Warum ist Datenschutz in der Gastronomie überhaupt ein Thema?
Klingt erstmal nach Bürokratie für Großkonzerne, oder? Aber Achtung: Auch Restaurants, Cafés und Imbisse verarbeiten täglich personenbezogene Daten – von Gästen, Mitarbeitern, Bewerbern und Lieferanten. Und genau da greift die DSGVO. Wer hier nicht sauber arbeitet, riskiert nicht nur Bußgelder, sondern auch Imageschäden. In einer Branche, die stark von Vertrauen lebt, kann eine Datenschutzpanne weitreichende Folgen haben. Denken Sie zum Beispiel an eine ungesicherte Online-Reservierungsplattform, bei der Kundendaten in falsche Hände geraten. Der Schaden ist nicht nur juristischer Natur, sondern auch geschäftsschädigend.
Welche Daten werden in der Gastronomie verarbeitet?
Ob Online-Reservierung, EC-Zahlung oder WiFi-Zugang für Gäste: Die Gastronomie erhebt und speichert zahlreiche personenbezogene Daten. Schon bei einer simplen Tischreservierung werden Name, Telefonnummer und manchmal auch besondere Wünsche erfasst. Beim bargeldlosen Bezahlen landen Zahlungsinformationen im Kassensystem. Viele Gastronomiebetriebe setzen zudem auf Videoüberwachung zum Schutz vor Diebstahl oder Vandalismus. Auch hier werden personenbezogene Daten verarbeitet – nämlich Bilddaten. Wenn Gäste das kostenlose WLAN nutzen, werden automatisch Verbindungsdaten gespeichert. Und nicht zu vergessen: Mitarbeiter geben im Rahmen ihres Arbeitsverhältnisses sensible Informationen preis, etwa zu Gesundheitszustand, Bankverbindung oder Steueridentifikationsnummer. All diese Daten fallen unter die DSGVO und müssen entsprechend geschützt werden.
Muss ein Gastronomiebetrieb einen Datenschutzbeauftragten haben?
Ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu benennen, hängt von verschiedenen Faktoren ab. Ein Kriterium ist die Anzahl der Mitarbeiter, die regelmäßig mit personenbezogenen Daten arbeiten. Sobald diese Zahl 20 überschreitet, ist ein Datenschutzbeauftragter Pflicht. Aber auch wenn weniger Personen betroffen sind, kann eine Benennung sinnvoll sein – zum Beispiel, wenn besonders schutzwürdige Daten verarbeitet werden, etwa Gesundheitsdaten im Rahmen von Krankmeldungen. Viele kleinere Betriebe entscheiden sich hier für externe Datenschutzbeauftragte, um rechtlich auf der sicheren Seite zu sein, ohne eigenes Fachpersonal schulen zu müssen. Das ist nicht nur effizient, sondern oft auch kostengünstiger.
Was muss konkret beachtet werden?
In der Praxis zeigt sich oft, dass Datenschutz in der Gastronomie nicht an fehlender Motivation, sondern am fehlenden Überblick scheitert. Dabei hilft ein systematisches Vorgehen. Im Zentrum steht das sogenannte Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO. Es dokumentiert, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage das geschieht und wie lange die Daten gespeichert bleiben. Auch technische und organisatorische Maßnahmen zum Schutz der Daten müssen erfasst werden. Für die eigene Website ist eine DSGVO-konforme Datenschutzinformation gem. Art. 13 DSGVO Pflicht, ebenso für das Gäste-WLAN. Hier reicht es nicht, einfach ein Passwort auszuhängen – Nutzer müssen vorab informiert werden, welche Daten gespeichert werden und zu welchem Zweck.
Viele Gastronomiebetriebe nutzen digitale Kassensysteme, Reservierungstools oder Plattformen wie OpenTable. Dabei werden oft externe Dienstleister eingebunden. In diesen Fällen ist ein sogenannter Auftragsverarbeitungsvertrag (AVV) zwingend notwendig. Der Vertrag regelt die datenschutzkonforme Zusammenarbeit und ist bei einer Prüfung durch die Aufsichtsbehörde vorzulegen. Wer diesen Punkt ignoriert, riskiert empfindliche Sanktionen. Wichtig ist auch die Schulung der Mitarbeiter. Nicht nur Festangestellte, sondern auch Aushilfen müssen sensibilisiert sein, etwa im Umgang mit Bewerbungen oder Beschwerden. Schon ein liegengelassener Lebenslauf auf dem Tresen kann ein Datenschutzverstoß sein.
