Prostay
Demo buchen
Hotel Technology & Innovation

Aufbewahrung von Gästedaten und das Recht auf Löschung: Die DSGVO für Hotels im Jahr 2026

Die meisten Hotels erfassen Gästedaten und löschen diese anschließend nie: Passscans aus dem Jahr 2019, Kartendaten in Tabellenkalkulationen, Marketinglisten, denen niemand zugestimmt hat. Die DSGVO betrachtet all dies als Risiko, denn gemäß dem Grundsatz der Speicherbegrenzung dürfen Sie Daten nur so lange aufbewahren, wie Sie sie benötigen, und das Recht auf Löschung ermöglicht es Gästen, Sie aufzufordern, ihre Daten zu löschen. Hier finden Sie die Anforderungen der DSGVO zur Aufbewahrungsdauer, einen Zeitplan für jede einzelne Datenart, Informationen dazu, wann Sie eine Löschung ablehnen können, sowie einen 30-Tage-Plan zur Datenbereinigung.

Mika Takahashi
Mika TakahashiRedaktion

Veröffentlicht 21. Juni 2026

24 Min. Lesezeit

A cel-shaded editorial side-angle desk scene at eye level: an open laptop displays a guest data retention schedule table with data categories and countdown timers, with one row highlighted and a red 'Erase guest data' confirmation dialog open over a guest profile, while beside the laptop sit a small wall calendar with dates circled, a slim paper shredder with a strip of shredded paper, and a printed sheet titled retention policy with several lines ticked, illustrating that a hotel must delete guest personal data once its lawful retention period ends, all rendered in the warm cream, taupe, sage, terracotta and deep navy palette.

Warum Hotels unbeabsichtigt Daten horten

Gehen Sie in das Backoffice fast jedes unabhängigen Hotels und stellen Sie eine Frage: Welche personenbezogenen Daten über Gäste speichern Sie, und wann wird jede einzelne davon gelöscht? Auf die erste Hälfte der Frage erhalten Sie in der Regel eine selbstbewusste Antwort. Die zweite Hälfte wird mit einem verständnislosen Blick quittiert. Hotels sind außerordentlich gut darin, Gästedaten zu sammeln, und fast ausnahmslos schlecht darin, diese wieder zu löschen. Da liegen Passscans aus dem Jahr 2019 auf einem gemeinsamen Laufwerk, eine Tabelle mit Kreditkartendaten, die jemand vor drei Sommern für eine Reisebusgruppe erstellt hat, eine Marketingliste mit zehntausend Adressen, bei denen niemand nachweisen kann, dass die Betroffenen irgendetwas zugestimmt haben, und ein Reservierungssystem, das die vollständige Aufenthaltshistorie jedes Gastes enthält, der jemals die Türschwelle überschritten hat. Nichts davon wurde in böswilliger Absicht aufbewahrt. Es hat sich angesammelt, weil das Löschen von Daten eine bewusste Entscheidung erfordert, das Aufbewahren hingegen keine.

Nach der Datenschutz-Grundverordnung ist diese Anhäufung nicht neutral. Sie stellt eine wachsende Haftungsgefahr dar. Der Grundsatz der Speicherbegrenzung der DSGVO besagt, dass Sie personenbezogene Daten nur so lange aufbewahren dürfen, wie Sie sie tatsächlich benötigen, und das Recht auf Löschung gibt jedem Gast die Möglichkeit, Sie aufzufordern, die bei Ihnen gespeicherten Daten zu löschen. Die Daten, die in Ihrem Hausverwaltungssystem, Ihrem CRM, Ihrem E-Mail-Tool und diesen vergessenen Tabellenkalkulationen gespeichert sind, sind kein Vermögenswert, der still und leise an Wert gewinnt; sie sind ein Risiko, das sich vervielfacht. Jeder zusätzliche Datensatz und jedes zusätzliche Jahr bedeutet mehr, was bei einer Datenschutzverletzung verloren gehen kann, mehr, was bei einem Auskunftsersuchen ans Licht kommt, und mehr, worüber eine Aufsichtsbehörde Nachfragen stellen kann. Dieser Artikel richtet sich an den Betreiber, nicht an den Anwalt: Was die DSGVO tatsächlich hinsichtlich der Aufbewahrungsfristen vorschreibt, wie man einen Zeitplan erstellt, der jede Art von Daten und deren Löschfrist benennt, wann man einen Löschantrag ablehnen kann und ein 30-Tage-Plan zur Bereinigung des Datenbestands.

Eine kurze Anmerkung zur Ehrlichkeit vor den Details. Ich schreibe für Prostay, und unser Team entwickelt Immobilienverwaltungs- und Zahlungssoftware für Hotels; daher ist ein kurzer Abschnitt gegen Ende eher eine Offenlegung als eine Beratung. Alles andere hier ist herstellerunabhängig und gilt unabhängig davon, welche Systeme Sie einsetzen. Und ein wichtiger Haftungsausschluss: Dies ist eine operative Anleitung, keine Rechtsberatung. Die DSGVO wird von den nationalen Aufsichtsbehörden mit ihren eigenen Leitlinien ausgelegt, Aufbewahrungsfristen werden durch das Steuer- und Handelsrecht Ihres Landes festgelegt, und ein wirklich komplexer Fall verdient einen Datenschutzanwalt. Das Ziel hier ist es, Sie von „Wir bewahren alles für immer auf“ zu einer vertretbaren, schriftlich festgehaltenen und durchgesetzten Position zu bringen, die den Großteil dessen abdeckt, was ein Hotel tatsächlich speichert.

