Erfüllt Ihr Hotel die GDPR und den Datenschutz? Checkliste ✅
Demo anfordern
Demo anfordern

Ist Ihr Hotel mit der GDPR und anderen Datenschutzbestimmungen konform? Praktischer Leitfaden zur Überprüfung von Prozessen

Die Einhaltung der DSGVO und anderer Datenschutzbestimmungen in einem Hotel ist nicht nur eine Frage von “einem Schild” oder “der Unterzeichnung eines Dokuments”. Sie hängt davon ab, wie Gästedaten im Tagesgeschäft erhoben, verwendet, weitergegeben, geschützt und entsorgt werden: Reservierungen, Check-in, Abrechnung, WiFi, Vorfälle, Marketing und Lieferanten.

Dieser Leitfaden ist als Hilfestellung gedacht schnelle Prozessauditierung, nicht als Rechtsberatung. Er ersetzt weder einen behördlichen Datenschutzbeauftragten (DSB) noch eine spezialisierte Beratungsfirma. Darüber hinaus können die spezifischen Verpflichtungen je nach Markt (Land), Die Art der Einrichtung und die von Ihrem Hotel angebotenen Behandlungen.

Auf der operativen Ebene kann ein PMS wie LEAN kann Ihnen bei der Standardisierung helfen: Die vom Gast geforderten Informationsfelder sind konfigurierbar (und kann nur in bestimmten Fällen zur Pflicht gemacht werden) und beim Check-in können Sie Registerpräferenz die Zustimmung des Gastes, kommerzielle Mitteilungen zu erhalten oder nicht zu erhalten, in nachvollziehbarer Weise.

Als Technologieanbieter in der Branche erfahren wir aus erster Hand, vor welchen Herausforderungen Hoteliers stehen und wie ein modernes Managementsystem den Unterschied ausmachen kann. Die Entwicklung der Hotel PMS hat sich von einem Kontrollinstrument zu einem strategischen Motor für Effizienz, Personalisierung und datengestützte Entscheidungsfindung entwickelt.

Einhaltung der GDPR

Erstens: Was bedeutet es, in einem Hotel “compliant” zu sein (ohne in juristische Formalitäten zu verfallen)?

In der Praxis bedeutet “liefern” in der Regel, dass Ihr Hotel fünf Dinge erklären und demonstrieren kann:

  • Grundlage und Zweckwarum Sie diese Daten benötigen und wofür Sie sie verwenden (Betrieb, Rechnungsstellung, lokale Verpflichtungen, Marketing, Sicherheit).
  • Minimierung: Sie bestellen und behalten nur das Nötigste, Vermeidung von “nur für den Fall”.
  • TransparenzSie informieren den Gast klar und deutlich (was Sie sammeln, wofür, mit wem Sie es teilen, wie lange).
  • Sicherheit und Zugangskontrollenur diejenigen, die Zugang haben sollten, mit angemessenen Maßnahmen und Rückverfolgbarkeit.
  • Aufbewahrung und LöschungSie bewahren Daten nicht unbegrenzt auf; Sie haben Regeln für die Aufbewahrung und Löschung/Anonymisierung, wenn dies angebracht ist.
  • Die Rechte des GastesEs gibt ein Verfahren zur Bearbeitung von Anträgen (Zugang, Berichtigung, Löschung, Widerspruch usw.), ohne dass improvisiert wird.

Zusätzlich zur DSGVO kann Folgendes gelten lokale oder sektorale Vorschriften (z. B. Meldepflichten, Steuern, Sicherheit, Telekommunikation), und gerade diese Unterschiede je nach Markt sind eine der häufigsten Fehlerquellen in kleinen Hotels.

Datenmapping in einem Hotel: Wo werden sie gesammelt und warum (Hotspots)

Um die Einhaltung der Vorschriften zu überprüfen, ist es am sinnvollsten, eine Übersicht darüber zu erstellen, wo die Daten erfasst werden und welche Risiken jeder Punkt birgt. Das ist am häufigsten der Fall:

      • ReservierungOTA, Buchungsmaschine, Telefon/E-Mail (Kontaktangaben, Daten, Präferenzen, manchmal Zahlungen).
      • Vorab-Check-in / onlineVorformulare, Identitätsprüfung, Unterschrift, Präferenzen.
      • RezeptionCheck-in, Dokumentation, Zuteilung, Einzahlungen, Vorfälle, operative Notizen.
      • Kiosk/SelbstabfertigungDatenerfassung und -validierung, Unterschrift, Zahlungen, Schlüsselgenerierung.
      • WiFiZugangsdaten, Akzeptanz der Bedingungen, technische Spuren (je nach Anbieter).
      • Rechnungsstellung und InkassoRechnungen, Steuerdaten, Zahlungsmethode, Rückverfolgbarkeit von Transaktionen.
      • HauswirtschaftVerlorenes Eigentum, Vorfälle in den Zimmern, Notizen, die persönliche Daten enthalten können, wenn sie nicht überprüft werden.
      • Kameras/CCTV (falls zutreffend)Bilder und Zugang zu Aufnahmen, Aufbewahrung und Zweckbestimmung.
      • Marketing/CRMAbonnements, Zustimmungen, Segmentierung, Abbestellungen.