Ein häufig unterschätztes Thema ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO zur Datennutzung. Besonders bei Newslettern, Rabattaktionen oder Bewertungsplattformen ist eine aktive Zustimmung erforderlich. Vorab angekreuzte Kästchen oder versteckte Hinweise in AGBs reichen nicht aus. Die Einwilligung muss freiwillig, spezifisch und informiert erfolgen. Gäste müssen zudem die Möglichkeit haben, ihre Zustimmung jederzeit zu widerrufen. Wer dies nicht beachtet, läuft Gefahr, gegen die DSGVO zu verstoßen – und das kann teuer werden.
Datenschutz in der Gastronomie: Bei Events und Gruppenreservierungen
Bei der Planung von Feiern oder Firmenevents werden oft Daten mehrerer Personen übermittelt – zum Beispiel bei der Menüabstimmung, Sitzordnung oder Rechnungsstellung. Hier gilt: Auch wenn nur eine Person die Buchung vornimmt, müssen alle betroffenen Personen über die Datenverarbeitung informiert werden. Besonders bei sensiblen Gruppen wie Schulklassen, Vereinen oder Firmenkunden ist Transparenz das A und O. Ein kurzer Informationshinweis im Reservierungsvorgang oder auf der Website kann hier bereits viel bewirken.
Welche Risiken bestehen bei Verstößen?
Viele Gastronomen unterschätzen die Risiken. Dabei sind Bußgelder keineswegs theoretisch. Die Datenschutzbehörden schauen mittlerweile gezielt auch bei kleinen Unternehmen hin. Verstöße können hohe Kosten verursachen – etwa bei unzulässiger Videoüberwachung ohne Hinweis, mangelhaften AV-Verträgen oder fehlender Datenschutzinformation auf der Website. Ein Beispiel aus Hamburg macht das deutlich: Ein Restaurant installierte sechs Videokameras, was unzulässig war. Die Folge: ein Bußgeld von 3.000 Euro. Neben finanziellen Konsequenzen droht auch ein Reputationsverlust, der im Zweifel mehr wiegt. Ein Gast, dessen Daten ungeschützt im Netz landen, kommt womöglich nicht wieder.
Aus dem echten Leben | Videoüberwachung im Restaurant – wo die Grenzen liegen
Ein Hamburger Gastrounternehmen installierte Kameras zur Diebstahlsprävention – doch drei davon filmten dauerhaft Küche und Verkaufsbereich. Die Mitarbeitenden wurden dabei lückenlos überwacht, ohne konkreten Anlass. Der HmbBfDI verhängte ein Bußgeld von 3.000 €. Das Beispiel zeigt: Dauerhafte Videoüberwachung von Mitarbeitern ist ohne klaren Zweck und Verhältnismäßigkeit unzulässig.
Praxisbeispiel: Wie ein kleines Café Datenschutz erfolgreich umsetzt
Ein familiengeführtetes Café in Nordrhein-Westfalen zeigt, wie Datenschutz in der Gastronomie im Alltag funktionieren kann. Die Inhaberin hat mit einem externen Berater ein schlankes Datenschutzkonzept aufgesetzt. Die Website enthält eine transparente Datenschutzinformation, Reservierungen laufen über ein DSGVO-konformes Tool mit AV-Vertrag, und das Team wurde in einer einstündigen Schulung für den Umgang mit Gästedaten sensibilisiert. Besonders hilfreich: Eine Checkliste für neue Aushilfen, die Schritt für Schritt erklärt, was beim Thema Datenschutz zu beachten ist. Die Investition in Datenschutz hat sich gelohnt: Das Café erhielt eine positive Bewertung nutzt das aktiv im Marketing.
Künstliche Intelligenz im Service – was ist datenschutzrechtlich zu beachten?