Was die DSGVO tatsächlich hinsichtlich der Aufbewahrungsfristen vorschreibt

Das Frustrierende für Betreiber, die sich eine einzige Regel wünschen, ist, dass die DSGVO bewusst darauf verzichtet, eine solche vorzugeben. Sie besagt nicht: „Bewahren Sie Gästedaten X Jahre lang auf.“ Stattdessen legt sie Grundsätze fest und überlässt die Einzelheiten diesen Grundsätzen. Zwei Grundsätze decken fast den gesamten Bereich der Aufbewahrungsfristen ab, und sobald man sie verstanden hat, verwandelt sich die scheinbare Unbestimmtheit in etwas, das man tatsächlich in die Praxis umsetzen kann.

Der Grundsatz der Speicherbegrenzung

Die Speicherbegrenzung ist der Grundsatz der DSGVO, wonach personenbezogene Daten in einer Form, die die Identifizierung von Personen ermöglicht, nicht länger aufbewahrt werden dürfen, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im Klartext: Sie dürfen Daten nur so lange aufbewahren, wie Sie sie für den Zweck, für den Sie sie erhoben haben, tatsächlich benötigen. Sobald dieser Grund wegfällt und keine andere rechtmäßige Grundlage mehr vorliegt, müssen Sie die Daten löschen oder anonymisieren, sodass sie nicht mehr mit einer Person in Verbindung gebracht werden können. Dieser Grundsatz ist die direkte Antwort auf die Aufbewahrung „für alle Fälle“. Die unbefristete Speicherung der Daten eines Gastes, weil sie eines Tages nützlich sein könnten, ist genau das, was die Speicherbegrenzung verbietet, denn „könnte nützlich sein“ ist kein definierter Zweck mit einem Enddatum.

Deshalb ist nicht das Hotel als Ganzes die richtige Einheit, sondern jeder einzelne Zweck. Die Daten, die Sie zur Abwicklung einer Buchung erhoben haben, dienen einem Zweck, der nach einer bestimmten Zeit nach dem Aufenthalt endet. Die Daten, die Sie für steuerliche Zwecke aufbewahren, haben einen Zweck, der endet, wenn die gesetzliche Aufbewahrungsfrist abläuft. Die Daten, die Sie für Marketingzwecke speichern, haben einen Zweck, der nur so lange besteht, wie die Einwilligung gilt. Jeder Zweck hat seine eigene Frist, und die Speicherbegrenzung besagt, dass Sie aufhören müssen, wenn diese Frist abgelaufen ist.

Die Rechtsgrundlage entscheidet darüber, wie lange Sie die Daten aufbewahren

Damit verbunden ist der Begriff der Rechtsgrundlage: der rechtliche Grund, aus dem Sie eine bestimmte Datenangabe überhaupt verarbeiten dürfen. Die Rechtsgrundlage, auf die Sie sich stützen, bestimmt maßgeblich, wie lange Sie die Daten aufbewahren dürfen, da die Aufbewahrungsdauer an den Zweck gebunden ist, den die Rechtsgrundlage stützt. Drei Rechtsgrundlagen decken den Großteil der Hoteldaten ab. Der Vertrag umfasst alles, was Sie benötigen, um den vom Gast gebuchten Aufenthalt zu erbringen. Die gesetzliche Verpflichtung umfasst alles, wozu Sie durch ein separates Gesetz zur Aufbewahrung verpflichtet sind; Steuer- und Buchhaltungsunterlagen sind hierfür das offensichtlichste Beispiel. Die Einwilligung umfasst Dinge, denen der Gast aktiv zugestimmt hat – wobei Marketing der wichtigste Punkt ist – und gilt nur so lange, bis er sie widerruft.

Die praktische Konsequenz ist, dass die Frage „Wie lange bewahren wir Gästedaten auf?“ für verschiedene Daten unterschiedliche Antworten hat, und die Rechtsgrundlage gibt an, welche. Buchungs- und Abrechnungsunterlagen fallen größtenteils unter die gesetzliche Verpflichtung, sodass ihre Aufbewahrungsfrist durch Ihr nationales Steuerrecht festgelegt wird, oft sechs bis zehn Jahre. Marketingdaten unterliegen der Einwilligung; ihre Aufbewahrungsfrist endet also, wenn der Gast sich abmeldet oder Ihre Richtlinie zur Inaktivität greift. Eine betriebliche Notiz, die ein Manager über einen schwierigen Gast verfasst hat, fällt bestenfalls unter das berechtigte Interesse und sollte daher nur von kurzer Dauer sein. Legen Sie für jede Kategorie die richtige Rechtsgrundlage fest, dann ergibt sich die Aufbewahrungsfrist fast von selbst.

Erstellung eines Aufbewahrungsplans für Gästedaten

Das Nützlichste, was ein Hotel für die Einhaltung der DSGVO tun kann, ist zugleich das Unspektakulärste: einen Aufbewahrungsplan erstellen. Ein Aufbewahrungsplan ist eine einfache Tabelle, in der jede Kategorie der von Ihnen gespeicherten personenbezogenen Daten, die Rechtsgrundlage für deren Speicherung, der Zweck, die Frist, nach deren Ablauf Sie die Daten löschen, sowie der Speicherort aufgeführt sind. Es handelt sich nicht um eine juristische Abhandlung; ein guter Zeitplan passt auf zwei Seiten. Sein Wert liegt darin, dass er eine vage Verpflichtung in eine Reihe konkreter, durchsetzbarer Regeln umwandelt, und er ist das erste Dokument, nach dem eine Aufsichtsbehörde fragen wird, sollte sie jemals an Ihre Tür klopfen.

