ALaCarte.Direct ALaCarte.Direct
FR DE EN ES HI
Réglementation CHR

DSGVO im Restaurant: Kundendaten richtig schützen

18 min de lecture
37 vues
DSGVO im Restaurant: Kundendaten richtig schützen
Sommaire

Hier ist der vollständige Artikel:

Sie erfassen E-Mail-Adressen Ihrer Gäste für Ihren Newsletter, speichern Telefonnummern für Reservierungen, führen eine Kaufhistorie für Geschenkgutscheine — und dennoch haben Sie nie überprüft, ob Ihr Restaurant die Datenschutzvorschriften einhält? Damit sind Sie nicht allein. Die Mehrheit der selbstständigen Gastronomen im deutschsprachigen Raum verarbeitet täglich personenbezogene Daten, ohne sich der rechtlichen Tragweite vollständig bewusst zu sein. Seit dem Inkrafttreten der DSGVO im Jahr 2018 haben sich die Pflichten erheblich verschärft, und die Datenschutzbehörden — ob der Bundesdatenschutzbeauftragte in Deutschland, die DSB in Österreich oder der EDÖB in der Schweiz — kontrollieren aktiv alle Branchen, die Gastronomie eingeschlossen. Dieses Thema betrifft nicht nur große Restaurantketten: Eine Gaststätte mit einer einfachen Excel-Datei ihrer Stammgäste fällt bereits unter die Regelungen. Hier erfahren Sie alles, was Sie wissen müssen, um Ihren Betrieb datenschutzkonform aufzustellen — ohne unnötigen Fachjargon und mit konkreten Handlungsempfehlungen.

Datenschutz in der Gastronomie: Warum Sie als Gastronom betroffen sind

Viele Gastronomen gehen davon aus, dass die Datenschutzvorschriften nur für Technologiekonzerne oder große Ketten gelten. Das ist falsch. Sobald Sie Informationen erheben, speichern oder verwenden, die eine natürliche Person identifizierbar machen, unterliegen Sie der DSGVO — und in Deutschland zusätzlich dem Bundesdatenschutzgesetz (BDSG), in Österreich dem DSG und in der Schweiz dem revidierten Datenschutzgesetz (revDSG).

Welche personenbezogenen Daten erheben Sie, ohne es unbedingt zu wissen?

Gehen wir die typischen Situationen in einem selbstständig geführten Restaurant durch:

  • Reservierungen: Name, Vorname, Telefonnummer, E-Mail-Adresse, Personenzahl, manchmal Angaben zu Lebensmittelallergien (Gesundheitsdaten — besonders schutzbedürftig)
  • Treueprogramme und Stempelkarten: Identität des Gastes, Besuchshistorie, Ernährungspräferenzen
  • Online-Bestellungen: Lieferadresse, Bankdaten (über den Zahlungsdienstleister), Bestellhistorie
  • Kostenloses WLAN: MAC-Adresse, Browsing-Daten, wenn das Captive-Portal Protokolle speichert
  • Videoüberwachung: Aufnahmen von Gästen und Personal, Zeitstempel
  • Online-Bewertungen: wenn Sie auf eine Google-Bewertung antworten und dabei Details zum Besuch des Gastes nennen
  • Geschenkgutscheine: Name des Käufers, Name des Beschenkten, Betrag, Einlösedatum
  • Lieferantenkontakte: Namen und Kontaktdaten Ihrer geschäftlichen Ansprechpartner

Jeder dieser Fälle stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar. Und jede Verarbeitung muss dokumentiert, begründet und geregelt sein. Wenn Sie Geschenkgutscheine in Ihrem Restaurant anbieten, erheben Sie zwangsläufig Daten über Käufer und Beschenkte — eine Verarbeitung, die Sie nicht vernachlässigen sollten.

Verbreitete Irrtümer, die Gastronomen in Gefahr bringen

"Ich habe keine Website, also bin ich nicht betroffen." Falsch. Ein digitales Reservierungsbuch, eine Excel-Datei mit Stammgästen oder sogar eine WhatsApp-Gruppe mit Ihren Gästen reichen aus.