Diese Karte erhebt keinen Anspruch auf Vollständigkeit. Sie soll “Risikobereiche” aufzeigen: Orte, an denen Daten übermäßig angefordert, vervielfältigt, ohne Kontrolle weitergegeben oder den falschen Personen zugänglich gemacht werden.

Checkliste zur Einhaltung von Prozessen (der häufigste Fehler in kleinen Hotels)

Operative Checkliste für eine rasche Selbsteinschätzung. Die Idee ist, “zu prüfen, ob...”:

  • Prüfen Sie, ob Ihre Formulare und Check-Ins folgende Fragen enthalten nur notwendige Daten für den eigentlichen Zweck.
  • Prüfen Sie, ob Sie dem Gast zu erklären welche Daten erhoben werden und warum (klarer und verständlicher Text).
  • Prüfen Sie, ob Sie ein Verfahren haben für Zustimmung zur Vermarktung (Opt-in natürlich, keine angekreuzten Kästchen).
  • Prüfen Sie, ob das PMS über eine einzige Quelle der Wahrheit und vermeiden Sie die Duplizierung von Daten in Excel/WhatsApp.
  • Prüfung auf Rollen und Zugang pro Beitrag (nicht “jeder sieht alles”).
  • Prüfung auf einzelne Konten (keine gemeinsamen Benutzer) und grundlegende Passwortrichtlinien.
  • Prüfen Sie, ob Sie Folgendes kontrollieren Ausfuhren (wer exportiert, was wird exportiert, zu welchem Zweck).
  • Prüfen Sie, ob Sie Regeln haben für Aufbewahrung und Löschung/Anonymisierung und konsequent angewendet werden.
  • Prüfen Sie, ob Vorfälle (Wartung, Fundsachen, Beschwerden) erfasst werden, ohne unnötige Daten aufzunehmen.
  • Prüfen Sie, ob Ihre Integrationen (OTAs, Kanäle, Zahlungen, Kioske, WiFi) die Abläufe verstanden haben und überarbeitete Vereinbarungen/Bedingungen.
  • Prüfen Sie, ob das Team ein Verfahren für Gästeanfragen (Rechte) kennt und weiß, wie man wer klettern kann.

Hier sind die Punkte, an denen es am häufigsten scheitert.

Check-in und Gästeregistrierung: Fragen Sie nur nach dem, was Sie brauchen, und begründen Sie es.

Die Abfertigung ist der heikelste Punkt, da hier die betriebliche Verpflichtung, mögliche örtliche Anforderungen und das Risiko einer auswendig gelernten Bestellung“ zusammenkommen. Gute Praxis:

  • Definieren, was Daten sind benötigt zu bedienen und welche “Komfort” sind (und entfernen Sie Zubehör, wenn es keinen wirklichen Nutzen hat).
  • Vermeiden Sie Wiederholungen: Wenn eine Information bereits unter Vorbehalt eingegangen ist, sollten Sie sie nicht zwangsweise wiederholen, es sei denn, es ist notwendig.
  • Achten Sie auf Konsistenz je nach Markt: Was “fällig” ist, kann je nach den örtlichen Vorschriften variieren.

Verbindung mit LEANin LEAN sind die vom Host angeforderten Felder konfigurierbar; das Hotel kann sie herstellen obligatorisch oder nicht, je nach Markt und seinen Abläufen. Dies hilft, zwei Extreme zu vermeiden: eine standardmäßige Überbestellung oder eine Unterbestellung, falls erforderlich.

Einwilligung in kommerzielle Kommunikation: wie man sie auf nachvollziehbare Weise einholt

Marketing erfordert eine besonders sorgfältige Behandlung, da es ausdrückliche Entscheidungen des Gastgebers beinhaltet. Prüfen Sie bei einem operativen Ansatz, ob:

  • Der Gast hat eine klare Entscheidung von ja/nein.
  • Die Option “nicht erhalten” ist ebenfalls zugänglich und benachteiligt den Prozess nicht.
  • Die Zustimmung wird nicht mit anderen Texten “vermischt” (Aufnahmebedingungen vs. Marketing).
  • Sie können zeigen was Sie gewählt haben, wann und über welchen Kanal Sie sich angemeldet haben.
  • Es gibt ein Verfahren zur Verwaltung der niedrig oder Änderung der Präferenz.