A guest data retention schedule shown as a clean table with five columns labelled data category, lawful basis, purpose, retention period, and where it lives, with rows for booking data kept a short window after checkout under contract, invoices kept six to ten years under legal obligation, payment card data marked none because it is tokenized, marketing data kept while consent stands, ID scans deleted after the registration period, and CCTV kept days to weeks, with a small clock and a delete icon at the end of each row.
Ein Aufbewahrungsplan wandelt eine vage Verpflichtung in eine konkrete Regel für jeden Datentyp um. Dies ist das Dokument, nach dem eine Aufsichtsbehörde als Erstes fragt.

Erst das disziplinierte Verfassen dieses Dokuments deckt die Probleme auf. Man kann den Punkt „Speicherort“ nicht ausfüllen, ohne die Tabelle auf dem gemeinsamen Laufwerk und den Export zu entdecken, den sich jemand per E-Mail zugeschickt hat. Man kann das Feld „Aufbewahrungsfrist“ nicht ausfüllen, ohne endlich zu entscheiden, wie lange man einen Marketingkontakt tatsächlich aufbewahrt, der seit drei Jahren keine E-Mail mehr geöffnet hat. Der Plan erzwingt die Entscheidungen, die man mit „Das regeln wir später“ immer wieder aufgeschoben hat, und sobald er geschrieben ist, wird er zur Regel, an die sich das gesamte Team und Ihre Systeme halten.

Aufbewahrung nach Datenkategorien

So lassen sich die Hauptkategorien für ein Hotel typischerweise aufschlüsseln. Betrachten Sie diese als sinnvollen Ausgangsrahmen und nicht als unumstößliche Regel, da Ihre nationalen Gesetze und Ihre spezifischen Umstände die Zahlen beeinflussen.

  • Buchungs- und Reservierungsdaten (Name, Kontaktdaten, Aufenthaltsdaten, Präferenzen): werden während und kurz nach dem Aufenthalt gemäß Vertrag benötigt. Ein gängiger Ansatz besteht darin, die aktiven Buchungsdaten für einen festgelegten Zeitraum nach dem Check-out aufzubewahren, um Streitfälle, Rückerstattungen und Nachverfolgungen zu bearbeiten; anschließend werden sie gelöscht oder archiviert, wobei alles, was Teil einer Rechnung geworden ist, in die unten aufgeführte Aufbewahrungsfrist für Finanzunterlagen übergeht.
  • Finanz- und Rechnungsunterlagen (Rechnungen, Zahlungsbestätigungen, Folio): Diese unterliegen gesetzlichen Verpflichtungen, sodass die Aufbewahrungsfrist durch das Steuer- und Handelsrecht festgelegt ist, üblicherweise sechs bis zehn Jahre (zehn Jahre in Deutschland und Frankreich, etwa sechs bis sieben Jahre in anderen Ländern). Sie dürfen diese Unterlagen in der Regel nicht vorzeitig löschen, auch nicht auf Anfrage.
  • Zahlungskartendaten: Das Ziel ist es, so wenig wie möglich für so kurze Zeit wie möglich zu speichern, im Idealfall gar nichts, da durch die Tokenisierung über Ihren Zahlungsanbieter die Kartennummer vollständig aus Ihren Systemen entfernt wird. Mehr dazu weiter unten.
  • Marketingdaten (E-Mail-Adressen, Präferenzen, Einwilligungsnachweise): werden auf der Grundlage der Einwilligung aufbewahrt, also nur so lange, wie die Einwilligung besteht. Legen Sie eine Inaktivitätsregel fest, beispielsweise das Entfernen oder erneute Einholen der Einwilligung bei Kontakten, die seit 24 bis 36 Monaten keine Interaktion gezeigt haben, und kommen Sie Abmeldungen unverzüglich nach.
  • Ausweisdokumente (Scans von Reisepässen oder Personalausweisen, sofern eine Registrierung gesetzlich vorgeschrieben ist): ein heikles Thema, das weiter unten behandelt wird; bewahren Sie diese nur so lange auf, wie es das jeweilige Gesetz zur Gästeerfassung vorschreibt, und löschen Sie sie anschließend, anstatt die Scans auf unbestimmte Zeit zu horten.
  • Videoüberwachungs- und Zugriffsprotokolle: Standardmäßig kurze Aufbewahrungsfristen, oft Tage bis wenige Wochen, es sei denn, ein bestimmter Vorfall löst eine längere Aufbewahrung aus.
  • Betriebsnotizen und Freitextkommentare: die risikoreichste und am wenigsten geregelte Kategorie; halten Sie diese kurz, sachlich und von kurzer Dauer, und halten Sie niemals etwas fest, das der Gast nicht lesen sollte.

Das Recht auf Löschung und seine Grenzen

Das Recht auf Löschung, oft auch als Recht auf Vergessenwerden bezeichnet, ermöglicht es einer Person, von Ihnen die Löschung der personenbezogenen Daten zu verlangen, die Sie über sie gespeichert haben. Bei Hotels erfolgt dies meist per E-Mail: Ein ehemaliger Gast oder jemand, der sich einst in Ihre Mailingliste eingetragen hat, bittet Sie, seine Daten zu entfernen. Der erste Impuls ist, dies als binäre Entscheidung zu betrachten – entweder alles löschen oder ablehnen –, doch beide Reaktionen sind falsch. Die richtige Vorgehensweise ist präziser, und wenn Sie sie richtig umsetzen, sind Sie in beiden Fällen abgesichert.

A decision flow diagram for handling a guest erasure request: it starts with request received, then verify identity, then locate the data across PMS, CRM, email, and spreadsheets, then a branch asking is there a legal obligation to keep this; data with no remaining lawful basis flows to a delete now box, data covered by a tax or registration law flows to a retain until its legal clock expires box, and both paths converge on respond to the guest within one month explaining what was erased and what was kept and why.
Ein Löschantrag ist kein einfacher „Löschen“-Knopf. Sie löschen, was Sie können, behalten nur das, wozu Sie gesetzlich verpflichtet sind, und erläutern beides.