"Meine Daten liegen auf Papier, die DSGVO gilt dafür nicht." Nur teilweise richtig. Die DSGVO gilt für automatisierte Verarbeitungen, aber auch für strukturierte Dateien in Papierform (beispielsweise ein alphabetisch geordnetes Gästeverzeichnis). Die Datenschutzbehörde kann auch ein organisiertes Papierarchiv kontrollieren.

"Ich bin zu klein, um kontrolliert zu werden." Die Datenschutzbehörden haben wiederholt klargestellt, dass sie Betriebe jeder Größe kontrollieren. Beschwerden von Gästen oder ehemaligen Mitarbeitern können eine Prüfung auslösen — unabhängig von der Größe Ihres Betriebs.

DSGVO in der Gastronomie verstehen: Die Grundprinzipien

Die Datenschutz-Grundverordnung basiert auf klaren Prinzipien, die jeder Gastronom kennen sollte. Sie müssen kein Jurist sein: Diese Grundsätze sind gesunder Menschenverstand, sobald man sie einmal verstanden hat.

Die 6 DSGVO-Grundsätze in der Gastronomie

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Sie benötigen einen rechtlichen Grund für die Datenerhebung, und der Gast muss darüber informiert sein. Wenn ein Gast Ihnen seine E-Mail-Adresse für eine Reservierung gibt, berechtigt Sie das noch lange nicht, ihm wöchentlich Werbung zu schicken.

2. Zweckbindung. Daten, die für eine Reservierung erhoben wurden, dürfen nur zur Verwaltung dieser Reservierung verwendet werden — es sei denn, der Gast hat ausdrücklich in eine andere Nutzung eingewilligt (Newsletter, Treueprogramm usw.).

3. Datenminimierung. Erheben Sie nur das, was Sie tatsächlich benötigen. Für eine Tischreservierung brauchen Sie weder das Geburtsdatum noch die Postanschrift des Gastes.

4. Richtigkeit. Die Daten müssen aktuell sein. Eine Gästedatei, die nie bereinigt wird und veraltete E-Mail-Adressen enthält, stellt ein Compliance-Problem dar.

5. Speicherbegrenzung. Sie dürfen Daten nicht unbegrenzt aufbewahren. Für jede Datenkategorie gilt eine maximale Aufbewahrungsfrist (dazu später mehr im Detail).

6. Integrität und Vertraulichkeit. Die Daten müssen vor unbefugtem Zugriff geschützt werden. Eine Excel-Datei mit Gästedaten auf einem gemeinsam genutzten Computer ohne Passwortschutz ist eine Sicherheitslücke.

Die Rechtsgrundlagen für die Datenverarbeitung in der Gastronomie

Die DSGVO verlangt für jede Verarbeitung eine Rechtsgrundlage. In der Gastronomie sind die häufigsten:

  • Vertragserfüllung: Reservierungen verwalten, Online-Bestellungen abwickeln, Geschenkgutscheine einlösen. Der Gast stellt Ihnen seine Daten zur Verfügung, damit Sie eine Leistung erbringen.
  • Einwilligung: Newsletter versenden, einen Gast in ein Treueprogramm aufnehmen, Tracking-Cookies auf Ihrer Website einsetzen. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein — keine vorangekreuzten Kästchen.
  • Berechtigtes Interesse: beispielsweise Videoüberwachung zur Sicherheit Ihres Betriebs. Dieses Interesse muss jedoch gegen die Rechte der gefilmten Personen abgewogen werden.
  • Gesetzliche Verpflichtung: Aufbewahrung bestimmter buchhalterischer und steuerlicher Daten gemäß den gesetzlichen Vorschriften (z. B. Abgabenordnung, Handelsgesetzbuch).

Das Verzeichnis von Verarbeitungstätigkeiten: Ihr zentrales Referenzdokument

Das Verzeichnis von Verarbeitungstätigkeiten ist das Fundament Ihrer DSGVO-Konformität. Es ist ein Dokument, das alle Verarbeitungen personenbezogener Daten erfasst, die Sie durchführen. Die Datenschutzbehörde kann es bei einer Kontrolle jederzeit anfordern.