Immer mehr Betriebe experimentieren mit digitalen Bestellassistenten, Chatbots oder KI-gestützter Analyse von Kundenverhalten. Auch wenn das innovativ klingt, bringt es neue datenschutzrechtliche Herausforderungen mit sich. Wer KI einsetzt, muss offenlegen, welche Daten erfasst und wie sie verarbeitet werden. Besonders kritisch ist die automatisierte Profilbildung – etwa wenn Vorlieben, Allergien oder Besuchsfrequenzen analysiert werden. Hier greift Art. 22 DSGVO, der Betroffenen ein Widerspruchsrecht einräumt. Transparenz, Datensparsamkeit und Einwilligung sind bei KI-Lösungen unverzichtbar.
Fazit: Datenschutz ist auch in der Gastronomie Pflicht – und machbar
Der Aufwand ist überschaubar, wenn man die Basics kennt. Wer sich frühzeitig darum kümmert, ist rechtlich auf der sicheren Seite und zeigt gleichzeitig Verantwortung gegenüber Gästen und Team. Die DSGVO soll kein Hemmschuh für kleine Betriebe sein, sondern ein Schutzmechanismus für alle Beteiligten. Wer klug vorgeht, kann Datenschutz in der Gastronomie sogar als Qualitätsmerkmal nutzen.
Häufige Fragen zum Datenschutz in der Gastronomie (FAQ)
Brauche ich eine Datenschutzinformation, wenn ich keine Website habe?
Nein, aber das bedeutet nicht, dass Sie sich entspannt zurücklehnen können. Auch ohne eigene Website gelten die Informationspflichten der DSGVO. Sobald Sie personenbezogene Daten erfassen – etwa bei Reservierungen, Kundenanfragen oder WLAN-Nutzung –, müssen Sie die betroffenen Personen darüber informieren, was mit ihren Daten passiert. Dies erfolgt nicht zwingend über eine klassische Datenschutzinformation im Web, sondern kann auch in Form eines Aushangs, eines Informationsblatts oder eines digitalen Dokuments geschehen, das bei der Reservierung mitgeschickt wird. Wichtig ist: Die Gäste oder Mitarbeiter müssen leicht verständlich nachvollziehen können, welche Daten zu welchem Zweck gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff darauf hat. Auch der Hinweis auf Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) gehört dazu. Kurz gesagt: Keine Website heißt nicht „kein Datenschutz“. Die Pflicht zur Transparenz bleibt bestehen – Sie müssen nur andere Wege wählen, um ihr gerecht zu werden.
Darf ich Gästedaten für Werbung nutzen?
Die Verwendung von Gästedaten für Werbezwecke ist nur unter klar definierten Voraussetzungen zulässig – und wird sowohl durch die DSGVO als auch durch § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geregelt. Grundsätzlich gilt: Eine werbliche Ansprache per E-Mail, SMS oder Telefon erfordert eine ausdrückliche Einwilligung der betroffenen Person. Das heißt konkret: Die Gäste müssen der Werbung aktiv zustimmen – zum Beispiel durch das Ankreuzen eines nicht vorausgewählten Kästchens bei der Reservierung oder auf einem Formular. Die Einwilligung muss freiwillig, informiert und jederzeit widerrufbar sein.
§ 7 UWG stellt darüber hinaus klar, dass Werbung unter bestimmten Bedingungen stets als unzumutbare Belästigung anzusehen ist – etwa bei unerlaubten Telefonanrufen oder E-Mails ohne vorherige Einwilligung. Es gibt jedoch eine wichtige Ausnahme für Bestandskunden: Wenn ein Gast im Rahmen einer Tischreservierung oder eines Kaufs seine E-Mail-Adresse angibt, darf diese unter engen Voraussetzungen auch ohne gesonderte Einwilligung für Werbung verwendet werden. Und zwar dann, wenn (1) es sich um eigene, ähnliche Angebote handelt, (2) der Gast über die Verwendung informiert wurde, (3) der Gast der Nutzung nicht widersprochen hat und (4) bei jeder Nachricht auf das Widerspruchsrecht hingewiesen wird. Diese Ausnahme ist allerdings eng auszulegen und sollte dokumentiert werden.
In jedem Fall gilt: Werbung darf niemals versteckt oder irreführend sein. Die Identität des werbenden Unternehmens muss klar erkennbar sein, und es muss eine einfache Möglichkeit bestehen, der Werbung zu widersprechen – ohne zusätzliche Kosten. Ein Verstoß gegen diese Regeln kann nicht nur zu Abmahnungen, sondern auch zu empfindlichen Bußgeldern führen. Deshalb: Setzen Sie lieber auf Transparenz und holen Sie sich eine klare Einwilligung ein.