Das Recht gilt am eindeutigsten, wenn Sie keine rechtmäßige Grundlage mehr für die Speicherung der Daten haben. Wenn jemand seine Einwilligung zum Marketing widerruft, entfällt die Grundlage für die Speicherung seines Marketingprofils, und Sie müssen es löschen. Das Gleiche gilt, wenn der Zweck, für den Sie die Daten erhoben haben, nicht mehr besteht und nichts anderes die Speicherung rechtfertigt. Das Recht ist jedoch kein universeller Löschknopf. Wenn eine andere rechtmäßige Grundlage weiterhin gilt, insbesondere eine gesetzliche Verpflichtung zur Aufbewahrung bestimmter Unterlagen, können und müssen Sie diese spezifischen Daten manchmal aufbewahren, und das Recht auf Löschung hat hier keinen Vorrang. Die Kunst besteht darin, die Daten, die Sie nun löschen müssen, von dem begrenzten Umfang der Daten zu trennen, zu deren Aufbewahrung Sie gesetzlich verpflichtet sind.

Was Sie nicht tun dürfen, ist, die Anfrage zu ignorieren oder sie auf die lange Bank zu schieben. Die DSGVO räumt Ihnen einen Monat Zeit für die Beantwortung ein, und in der Antwort muss der betroffenen Person mitgeteilt werden, was Sie unternommen haben: was Sie gelöscht haben, was Sie aufbewahrt haben und der rechtliche Grund für eine etwaige Aufbewahrung. „Wir haben Ihre Daten gelöscht“, obwohl Sie die Rechnungen tatsächlich steuerlich aufbewahrt haben, ist sowohl unwahr als auch wenig hilfreich; „Wir haben Sie aus allen Marketingmaßnahmen entfernt und Ihr Gästeprofil gelöscht, und wir sind gemäß Steuerrecht verpflichtet, Ihre Buchungsrechnungen mehrere Jahre lang aufzubewahren; danach werden auch diese gelöscht“ ist die ehrliche, vorschriftsmäßige Antwort. Dokumentieren Sie den Antrag und Ihre Antwort in jedem Fall.

Wann Sie ablehnen können: Aufbewahrungspflichten und Ausnahmen

Da das Recht auf Löschung nicht absolut ist, müssen Sie die Situationen kennen, in denen die Aufbewahrung von Daten rechtmäßig ist, damit Sie weder zu viel löschen noch zu lange aufbewahren. Für Hotels sind mehrere Ausnahmen von Bedeutung.

Die wichtigste ist die gesetzliche Verpflichtung. Das Steuer- und Rechnungslegungsrecht in jedem EU-Land verpflichtet Sie, Finanzunterlagen – einschließlich der mit dem Aufenthalt eines Gastes verbundenen Rechnungen – für eine festgelegte Anzahl von Jahren aufzubewahren. Diese Verpflichtung hat Vorrang vor einem Löschungsantrag für diese spezifischen Daten. Ein Gast kann Sie bitten, ihn zu vergessen, und Sie sollten alles vergessen, was Sie frei vergessen dürfen, doch die Rechnung bleibt so lange erhalten, bis die gesetzliche Aufbewahrungsfrist abgelaufen ist. Die gleiche Logik gilt für alle Unterlagen, zu deren Aufbewahrung Sie durch ein bestimmtes Gesetz verpflichtet sind, wie beispielsweise Gasterfassungsdaten, deren Aufbewahrung nach lokalem Recht für einen festgelegten Zeitraum vorgeschrieben ist.

Eine zweite Ausnahme ist die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen. Wenn Sie sich in einem Rechtsstreit mit einem Gast befinden oder einen solchen vernünftigerweise erwarten – sei es eine Rückbuchung, ein Anspruch wegen Körperverletzung oder eine unbezahlte Rechnung –, dürfen Sie die für diesen Anspruch relevanten Daten bis zu dessen Klärung aufbewahren, da Sie diese benötigen, um sich zu verteidigen. Dies ist kein Freibrief, alles für immer aufzubewahren, indem man sich hypothetische Streitigkeiten ausdenkt; es handelt sich um eine eng gefasste Ausnahme für echte Streitfälle. Die Vorgabe lautet, eine spezifische Aufbewahrungsverpflichtung auf die relevanten Unterlagen anzuwenden und diese aufzuheben – also die Daten zu löschen –, sobald die Angelegenheit abgeschlossen ist.

Der rote Faden, der all dies verbindet, ist die Spezifität. Eine Ausnahme erlaubt es Ihnen, die bestimmten Daten, die unter die Ausnahme fallen, so lange aufzubewahren, wie die Ausnahme gilt – und nicht länger. Sie ist kein Grund, das gesamte Gästeprofil auf unbestimmte Zeit aufzubewahren. Wenn Sie sich bei einem Löschungsantrag auf eine Ausnahme berufen, bewahren Sie nur die Daten auf, die durch diese Ausnahme gerechtfertigt sind, löschen Sie den Rest und vermerken Sie den Grund dafür.