Was Ihr Verzeichnis enthalten muss

Für jede Verarbeitung müssen Sie dokumentieren:

  • Den Zweck: Warum erheben Sie diese Daten? (z. B. Reservierungsmanagement)
  • Die Datenkategorien: Welche Daten genau? (z. B. Name, Telefon, E-Mail, Personenzahl)
  • Die Kategorien betroffener Personen: Gäste, Mitarbeiter, Lieferanten
  • Die Empfänger: Wer hat Zugriff auf die Daten? (z. B. der Restaurantleiter, die Reservierungssoftware)
  • Übermittlungen in Drittländer: Speichert Ihre Reservierungssoftware die Daten in den USA?
  • Die Aufbewahrungsfristen: Wie lange bewahren Sie die Daten auf?
  • Die Sicherheitsmaßnahmen: Passwortschutz, Verschlüsselung, Zugangsbeschränkung

Konkretes Beispiel eines Verzeichniseintrags für ein Restaurant

So könnte ein Eintrag in Ihrem Verzeichnis aussehen:

  • Verarbeitung: Reservierungsmanagement
  • Zweck: Erfassung und Bestätigung von Gästereservierungen
  • Erhobene Daten: Name, Vorname, Telefon, E-Mail, Datum und Uhrzeit der Reservierung, Personenzahl, eventuelle Allergien
  • Rechtsgrundlage: Vertragserfüllung (gastronomische Dienstleistung)
  • Aufbewahrungsfrist: 1 Jahr nach dem letzten Besuch des Gastes
  • Empfänger: Restaurantleiter, Reservierungssoftware [Name der Software]
  • Sicherheitsmaßnahmen: Zugang per Benutzerkennung und Passwort, Hosting in Deutschland/EU

Die Datenschutzbehörden stellen vereinfachte Mustervorlagen für das Verzeichnis von Verarbeitungstätigkeiten bereit, die speziell auf kleine Betriebe zugeschnitten sind. In Deutschland bietet beispielsweise der Bayerische Landesbeauftragte für den Datenschutz hilfreiche Vorlagen an. Nutzen Sie diese als Ausgangspunkt.

Gästedaten und DSGVO: Die einzuhaltenden Aufbewahrungsfristen

Einer der häufigsten Fehler in der Gastronomie: Daten „für alle Fälle" jahrelang aufbewahren. Die DSGVO verlangt eine Aufbewahrungsdauer, die im Verhältnis zum Zweck der Verarbeitung steht.

Empfohlene Fristen nach Datenkategorie

  • Reservierungsdaten: bis zu 1 Jahr nach der letzten Interaktion mit dem Gast. Danach löschen oder anonymisieren.
  • Treueprogramm-Daten: 3 Jahre ab dem letzten aktiven Kontakt (Kauf, Kontozugriff). Dies ist die von den Aufsichtsbehörden allgemein empfohlene Frist für Werbezwecke.
  • Online-Bestelldaten: Transaktionsdaten dürfen für buchhalterische Zwecke bis zu 10 Jahre aufbewahrt werden (gesetzliche Pflicht nach AO/HGB). Browsing- und Kontodaten unterliegen jedoch der 3-Jahres-Inaktivitätsregel.
  • Videoüberwachung: In Deutschland in der Regel maximal 72 Stunden, sofern kein Vorfall eine längere Speicherung erfordert (Diebstahl, Übergriff). In Österreich gelten ähnliche Fristen. Beachten Sie die jeweiligen Landesregelungen.
  • Bewerbungsunterlagen (eingegangene Lebensläufe): maximal 6 Monate nach Abschluss des Bewerbungsverfahrens, eine längere Aufbewahrung nur mit Einwilligung des Bewerbers.
  • Cookies und Tracker: Die Einwilligung muss regelmäßig erneuert werden — in der Praxis wird eine jährliche Erneuerung empfohlen.