Das Ziel ist, dass Ihr Hotel nicht auf Interpretationen angewiesen ist (“sicher wollte ich”) und die Eintragung der Präferenz begründen kann.

Aufbewahrung und Löschung: Wie lange bewahren Sie Daten auf und wie verwalten Sie sie?

Eines der häufigsten Risiken ist die unbestimmte Akkumulation, “weil man das schon immer so gemacht hat”. Ohne konkrete Fristen zu nennen (sie variieren je nach Markt und Art der Daten), ist es wichtig, dass sie eingehalten werden:

  • Mit einer interne Politikwas aufbewahrt wird, wie lange und zu welchem Zweck.
  • Unterscheiden Sie zwischen Daten, die aufbewahrt werden müssen/können, und Daten, die aufbewahrt werden müssen/können. anonymisieren oder löschen.
  • Stellen Sie sicher, dass die Löschung/Anonymisierung auch für verstreute Kopien (Exporte, Blätter, E-Mails) und nicht nur für das PMS gilt.

Zugang, Rollen und Sicherheit: Wer kann was im Hotel sehen?

Bei den meisten Vorfällen handelt es sich nicht um “Hacks”, sondern um interne unsachgemäße Zugriffe oder Fehler. Bewährte Praxis:

  • Persönliche Konten: um eine gemeinsame Nutzung im Schichtbetrieb zu vermeiden.
  • Rollen pro StelleDie Rezeption sieht, was notwendig ist, die Stockwerke sehen, was notwendig ist, das Management sieht, was notwendig ist.
  • Aktienregister wenn möglich (wer hat was geändert).
  • Passwörter und grundlegende Gewohnheiten (keine Weitergabe von Passwörtern, keine offenen Sitzungen auf öffentlichen PCs).
  • Grenze Ausfuhren und den Zugang zu sensiblen Daten auf bestimmte Rollen zu beschränken.
  • Mindestschulung: Welche Daten sollten nicht in freien Notizen oder WhatsApp aufgezeichnet werden?.

Dritte und Anbieter: OTAs, Channel Manager, Zahlungen, Kioske, WiFi

In kleinen Hotels findet ein Großteil der Datenverarbeitung “außerhalb” des PMS statt: Lieferanten, Integrationen und Plattformen. Auf einer konzeptionellen Ebene, check:

  • welche Daten Sie mit jedem Dritten teilen und für was.
  • Handelt es sich bei dem Strom um einen Dritten, der als Datenverarbeiter oder eine andere anwendbare Rolle (dies sollte mit Beratung überprüft werden).
  • Welche Sicherheits- und Unterstützungsmaßnahmen der Anbieter anbietet.
  • Was passiert mit den Daten, wenn Sie den Anbieter wechseln oder eine Integration scheitert?.

Achtung: Dieser Punkt ist besonders vertrags- und rechtsprechungsabhängig und sollte mit Beratung/DPO validiert werden.

Fallstudie: Wie man mit LEAN die Präferenz für kommerzielle Kommunikation beim Check-in registriert

Ein häufiges Beispiel für die “operative Einhaltung” ist die Frage, wie erfasst wird, ob ein Gast Marketingmitteilungen erhalten möchte oder nicht. Der Schlüsselgedanke ist, dass die Präferenz klar erfasst wird und in LEAN eintauchen damit sie nachvollziehbar bleibt und nicht auf Erinnerungen oder lose Notizen angewiesen ist.

Beim Einchecken kann das Hotel die Vorlieben des Gastes auf drei Arten erfahren:

Spur 1: Front Desk App (Gast wählt ja/nein)

Beim assistierten Check-in kann der Gast explizit wählen ja/nein in der Front Desk App. Gute Praxis:

  • Klarer und spezifischer Text (welche Art von Mitteilungen).
  • Standardmäßig nicht markieren.
  • Erfassen Sie die Auswahl als rückverfolgbare Daten in Verbindung mit der Buchung/dem Profil.

Dadurch werden Annahmen reduziert und verhindert, dass die Zustimmung “interpretiert” wird.