Reisepässe, Ausweise und Daten besonderer Kategorien

Identitätsdokumente verdienen einen eigenen Abschnitt, da Hotels ständig mit ihnen zu tun haben und oft unsachgemäß damit umgehen. In vielen Ländern sind Hotels gesetzlich verpflichtet, Gäste zu registrieren und manchmal deren Identität zu überprüfen – was ein legitimer Grund ist, beim Check-in einen Reisepass oder Personalausweis einzusehen. Dies ist jedoch für sich genommen kein Grund, das Dokument einzuscannen und das Bild auf Dauer aufzubewahren. Beides wird regelmäßig verwechselt: Ein Hotel, das bestimmte Registrierungsdaten erfassen muss, beginnt, jeden Reisepass zu fotografieren und die Bilder auf Nummer sicher auf unbestimmte Zeit zu speichern – wodurch ein großer, sensibler und für Angreifer attraktiver Datenspeicher entsteht, den das Gesetz nie verlangt hat.

Der disziplinierte Ansatz besteht darin, zwischen den gesetzlich vorgeschriebenen Aufzeichnungen und den Daten, die Sie freiwillig aufbewahren, zu unterscheiden. Erfassen Sie nur die spezifischen Felder, die das Gastregistrierungsgesetz in Ihrem Rechtsgebiet vorschreibt, bewahren Sie diese nur für den gesetzlich festgelegten Zeitraum auf und löschen Sie sie anschließend. Wenn Sie einen Ausweis einscannen oder fotografieren, behandeln Sie dieses Bild als risikoreiche Daten: Beschränken Sie den Zugriff darauf, speichern Sie es verschlüsselt und löschen Sie es, sobald der Zweck der Registrierung erfüllt ist, anstatt die Scans in einem Ordner ansammeln zu lassen. Was die praktischen Abläufe der Gästeerfassung und die Meldepflichten gegenüber der Polizei im Speziellen betrifft, behandeln wir dies ausführlich in unserem Leitfaden zur Gästeerfassung und polizeilichen Meldung; der Schwerpunkt hinsichtlich der Aufbewahrung ist hier enger gefasst: Erfassen Sie nur das gesetzlich vorgeschriebene Minimum, bewahren Sie es für die gesetzlich zulässige Mindestdauer auf und löschen Sie die Daten termingerecht.

Seien Sie auch vorsichtig bei Daten, die in besondere Kategorien fallen – also sensible Daten, die die DSGVO strenger schützt, wie beispielsweise Gesundheitsdaten. Wenn ein Gast eine schwere Allergie oder einen Bedarf an barrierefreiem Zugang erwähnt, können dadurch gesundheitsbezogene Daten in Ihre Notizen gelangen. Sie benötigen diese Informationen möglicherweise, um den Gast gut zu betreuen, doch sie erfordern besondere Sorgfalt: Bewahren Sie sie nur so lange auf, wie sie für den Aufenthalt dieses Gastes relevant sind, beschränken Sie den Zugriff darauf und lassen Sie sie nicht lange nach Ablauf ihrer Relevanz in Freitextfeldern stehen.

Zahlungsdaten: Das am einfachsten zu lösende Problem bei der Aufbewahrung

Von allen Problemen rund um die Aufbewahrungsfristen lassen sich Zahlungskartendaten am einfachsten lösen – doch viele Hotels haben diese Möglichkeit noch nicht genutzt. Früher war es üblich, Kartennummern zu speichern: Sie wurden im Buchungsformular erfasst, für No-Show-Gebühren oder Nebenkosten in den Unterlagen aufbewahrt oder auf einen Beleg geschrieben. Jede Kartennummer, die Sie speichern, ist ein Datenschutzrisiko, eine PCI-Verpflichtung und ein potenzieller Sicherheitsverstoß. Die moderne Lösung besteht darin, sie gar nicht erst zu speichern.

Die Tokenisierung, die von jeder kompetenten Zahlungsplattform angeboten wird, ersetzt die Kartennummer durch ein bedeutungsloses Token, das für einen Dieb nutzlos ist und beim Zahlungsanbieter gespeichert wird – nicht in Ihren Systemen. Sie können weiterhin die Gebühr bei Nichterscheinen berechnen, Nebenkosten erfassen und die Anzahlung abwickeln, da das Token die Belastung über den Anbieter autorisiert – doch die tatsächlichen Kartendaten befinden sich niemals in Ihrem PMS, Ihrer Tabellenkalkulation oder Ihrem Aktenschrank. Diese eine architektonische Entscheidung beseitigt eine ganze Kategorie von Aufbewahrungsrisiken: Es gibt keine sensiblen Daten, die aufbewahrt werden müssen, also gibt es nichts zu löschen, nichts, was offengelegt werden könnte, und weitaus weniger, was einem Prüfer nachgewiesen werden muss. Die Verwendung einer integrierten Zahlungsschicht wie Prostay Pay, die standardmäßig Tokenisierung durchführt, bedeutet, dass Kartendaten von Grund auf minimiert werden, anstatt durch Richtlinien verwaltet zu werden – was immer die sicherere Vorgehensweise ist.

Wenn Sie noch irgendwo Kartennummern aufbewahren – auf Papier, in einer Tabellenkalkulation, in E-Mails oder in einem alten Buchungssystem –, ist dies der Punkt mit höchster Priorität bei jeder Bereinigung der Datenaufbewahrung, noch vor fast allem anderen. Es handelt sich um die Daten, die für Angreifer am attraktivsten sind, am stärksten reguliert werden und deren Aufbewahrung am eindeutigsten unnötig ist, sobald eine Tokenisierung verfügbar ist. Der schnellste Erfolg in Sachen DSGVO und Sicherheit, den die meisten Hotels erzielen können, besteht darin, jede gespeicherte Kartennummer aufzuspüren und die Praxis zu beseitigen, die zu ihrer Speicherung geführt hat.