So setzen Sie eine Löschroutine um

Konkret empfehlen sich folgende Schritte:

  1. Listen Sie alle Dateien und Systeme auf, die personenbezogene Daten enthalten (Software, Tabellen, Notizbücher)
  2. Weisen Sie jedem Datentyp eine Aufbewahrungsfrist zu
  3. Richten Sie vierteljährliche Erinnerungen ein, um Ihre Datenbestände zu bereinigen
  4. Löschen oder anonymisieren Sie Daten, deren Frist abgelaufen ist
  5. Dokumentieren Sie jede Löschaktion (Datum, gelöschtes Datenvolumen, verantwortliche Person)

Wenn Sie eine Reservierungs- oder Gastronomie-Management-Software nutzen, prüfen Sie, ob diese eine automatische Löschfunktion oder ein DSGVO-konformes Archivierungskonzept bietet.

Die Rechte Ihrer Gäste: So reagieren Sie in der Praxis

Die DSGVO räumt betroffenen Personen Rechte bezüglich ihrer Daten ein. Ihre Gäste können diese jederzeit ausüben, und Sie sind verpflichtet, innerhalb eines Monats zu antworten.

Welche Rechte Ihre Gäste ausüben können

  • Auskunftsrecht: „Welche Daten haben Sie über mich?" Sie müssen eine Kopie aller über diese Person gespeicherten Daten zur Verfügung stellen.
  • Recht auf Berichtigung: „Meine Telefonnummer hat sich geändert, bitte aktualisieren Sie diese."
  • Recht auf Löschung (Recht auf Vergessenwerden): „Löschen Sie alle meine Daten." Sie müssen dem nachkommen, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen (z. B. Buchhaltungsdaten gemäß AO).
  • Widerspruchsrecht: „Ich möchte keine Werbe-E-Mails mehr erhalten." Der Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung.
  • Recht auf Datenübertragbarkeit: „Übermitteln Sie meine Daten in einem maschinenlesbaren Format an einen anderen Anbieter."
  • Recht auf Einschränkung der Verarbeitung: „Löschen Sie meine Daten nicht, aber verwenden Sie sie nicht mehr, bis die Streitigkeit geklärt ist."

Wie Sie eine Anfrage in der Praxis bearbeiten

Stellen Sie sich vor, ein ehemaliger Gast schickt Ihnen eine E-Mail: „Ich möchte wissen, welche personenbezogenen Daten Sie über mich gespeichert haben, und bitte um deren Löschung."

So gehen Sie vor:

  1. Überprüfen Sie die Identität des Anfragenden — fordern Sie bei begründetem Zweifel einen Identitätsnachweis an, aber übertreiben Sie es nicht
  2. Sammeln Sie alle Daten zusammen — Reservierungssoftware, Treueprogramm, Newsletter-Verteiler, Videoüberwachung falls relevant
  3. Antworten Sie innerhalb eines Monats — stellen Sie die angeforderten Daten bereit und bestätigen Sie die Löschung
  4. Dokumentieren Sie die Anfrage — bewahren Sie einen Nachweis der Anfrage und Ihrer Antwort auf (als Compliance-Beleg)
  5. Informieren Sie Ihre Auftragsverarbeiter — wenn ein Drittanbieter Daten des Gastes speichert, fordern Sie auch dort die Löschung an

Wenn Sie auf Online-Bewertungen Ihrer Gäste reagieren, achten Sie darauf, in Ihren Antworten keine identifizierenden personenbezogenen Informationen (genaues Besuchsdatum, Bestelldetails) ohne Einwilligung der betroffenen Person zu veröffentlichen.

Informationspflicht gegenüber Ihren Gästen: Transparenz ist Pflicht

Die DSGVO verlangt, dass Sie betroffene Personen klar und deutlich über die Erhebung ihrer Daten informieren — und zwar zum Zeitpunkt der Erhebung. Das ist keine bloße Formalität: Es ist ein Grundrecht.

