiseCloud arbeiten auf aggregierten, nicht personenbezogenen Daten — Restaurantbetreiber erhalten aussagekräftige Einblicke in Bestellmuster und Umsatzentwicklung, ohne einzelne Gäste tracken zu müssen.

Gäste, die über die digitale Speisekarte ohne App bestellen, müssen keine Registrierung durchlaufen und hinterlassen keine persistenten Profile, sofern sie das nicht aktiv wünschen. Technisch notwendige Session-Daten werden nach Abschluss des Besuchs gelöscht.

Weiterlesen — verwandte Themen:
COMING SOON

Bereit für Ihre digitale Speisekarte?

Tragen Sie sich jetzt auf die Warteliste ein und sichern Sie sich exklusiven Frühzugang mit Sonderkonditionen.

Bitte geben Sie eine gültige E-Mail-Adresse ein.
Bitte akzeptieren Sie die Datenschutzerklärung.
🎉 Geschafft! Sie sind auf der Warteliste. Wir melden uns bald bei Ihnen.
🚀
Exklusiver Frühzugang
💰
Sonderkonditionen
🎁
Bonus-Features

Ähnliche Artikel

Recht & Compliance

Allergene richtig kennzeichnen: LMIV-konformer Leitfaden

LMIV-konforme Allergenkennzeichnung leicht gemacht. Vermeiden Sie Abmahnungen und schützen Sie Ihre ...