Spur 2: POK (Kiosk oder virtueller Check-in)

Beim Self-Check-in oder virtuellen Check-in wählt der Gast ebenfalls seine Präferenz innerhalb des POK-Flows. Operative Vorteile:

  • Einheitlichkeit des Verfahrens (gleiche Frage, gleiches Format).
  • Weniger manuelle Fehler.
  • Direkte Aufzeichnung, die in LEAN eingespeist wird und die Rückverfolgbarkeit erleichtert.

Der Wert liegt hier in zweierlei Hinsicht: in der Erfahrung der Gäste (Autonomie) und in der internen Kontrolle (gut aufgezeichnete Daten).

Track 3: Empfangsfragen und Register in LEAN

Wenn der Prozess manuell erfolgt, kann er auch gut durchgeführt werden, wenn es ein Verfahren gibt:

  • Neutrale, nicht leitende Frage (“Möchten Sie kommerzielle Mitteilungen vom Hotel erhalten?).
  • Registrieren Sie die Antwort zu der Zeit in LEAN.
  • Vermeiden Sie Annahmen (“da er nichts gesagt hat, sage ich ja”).
  • Stellen Sie sicher, dass das gesamte Team die Kriterien kennt und sie gleichermaßen anwendet.

Dieser Weg ist wichtig, weil er Ausnahmen und Hotels mit geringerer Digitalisierung abdeckt.

Wie kann man konfigurieren, welche Daten vom Gast je nach Markt angefordert werden (ohne das Formular zu überladen).

Ein häufiger Fehler ist es, den Check-in in ein langes Formular zu verwandeln, “um auf Nummer sicher zu gehen”. In der Praxis führt dies zu mehr Reibungsverlusten, geringer Datenqualität (der Gast füllt alles aus) und einem höheren Risiko. Empfehlungen:

  • Beginnen Sie mit dem erforderliches Minimum um auf Ihrem Markt tätig zu sein und die geltenden Verpflichtungen zu erfüllen.
  • Fügen Sie Felder nur aus zwei Gründen hinzu: Notwendigkeit tatsächlicher Betrieb (gebraucht) oder Bedarf rechtlich/lokal (gilt für den Markt).
  • Regelmäßige Überprüfung: Prozesse ändern sich, lokale Vorschriften können sich ändern, und was heute “gut” ist, kann morgen schon überflüssig sein.

In LEAN sind die angeforderten Felder konfigurierbar und das Hotel kann sie je nach Markt zur Pflicht machen. Dies ermöglicht eine Anpassung der Datenerfassung, ohne dass parallele Prozesse erfunden werden müssen.

Anzeichen dafür, dass Sie zu viel (oder zu wenig) verlangen

Anzeichen für “zu viel”:

  • Felder, die niemand mehr benutzt.
  • Duplikate (gleiche Daten an mehreren Stellen).
  • Häufige Beschwerden oder Zweifel des Gastes (“Wozu brauchen sie das?”).
  • Die Abfertigungszeit wurde verlängert, ohne dass eine wirkliche Verbesserung eintrat.

Anzeichen für “zu wenig”:

  • Vorfälle, die auf unvollständige oder falsche Daten zurückzuführen sind.
  • Nicht abgedeckte lokale Anforderungen und ständige manuelle Korrekturen.
  • Probleme beim Einchecken oder bei der Kontaktaufnahme mit dem Gast bei Zwischenfällen.
  • Geringe Rückverfolgbarkeit von Genehmigungen (Marketing) oder internen Maßnahmen.

7-Tage-Aktionsplan: eine realistische Überprüfung der Einhaltung der Vorschriften für kleine Hotels

Dieser Plan ist nicht dazu gedacht, Sie in einer Woche “100%-konform” zu machen. Er ist eine erste Überprüfung, um Risiken zu erkennen und offene Fragen zu klären.

  • Tag 1: Datenkarte

    Listen Sie die Erfassungspunkte auf (Buchung, Check-in, WiFi, Zahlungen, Vorfälle, ggf. CCTV) und welche Daten erfasst werden.

  • Tag 2: Einchecken und Formulare

    Prüfen Sie, was Sie verlangen, was vom Markt vorgeschrieben ist und was übrig bleibt. Passen Sie die Felder in LEAN so an, dass sie dem erforderlichen Minimum entsprechen.

  • Tag 3: Marketing-Zustimmungen

    Prüfen Sie den Text, das ausdrückliche Ja/Nein, ob es Standardfelder gibt und wie die Präferenz in LEAN/POK festgehalten wird.

  • Tag 4: Zugang und Rollen

    Überprüfen Sie gemeinsam genutzte Benutzer, Rollen pro Arbeitsstation, Exporte und grundlegende Gewohnheiten (offene Sitzungen, Passwörter).