Die Pflichtangaben zur Information

Bei jeder Datenerhebung müssen Sie folgende Informationen bereitstellen:

  • Identität und Kontaktdaten des Verantwortlichen (Sie oder Ihr Unternehmen)
  • Zweck der Verarbeitung und deren Rechtsgrundlage
  • Empfänger der Daten
  • Aufbewahrungsdauer
  • Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung usw.)
  • Das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen
  • Ob die Angabe der Daten verpflichtend oder freiwillig ist

So informieren Sie Ihre Gäste je nach Kanal

Auf Ihrer Website: Eine Seite „Datenschutzerklärung", die von jeder Seite aus erreichbar ist. Wenn Sie ein Reservierungs- oder Kontaktformular haben, fügen Sie unter dem Formular einen Hinweis mit Link zur Datenschutzerklärung ein.

Im Gastraum (telefonische Reservierung): Ein Aushang im Betrieb (am Empfang oder in der Nähe der Kasse) mit Hinweis auf die Datenerhebung. Der Hinweis kann knapp gehalten sein und auf Ihre vollständige Datenschutzerklärung online oder auf Anfrage verweisen.

Für das WLAN: Das Captive-Portal (die WLAN-Anmeldeseite) muss einen Datenschutzhinweis anzeigen, bevor sich der Gast verbindet.

Für die Videoüberwachung: Ein Hinweisschild am Eingang des Betriebs, das auf die Kameraüberwachung hinweist, den Zweck (Sicherheit), die Speicherdauer und die Kontaktdaten des Verantwortlichen für die Ausübung der Betroffenenrechte nennt. In Deutschland regelt dies unter anderem § 4 BDSG in Verbindung mit der DSGVO.

Für Newsletter und Werbe-E-Mails: Ein Abmeldelink in jeder E-Mail und der Nachweis, dass die Einwilligung eingeholt wurde (Double-Opt-in wird in Deutschland als Best Practice angesehen).

Videoüberwachung in Ihrem Restaurant: Ein besonderer Fall

Die Videoüberwachung ist ein sensibles Thema, das mehrere Rechtsvorschriften berührt. In der Gastronomie wird sie häufig zur Diebstahlprävention und Kassensicherung eingesetzt.

Die besonderen Vorschriften

  • Öffentlich zugängliche Bereiche: Wenn Ihre Kameras öffentlich zugängliche Bereiche erfassen (Gastraum, Terrasse, Biergarten, Eingang), gelten besonders strenge Anforderungen. In Deutschland ist die Videoüberwachung öffentlich zugänglicher Räume nach § 4 BDSG nur unter engen Voraussetzungen zulässig.
  • Verzeichnis der Verarbeitungstätigkeiten: Alle Kamerasysteme — ob in öffentlichen oder nichtöffentlichen Bereichen (Lager, Küche) — müssen im Verzeichnis erfasst werden.
  • Speicherdauer: In der Regel maximal 48–72 Stunden, in begründeten Fällen länger.
  • Information der betroffenen Personen: Gut sichtbares Hinweisschild am Eingang gemäß Art. 13 DSGVO.
  • Keine permanente Mitarbeiterüberwachung: Kameras dürfen nicht dauerhaft auf einen Arbeitsplatz gerichtet sein, es sei denn, es gibt eine besondere Rechtfertigung (z. B. Kassenbereich mit Bargeldhandhabung). Filmen Sie die Kasse, nicht den Mitarbeiter. Beachten Sie die Mitbestimmungsrechte des Betriebsrats gemäß BetrVG.
  • Keine Kameras in Pausenräumen: Umkleiden, Toiletten und Pausenräume sind strikt tabu.

Häufige Fehler in der Gastronomie

  • Kameras, die vom Techniker installiert wurden, „weil noch ein Kanal am Rekorder frei war", ohne Bedarfsanalyse
  • Aufnahmen, die monatelang „für alle Fälle" gespeichert werden
  • Kein Hinweisschild am Eingang
  • Zugriff auf die Aufnahmen durch alle Mitarbeiter per Smartphone-App ohne Zugriffsbeschränkung

Datensicherheit: Konkrete Maßnahmen für Ihren Gastronomiebetrieb

Datensicherheit ist nicht nur ein Thema für Großunternehmen. Auch als Gastronom müssen Sie Schutzmaßnahmen umsetzen, die Ihrer Betriebsgröße und Ihren Möglichkeiten angemessen sind.