Wie lange darf ich Bewerbungen aufbewahren?
Nach den Vorgaben der DSGVO dürfen personenbezogene Daten von Bewerberinnen und Bewerbern nur so lange gespeichert werden, wie sie für den Zweck der Verarbeitung – also die Entscheidung über eine Einstellung – erforderlich sind. Sobald feststeht, dass eine Bewerbung nicht erfolgreich war, beginnt die Aufbewahrungsfrist. In der Praxis hat sich ein Zeitraum von sechs Monaten nach Abschluss des Bewerbungsverfahrens als angemessen etabliert. Dieser Zeitraum ergibt sich aus den gesetzlichen Verjährungsfristen für mögliche Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), z. B. wegen Diskriminierung.
Wichtig: Nach Ablauf der sechs Monate müssen sämtliche Bewerbungsunterlagen gelöscht oder vernichtet werden – auch E-Mails mit Lebensläufen oder handschriftliche Notizen aus dem Bewerbungsgespräch. Eine längere Speicherung ist nur dann zulässig, wenn der Bewerber ausdrücklich eingewilligt hat – etwa zur Aufnahme in einen Talentpool. Auch diese Einwilligung muss freiwillig erfolgen, dokumentiert und jederzeit widerrufbar sein. Ohne eine solche Einwilligung ist jede längere Speicherung ein Verstoß gegen die DSGVO.
Tipp für die Praxis: Legen Sie für Ihr Bewerbungsmanagement klare Prozesse fest – mit festen Löschfristen und Zuständigkeiten. Nutzen Sie eine datenschutzkonforme Vorlage für Absageschreiben, in der Sie auf die Löschfristen hinweisen. So vermeiden Sie unnötige Risiken und zeigen Professionalität gegenüber allen Bewerbern.
Was ist mit Videoüberwachung in der Küche oder im Lager?
Die Videoüberwachung am Arbeitsplatz, insbesondere in sensiblen Bereichen wie Küche oder Lager, ist datenschutzrechtlich äußerst heikel. Hier greifen sowohl die Vorgaben der DSGVO als auch das Bundesdatenschutzgesetz (BDSG), das die Rechte der Mitarbeiter besonders schützt. Grundsätzlich gilt: Eine Überwachung am Arbeitsplatz ist nur zulässig, wenn sie zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist – etwa zur Aufklärung von Diebstählen oder zur Gefahrenabwehr – und keine überwiegenden Interessen der Mitarbeiter entgegenstehen.
In der Küche oder im Lager ist diese Abwägung besonders kritisch. Hier arbeiten Mitarbeiter oft über längere Zeiträume und haben ein berechtigtes Interesse daran, nicht dauerhaft beobachtet zu werden. Eine dauerhafte oder anlasslose Überwachung ist in der Regel unzulässig. Wenn Sie Kameras einsetzen möchten, muss der Zweck klar dokumentiert sein, es müssen alternative Maßnahmen geprüft worden sein, und die Videoüberwachung muss verhältnismäßig sein. Der Bereich darf nicht zu ständigen Leistungskontrolle dienen.
Zusätzlich gilt: Die Mitarbeiter müssen vor Inbetriebnahme der Kameras umfassend informiert werden. Es braucht klare Hinweisschilder, ein Verarbeitungsverzeichnis und idealerweise eine Datenschutzfolgenabschätzung. Zudem sollte der Betriebsrat (sofern vorhanden) einbezogen werden. Die Aufnahmen dürfen nur für den konkret definierten Zweck genutzt und müssen nach kurzer Zeit gelöscht werden – üblicherweise nach 48 Stunden.
Kurz: Videoüberwachung in Küche oder Lager ist rechtlich möglich, aber nur in klar begründeten Ausnahmefällen. Ohne datenschutzkonformes Konzept drohen hier schnell empfindliche Konsequenzen – sowohl rechtlich als auch im Verhältnis zu Ihrem Team.
Zu „Videoüberwachung in Gaststätten und Hotels“ hat die Aufsichtsbehörde Nordrhein-Westfalen weiterführende Informationen zusammengestellt: https://www.ldi.nrw.de/v%C3%BC-gaststaetten-hotels