Marketinglisten, Einwilligungen und das stille Risiko

Marketingdaten sind der Bereich, in dem gute Absichten ein schleichendes Risiko bergen. Ein Hotel baut über Jahre hinweg eine E-Mail-Liste auf – aus Buchungsformularen, WLAN-Anmeldungen, Gewinnspielen und Newsletter-Anmeldungen – und fragt selten nach, ob jeder Kontakt tatsächlich seine Einwilligung erteilt hat, ob diese Einwilligung spezifisch und in voller Kenntnis der Sachlage erfolgte und ob sie noch gültig ist. Das Ergebnis ist eine umfangreiche Liste mit unklarer Herkunft – genau das, was eine routinemäßige Beschwerde zu einem aufsichtsrechtlichen Problem macht.

Die Aufbewahrungsvorschriften für Marketing basieren auf der Einwilligung. Sie dürfen Marketingdaten nur so lange aufbewahren und nutzen, wie Sie über eine gültige Einwilligung verfügen – das bedeutet, dass der Kontakt sich aktiv dafür entschieden hat, wusste, womit er einverstanden war, und die Einwilligung genauso einfach widerrufen kann, wie er sie erteilt hat. Daraus ergeben sich zwei Regeln. Erstens: Nehmen Sie Abmeldungen sofort und vollständig entgegen: Wenn sich jemand abmeldet, senden Sie ihm keine E-Mails mehr und entfernen Sie ihn aus der aktiven Liste, wobei Sie höchstens einen minimalen Vermerk zur Unterdrückung führen, damit Sie ihn nicht versehentlich wieder hinzufügen. Zweitens: Gehen Sie gegen Inaktivität vor. Ein Kontakt, der seit zwei oder drei Jahren keine E-Mails mehr geöffnet oder angeklickt hat, ist ein Kontakt, dessen Einwilligung veraltet ist und dessen Daten Sie kaum noch behalten sollten; eine sinnvolle Richtlinie sieht vor, die Einwilligung einmalig erneut einzuholen und den Kontakt zu löschen, wenn er nicht reagiert.

Dies erscheint Betreibern, die eine größere Liste mit größerer Reichweite gleichsetzen, zwar kontraintuitiv, doch eine umfangreiche Liste von Kontakten ohne Einwilligung, ohne Interaktion und möglicherweise unrechtmäßig gespeichert, ist kein Gewinn; sie ist eine Belastung, die schlechte Ergebnisse und ein hohes Risiko mit sich bringt. Eine kleinere Liste von Personen, die wirklich von Ihnen hören möchten, liefert bessere Ergebnisse und birgt fast kein Risiko im Hinblick auf die DSGVO. Das Ausdünnen der Liste ist sowohl eine Maßnahme zur Einhaltung der Vorschriften als auch eine Verbesserung des Marketings – eine seltene Übereinstimmung, die es wert ist, genutzt zu werden.

OTAs, Channel-Manager und wer was löscht

Gästedaten kommen nicht über einen einzigen Kanal herein, was die Kundenbindung erschwert. Eine Buchung kann über Ihre eigene Website, über Booking.com oder Expedia, über einen Channel-Manager, über ein Reisebüro oder per Telefon erfolgen. Eine weit verbreitete und gefährliche Annahme ist, dass, wenn die Buchung über eine OTA erfolgte, die OTA Eigentümerin der Daten ist und deren Löschung auch Ihre Daten abdeckt. Das ist nicht der Fall.

In den meisten Beziehungen zu OTAs fungieren sowohl die Plattform als auch das Hotel als Verantwortliche für ihre jeweiligen Kopien der Gästedaten. Die OTA ist für die Daten in ihren Systemen und für die dortige Löschung verantwortlich; Sie sind für die Kopie verantwortlich, die in Ihren Systemen landet. Wenn eine Buchung über Booking.com über Ihren Channel-Manager in Ihr PMS gelangt, ist die dauerhafte Aufzeichnung, für die eine Aufbewahrungsrichtlinie und ein Löschprozess erforderlich sind, diejenige, die sich nun in Ihrer Umgebung befindet. Der Channel-Manager ist in der Regel nur ein Vermittler, ein Auftragsverarbeiter, der die Daten weiterleitet, aber die Kopie im PMS unterliegt Ihrer Kontrolle.

Die praktischen Schlussfolgerungen sind konkret. Sie können nicht einfach auf eine OTA verweisen und davon ausgehen, dass ein Löschantrag damit erledigt ist; Sie müssen ihn in Ihren eigenen Systemen bearbeiten, unabhängig davon, wie die Buchung eingegangen ist. Sie sollten für jede von Ihnen genutzte Plattform wissen, wer für welche Daten der Verantwortliche und wer der Auftragsverarbeiter ist – dies ist in den Datenverarbeitungsbedingungen festgelegt, denen Sie zugestimmt haben und die Sie selten lesen. Und Ihr Aufbewahrungsplan muss jede Kopie von Gästedaten in Ihrer Umgebung abdecken, nicht nur die aus Ihrem Direktkanal, denn einer Aufsichtsbehörde und einem sich beschwerenden Gast ist es egal, dass die Daten ursprünglich von woanders stammten.

Die Vorgehensweise: Löschen in PMS, CRM, E-Mail und Backups

Zu wissen, was gelöscht werden muss, ist die halbe Miete; das tatsächliche Löschen in dem Systemgewirr eines echten Hotels ist die andere Hälfte – und genau hier scheitern oft die besten Absichten. Gästedaten befinden sich selten an einem einzigen Ort. Sie befinden sich im PMS, im CRM oder im Tool für Gästeprofile, auf der E-Mail-Marketing-Plattform, in Tabellenkalkulationen, im Posteingang, in den jemand eine Buchung weitergeleitet hat, und in den Backups hinter all dem. Eine Aufbewahrungsrichtlinie, die nur Daten aus dem PMS löscht, lässt Kopien überall sonst zurück.