Die unverzichtbaren Grundmaßnahmen

Für Ihre digitalen Werkzeuge:

  • Starke Passwörter (mindestens 12 Zeichen, Mischung aus Buchstaben, Ziffern und Sonderzeichen) für alle Ihre Systeme
  • Unterschiedliche Passwörter für jeden Dienst
  • Aktivierung der Zwei-Faktor-Authentifizierung, wo immer verfügbar
  • Regelmäßige Updates Ihrer Software und Betriebssysteme
  • Aktueller Virenschutz auf allen Rechnern
  • Regelmäßige Datensicherungen auf einem externen Speichermedium oder in der Cloud

Für Ihr Team:

  • Jeden Mitarbeiter sensibilisieren, der mit Gästedaten umgeht (Reservierungsannahme, Kassenführung)
  • Individuelle Benutzerkonten einrichten — kein gemeinsames Passwort wie „gasthaus2024"
  • Zugriffe einschränken: Der Servicemitarbeiter braucht keinen Zugang zu den Buchhaltungsdaten
  • Bildschirme sperren, wenn man den Arbeitsplatz verlässt

Für Ihre Dienstleister:

  • Prüfen Sie, ob Ihre Software-Anbieter (Reservierung, Kasse, Online-Bestellung, Empfehlungsprogramm) die Daten in Deutschland, Österreich, der Schweiz oder innerhalb der EU hosten
  • Schließen Sie mit jedem Dienstleister, der Daten in Ihrem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ab
  • Fordern Sie deren eigenes Sicherheitskonzept an

Was tun bei einer Datenschutzverletzung?

Wenn Sie einen Datenschutzvorfall feststellen (Hackerangriff auf Ihre Reservierungssoftware, Diebstahl eines Computers mit Gästedaten, Versand einer Datei an den falschen Empfänger), haben Sie folgende Pflichten:

  • Meldung an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden, wenn die Verletzung ein Risiko für die Rechte der betroffenen Personen darstellt. In Deutschland erfolgt die Meldung beim zuständigen Landesdatenschutzbeauftragten, in Österreich bei der DSB, in der Schweiz beim EDÖB.
  • Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko besteht (z. B. bei kompromittierten Bank- oder Gesundheitsdaten).
  • Interne Dokumentation des Vorfalls: Art der Verletzung, betroffene Daten, ergriffene Maßnahmen.

Unterschätzen Sie diesen Punkt nicht. Ein gestohlener Laptop mit einer unverschlüsselten Excel-Datei von 500 Gästen ist eine meldepflichtige Datenschutzverletzung im Sinne der DSGVO.

Sanktionen: Was Ihnen konkret droht

Die Datenschutzbehörden verfügen über ein abgestuftes Sanktionssystem. Für einen selbstständigen Gastronomen sind die theoretischen Höchstbeträge der DSGVO (bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes) zwar nicht realistisch, aber empfindliche Strafen sind durchaus möglich.

Die Sanktionsstufen

  1. Verwarnung: Die Aufsichtsbehörde fordert Sie auf, innerhalb einer bestimmten Frist die Konformität herzustellen. Das ist der häufigste Fall bei Kleinbetrieben beim ersten Verstoß.
  2. Öffentliche Anordnung: Ihr Fall wird veröffentlicht. Für ein lokales Restaurant kann der Reputationsschaden verheerend sein.
  3. Bußgelder: Diese werden verhältnismäßig zur Größe Ihres Betriebs und zur Schwere des Verstoßes bemessen. Bußgelder von mehreren tausend Euro wurden bereits gegen Kleinunternehmen verhängt — auch in der DACH-Region.
  4. Verarbeitungsverbot: Die Behörde kann Ihnen die Nutzung Ihrer Gästedatei untersagen. Stellen Sie sich vor, Sie dürften keinen Newsletter mehr versenden und keine Reservierungen mehr digital verwalten.