  • Tag 5: Aufbewahrung und Löschung

    Legen Sie interne Regeln fest (auch wenn es sich um einen Entwurf handelt): was wird aufbewahrt, warum und wie wird es gegebenenfalls gelöscht/anonymisiert.

  • Tag 6: Zulieferer und Integrationen

    Auflistung von OTAs, Kanälen, Zahlungen, Kiosken, WiFi und welche Daten sie gemeinsam nutzen. Bereiten Sie Fragen und Unterlagen vor, um sie mit den Beratern zu besprechen.

  • Tag 7: Training und Pisten

    Richten Sie das Team auf ein Mindestverfahren aus (Check-in, Marketing, Vorfälle, Exporte) und erstellen Sie eine Liste rechtlicher/technischer Aufgaben“, die mit dem DSB/Beratung zu validieren sind.

Häufig gestellte Fragen zu GDPR und Datenschutz in Hotels

Gilt die DSGVO für alle Hotels oder hängt sie vom jeweiligen Land ab?

Die DSGVO gilt generell in der EU/im EWR, aber außerhalb der EU/des EWR kann es gleichwertige Vorschriften oder andere Anforderungen geben. Darüber hinaus können Hotels außerhalb der EU, die europäische Kundendaten verarbeiten, von Fall zu Fall betroffen sein. Um den genauen Geltungsbereich zu bestimmen, ist es ratsam, mit dem Rechtsberater oder dem Datenschutzbeauftragten Rücksprache zu halten.

Hängt vom Markt und den lokalen Verpflichtungen ab, aber als operatives Kriterium sollten Sie das für den Zweck (Betrieb, Kontakt, Rechnungsstellung und geltende Anforderungen) erforderliche Minimum verlangen. Vermeiden Sie “auswendig gelernte” Daten, wenn sie nicht verwendet werden. In LEAN sind die Felder konfigurierbar und können je nach Markt angepasst werden, um den Check-in nicht zu überfrachten.

Eine operative Möglichkeit besteht darin, eine klare Ja/Nein-Wahl anzubieten und die Präferenz nachvollziehbar zu erfassen. In dem beschriebenen Ablauf kann dies über die Front Desk App (der Gast wählt aus), über POK (Kiosk oder virtueller Check-in) oder durch Fragen an der Rezeption und deren Erfassung in LEAN vor Ort erfolgen. Der Schlüssel liegt darin, die Präferenz nachweisen zu können.

Generell ist die standardmäßige Markierung oft eine schlechte Praxis, da sie die Klarheit verringert und zu Beschwerden führen kann. Es wird empfohlen, dass der Gast explizit ja/nein wählt und dass dies aufgezeichnet wird. Für spezifische Entscheidungen über die Rechtsgrundlage und den Wortlaut ist es ratsam, dies je nach Markt mit Beratung/DPOs zu validieren.

Wenden Sie den Grundsatz des minimalen Zugangs an: Jede Rolle sollte nur das sehen, was für ihre Aufgabe notwendig ist. Es ist ratsam, individuelle Konten, Rollen pro Position und, wenn das System es zulässt, die Rückverfolgbarkeit von Aktionen zu verwenden. Dies verringert das interne Risiko und erleichtert die Prüfung von Vorfällen.

Überprüfen Sie, welche Daten gemeinsam genutzt werden, zu welchem Zweck, wie sie geschützt werden, wer Zugang hat und was im Falle eines Vorfalls oder eines Anbieterwechsels geschieht. Es ist auch ratsam, Verträge/Bedingungen zu überprüfen (z. B. Verarbeitungsrollen und Sicherheitsmaßnahmen). Dies ist in hohem Maße fallabhängig und erfordert oft eine Validierung durch Beratung.

Sie können ein operatives Selbstaudit durchführen: Datenzuordnung, Minimierung beim Check-in, Registrierung von Einwilligungen, Rollen und Zugang, Aufbewahrung/Löschung und Überprüfung der Lieferanten. Wenn Sie Risiken oder Zweifel feststellen, besteht der nächste realistische Schritt darin, mit Beratung/DPO zu validieren. Ziel ist es, diese Überprüfung mit klaren Prozessen und Beweisen und nicht mit Annahmen zu erreichen.

Das könnte Sie auch interessieren

FORDERN SIE NOCH HEUTE IHRE DEMO AN

Entdecken Sie, wie Lean Hotel System Ihr Hotelgeschäft verändern kann

FORDERN SIE IHRE KOSTENLOSE DEMO AN!

Ähnliche Artikel

Nach oben scrollen