Beginnen Sie damit, zu erfassen, wo sich die Daten tatsächlich befinden – genau wie es der Aufbewahrungsplan vorschreibt. Finden Sie für jedes System heraus, wie das Löschen funktioniert: Bietet das PMS eine Möglichkeit, ein Gästeprofil zu löschen oder zu anonymisieren? Entfernt das E-Mail-Tool einen Kontakt wirklich oder blendet es ihn nur aus? Können Sie die Tabellenkalkulationen bereinigen und die Erstellung neuer Tabellen unterbinden? Das Ziel ist ein definierter Löschpfad für jeden Ort, an dem sich Gastdaten befinden, damit Sie bei Ablauf einer Aufbewahrungsfrist oder bei Eingang eines Löschantrags überall handeln können – nicht nur in dem offensichtlich betroffenen System.

Backups sind das Thema, an dem sich alle die Zähne ausbeißen, und die Haltung der Aufsichtsbehörden ist pragmatisch. Es wird erwartet, dass Sie Daten aus den laufenden, aktiven Systemen umgehend löschen. Bei Backups wird erwartet, dass die Daten im Rahmen einer normalen, dokumentierten Rotation veralten und dass Sie gelöschte Daten nicht wieder in den aktiven Betrieb zurückspielen. Es wird im Allgemeinen nicht erwartet, dass Sie jedes historische Backup öffnen, um die Daten eines einzelnen Gastes punktgenau zu entfernen, sobald dieser darum bittet. Zwei Dinge machen dies vertretbar: Backups mit einem sinnvollen Rotationszyklus, bei dem alte Daten überschrieben statt dauerhaft aufbewahrt werden, und ein Wiederherstellungsprozess, der Löschvorgänge erneut anwendet, sodass bei einer Wiederherstellung gelöschte Datensätze nicht unbemerkt wiederhergestellt werden. Ein Backup, das Sie niemals überschreiben, stellt an sich schon einen Verstoß gegen die Speicherbeschränkungen dar; daher besteht die Lösung zum Teil einfach darin, eine echte Richtlinie zur Aufbewahrungsdauer von Backups zu haben.

Wo eine Löschung nicht ohne Weiteres möglich ist, gilt die Anonymisierung als anerkannte Alternative. Wenn Sie aggregierte Statistiken, Belegungstrends oder durchschnittliche Aufenthaltsdauern aufbewahren möchten, können Sie die Daten von allen personenbezogenen Merkmalen bereinigen und die anonymisierten Zahlen behalten, die nicht mehr unter die DSGVO fallen, da es sich nicht mehr um personenbezogene Daten handelt. Bei korrekter Umsetzung können Sie so die geschäftlichen Erkenntnisse behalten, ohne die Haftung zu übernehmen.

Umgang mit einem Auskunfts- oder Löschantrag

Wenn ein Gast seine Rechte geltend macht, gelten für den Antrag selbst bestimmte Regeln, und eine reibungslose Bearbeitung hängt vor allem davon ab, dass bereits vor dem ersten Antrag ein Prozess bereitsteht. Die beiden häufigsten Fälle sind der Antrag auf Auskunft, bei dem der Gast eine Kopie der Daten wünscht, die Sie über ihn gespeichert haben, und der Antrag auf Löschung, bei dem er die Löschung der Daten verlangt. Für beide gilt die gleiche Frist von einem Monat und es sind die gleichen grundlegenden Schritte zu befolgen.

Erkennen Sie zunächst den Antrag. Er muss nicht auf einem Formular erfolgen oder in juristischer Sprache verfasst sein; eine E-Mail mit dem Inhalt „Bitte senden Sie mir alles, was Sie über mich haben“ oder „Löschen Sie meine Daten“ reicht aus, und die Frist beginnt mit dem Eingang der E-Mail. Stellen Sie sicher, dass das Personal an der Rezeption und in der Reservierungsabteilung weiß, dass diese Anfragen an den Datenschutzbeauftragten weitergeleitet werden müssen, anstatt sie zu ignorieren oder falsch zu behandeln. Zweitens: Überprüfen Sie die Identität in angemessenem Umfang. Sie müssen sicher sein, dass Sie es mit der tatsächlichen Person zu tun haben, bevor Sie Daten herausgeben oder löschen, sollten jedoch keine übermäßigen Nachweise verlangen; die Bestätigung, dass die Person die Kontrolle über die E-Mail-Adresse oder die in den Unterlagen hinterlegte Buchungsnummer hat, reicht in der Regel aus. Übermäßige Identitätsanfragen stellen selbst ein Problem der Datenerhebung dar.

Drittens: Gehen Sie systemübergreifend vor, nutzen Sie die oben genannten Ablage- und Löschpfade und wenden Sie die Logik der Aufbewahrungspflicht an: Löschen Sie bei einer Löschanforderung alles, wofür keine rechtmäßige Grundlage mehr zur Aufbewahrung besteht, und behalten Sie nur das, wozu Sie gesetzlich verpflichtet sind; bei einem Auskunftsersuchen stellen Sie eine vollständige Kopie zusammen, einschließlich der leicht zu vergessenden Speicherorte. Viertens: Antworten Sie innerhalb eines Monats schriftlich, erläutern Sie, was Sie unternommen haben, und begründen Sie bei allen aufbewahrten Daten, warum. Führen Sie ein einfaches Protokoll über Anfragen und Antworten. Nichts davon ist schwierig, sobald der Prozess etabliert ist; die Probleme entstehen dadurch, dass kein Prozess vorhanden ist, sodass die erste Anfrage Panik auslöst, Fristen versäumt werden und es entweder zu einer übermäßigen Löschung oder einer pauschalen Ablehnung kommt – beides kann eine geringfügige Anfrage zu einer Beschwerde eskalieren lassen.