Was eine Kontrolle auslöst

  • Eine Beschwerde eines Gastes: Ein unzufriedener Gast, der bei der Datenschutzbehörde meldet, dass er sich nicht von Ihrem Newsletter abmelden kann
  • Eine Beschwerde eines Mitarbeiters oder ehemaligen Mitarbeiters: Streit über die Videoüberwachung oder den Zugang zur Personalakte
  • Eine branchenspezifische Prüfung: Die Datenschutzbehörden nehmen regelmäßig bestimmte Branchen in ihren jährlichen Prüfplan auf
  • Ein Hinweis von Dritten: ein Mitbewerber, ein Lebensmittelkontrolleur, der eine Unregelmäßigkeit feststellt

Maßnahmenplan: Ihren Gastronomiebetrieb in 7 Schritten DSGVO-konform machen

Sie müssen als selbstständiger Gastronom keinen Datenschutzbeauftragten (DSB) bestellen — in Deutschland ist dies erst ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, verpflichtend. Dennoch müssen Sie Ihre Konformität nachweisen können. Hier ist ein konkreter Maßnahmenplan.

Schritt 1: Bestandsaufnahme Ihrer Datenverarbeitungen

Nehmen Sie sich eine Stunde Zeit und listen Sie alle Stellen auf, an denen Sie personenbezogene Daten erheben oder speichern. Vergessen Sie nichts: das Reservierungsbuch, die Kassensoftware, die Excel-Datei, die WhatsApp-Gruppe, die Kameras, das WLAN.

Schritt 2: Verzeichnis der Verarbeitungstätigkeiten erstellen

Nutzen Sie die kostenlose Mustervorlage Ihrer zuständigen Datenschutzbehörde. Erstellen Sie für jede in Schritt 1 identifizierte Verarbeitung einen Eintrag. Dieses Verzeichnis muss aktualisiert werden, sobald eine neue Verarbeitung hinzukommt.

Schritt 3: Rechtsgrundlagen überprüfen

Bestimmen Sie für jede Verarbeitung die Rechtsgrundlage: Vertragserfüllung, Einwilligung, berechtigtes Interesse oder gesetzliche Verpflichtung. Wenn Sie Newsletter versenden, ohne eine ausdrückliche Einwilligung eingeholt zu haben, korrigieren Sie dies umgehend.

Schritt 4: Datenschutzhinweise verfassen

Erstellen Sie eine Datenschutzerklärung für Ihre Website und einen Aushang für Ihren Betrieb. Kostenlose Muster finden Sie bei den Datenschutzbehörden sowie bei Branchenverbänden wie dem DEHOGA.

Schritt 5: Aufbewahrungsfristen festlegen

Definieren Sie für jeden Datentyp eine Aufbewahrungsfrist. Richten Sie Erinnerungen ein, um Ihre Datenbestände regelmäßig zu bereinigen. Wenn Sie auch wiederkehrende Firmenveranstaltungen organisieren, unterliegen die Kontaktdaten der Geschäftspartner denselben Aufbewahrungsregeln.

Schritt 6: Ihre Daten absichern

Setzen Sie die oben aufgeführten Sicherheitsmaßnahmen um. Ändern Sie Standardpasswörter, aktivieren Sie die Zwei-Faktor-Authentifizierung, prüfen Sie die Verträge mit Ihren Dienstleistern.

Schritt 7: Ihr Team schulen

Briefen Sie Ihr Personal über die wichtigsten Regeln: keine Passwörter weitergeben, keinen Bildschirm ungesperrt lassen, Auskunftsanfragen an Sie weiterleiten. Fünf Minuten in der Teambesprechung genügen, um die Grundlagen zu vermitteln.

Hilfsmittel und Ressourcen für Sie

Sie müssen nicht alles allein bewältigen. Es gibt zahlreiche kostenlose Ressourcen:

  • Die Websites der Datenschutzbehörden: Leitfäden, Mustervorlagen für Verzeichnisse, branchenspezifische Praxishilfen — in Deutschland z. B. beim BfDI (bfdi.bund.de) oder den Landesbeauftragten, in Österreich bei der DSB (dsb.gv.at), in der Schweiz beim EDÖB (edoeb.admin.ch)
  • Online-Schulungen: Viele Datenschutzbehörden und IHKs bieten kostenlose DSGVO-Schulungen und Webinare an
  • Die IHKs (Industrie- und Handelskammern): Bieten regelmäßig Datenschutz-Workshops speziell für Gewerbetreibende und Gastronomen an
  • Branchenverbände (DEHOGA, WKO in Österreich, GastroSuisse in der Schweiz): Stellen häufig branchenspezifische Leitfäden und rechtliche Beratung für ihre Mitglieder bereit
  • DSGVO-konforme SaaS-Lösungen: Achten Sie bei der Auswahl Ihrer digitalen Werkzeuge (Reservierung, digitale Speisekarte, Geschenkgutscheine) darauf, dass der Anbieter DSGVO-konform ist und die Daten in Europa hostet. ALaCarte.direct wurde beispielsweise von Grund auf mit integriertem Datenschutz (Privacy by Design) für Gastronomen entwickelt.

Die häufigsten Fehler bei Gastronomen

Zum Abschluss dieser Übersicht hier die Verstöße, die die Datenschutzbehörden in Gastronomiebetrieben am häufigsten feststellen:

  • Fehlendes Verzeichnis der Verarbeitungstätigkeiten — der mit Abstand häufigste Mangel
  • Newsletter-Versand ohne Opt-in-Einwilligung — E-Mail-Adressen kaufen oder ohne ausdrückliche Zustimmung verwenden
  • Nicht gekennzeichnete Videoüberwachung — Kameras ohne Hinweisschild und ohne rechtliche Grundlage
  • Kein Verfahren für Betroffenenanfragen — ein Gast verlangt die Löschung seiner Daten und niemand weiß, wie vorzugehen ist
  • Unbegrenzte Datenspeicherung — Gästedateien, die zehn Jahre alt sind, ohne jede Bereinigung
  • Auftragsverarbeiter ohne Vertrag — kein Auftragsverarbeitungsvertrag mit dem Anbieter der Reservierungssoftware oder der Barrierefreiheitslösung für Ihren Betrieb
  • Schwache oder gemeinsam genutzte Passwörter — das WLAN-Passwort des Restaurants als Passwort für alles verwenden

Werden Sie noch heute aktiv

DSGVO-Konformität ist für einen selbstständigen Gastronomiebetrieb kein Mammutprojekt. Es ist eine Reihe einfacher Best Practices, die sowohl Ihre Gäste als auch Ihren Betrieb schützen. Das Risiko ist nicht nur finanzieller Natur — auch Ihr lokaler Ruf steht auf dem Spiel.

Beginnen Sie mit dem Dringendsten: Erstellen Sie noch diese Woche Ihr Verzeichnis der Verarbeitungstätigkeiten. Es ist kostenlos, die Mustervorlagen der Datenschutzbehörden stehen online zum Download bereit, und es wird Sie weniger als zwei Stunden kosten. Nehmen Sie sich danach die Datenschutzhinweise und die Absicherung Ihrer Systeme vor.

Warten Sie nicht auf eine Kontrolle oder eine Beschwerde, bevor Sie handeln. Ein Gastronom, der sein aktuelles Verzeichnis vorzeigen und seine Datenschutzpolitik erklären kann, schafft Vertrauen — bei seinen Gästen, seinem Team und bei der Datenschutzbehörde, sollte sie eines Tages vor der Tür stehen.

Der Schutz der Daten Ihrer Gäste ist eine natürliche Erweiterung der Gastfreundschaft, die Sie ihnen jeden Tag in Ihrem Haus entgegenbringen. Behandeln Sie ihre Daten mit derselben Sorgfalt wie ihre Speisen.

Cet article vous a-t-il été utile ?

Partager cet article :
Sophie - Rédaction ALaCarte
Sophie - Rédaction ALaCarte

FoodTech & Innovation Restauration

L'équipe éditoriale d'ALaCarte.Direct, spécialiste de la digitalisation des restaurants et de l'innovation FoodTech.