Ein 30-Tage-Plan zur Bereinigung der Datenaufbewahrung

Sie brauchen weder ein Jahr noch einen Berater, um von „wir bewahren alles auf“ zu einer vertretbaren Position zu gelangen. Ein gezielter Monat, geleitet von jemandem mit Entscheidungsbefugnis, bringt ein typisches unabhängiges Hotel schon fast ans Ziel.

Tage 1 bis 7: Finden Sie die Daten. Erfassen Sie alle Orte, an denen sich personenbezogene Daten von Gästen befinden: PMS, CRM oder Gästeprofile, E-Mail-Marketing-Tool, Tabellenkalkulationen, gemeinsam genutzte Laufwerke, Posteingänge, das alte System, das niemand außer Betrieb genommen hat, Papierakten. Gehen Sie bei den vergessenen Ecken gnadenlos vor, denn dort lauert das größte Risiko. Markieren Sie sofort alle gespeicherten Kartennummern sowie alle einzeln gespeicherten Scans von Reisepässen oder Ausweisen; das sind Ihre Ziele mit höchster Priorität.

Tage 8 bis 14: Erstellen Sie den Zeitplan. Erstellen Sie den Aufbewahrungsplan: Halten Sie für jede Datenkategorie die Rechtsgrundlage, den Zweck, die Aufbewahrungsfrist – die sich bei gesetzlich vorgeschriebenen Daten nach Ihrem nationalen Steuer- und Registrierungsrecht richtet – sowie den Speicherort fest. Legen Sie Ihre Regel für Marketing-Inaktivität sowie die Aufbewahrungsfristen für Videoüberwachungsaufzeichnungen und Notizen fest. Dieses Dokument bildet das Rückgrat für alle weiteren Maßnahmen.

Tag 15 bis 21: Beheben Sie die größten Sicherheitslücken. Beseitigen Sie gespeicherte Kartendaten, indem Sie auf tokenisierte Zahlungen umstellen und alle Kartennummern auf Papier oder in Tabellenkalkulationen vernichten. Löschen Sie eigenständige Ausweisscans oder sichern Sie diese ordnungsgemäß. Bereinigen Sie die Marketingliste: Kommen Sie allen ausstehenden Abmeldungen nach und entfernen Sie seit langem inaktive Kontakte oder holen Sie deren Einwilligung erneut ein. Diese drei Maßnahmen beseitigen den Großteil des tatsächlichen Risikos.

Tage 22 bis 28: Bauen Sie die Prozesse auf. Definieren Sie den Löschpfad für jedes System, damit Aufbewahrungsfristen tatsächlich durchgesetzt werden können – idealerweise automatisieren Sie dabei, was möglich ist. Erstellen Sie eine einseitige Anleitung für die Bearbeitung von Zugriffs- und Löschanfragen, einschließlich der Zuständigkeiten, der Identitätsprüfung und der einmonatigen Frist. Weisen Sie das Personal an der Rezeption und in der Reservierungsabteilung ein, damit Anfragen weitergeleitet und nicht verloren gehen. Stellen Sie sicher, dass Ihre Backup-Rotation begrenzt und dokumentiert ist.

Tag 29 bis 30: Dokumentieren und planen Sie die Überprüfung. Speichern Sie den Aufbewahrungsplan und das Antragsverfahren an einem für das Team leicht auffindbaren Ort, halten Sie fest, was Sie bereinigt haben – dies ist ein nützlicher Nachweis für Ihren guten Willen, falls eine Aufsichtsbehörde jemals danach fragt –, und tragen Sie einen wiederkehrenden Termin in den Kalender ein, vierteljährlich oder zweimal im Jahr, um den Plan durchzusetzen und erneut eine Bereinigung vorzunehmen. Die Aufbewahrung ist kein einmaliges Projekt, sondern eine Gewohnheit, und die Kalendererinnerung verhindert, dass sich der Datenberg wieder auftürmt.

Wo Prostay ins Spiel kommt – kurz und ehrlich

Offenlegung: Ich schreibe für Prostay, ein Unternehmen, das ein Immobilienverwaltungssystem und eine integrierte Zahlungsplattform für Hotels entwickelt; daher handelt es sich bei diesem Abschnitt um eine Interessenbekundung und nicht um eine neutrale Beratung. Der ehrliche, nützliche Punkt ist eng gefasst. Ein großer Teil des Problems der Datenaufbewahrung ist architektonischer Natur, und die richtigen Systeme machen den konformen Weg zum Standard. Ein PMS, mit dem Sie ein Gästeprofil sauber löschen oder anonymisieren können, anstatt Daten verstreut und unlöschbar zu hinterlassen, macht es weitaus einfacher, sowohl geplante Aufbewahrungsfristen als auch Löschanfragen einzuhalten. Und Zahlungslösungen, die standardmäßig eine Tokenisierung vornehmen – wie Prostay Pay –, entfernen Kartendaten vollständig aus Ihrer Umgebung, wodurch eine ganze Kategorie von Aufbewahrungs- und Datenschutzrisiken beseitigt wird, noch bevor Sie eine einzige Richtlinie verfassen.

Nichts davon ist eine Besonderheit unseres Unternehmens, und darum geht es in diesem Artikel auch nicht. Viele moderne PMS- und Zahlungsanbieter bewältigen dies gut, und die richtige Wahl hängt von Ihrer Systemlandschaft und Ihrem Land ab. Der wirklich nützliche Test ist der in diesem Artikel beschriebene: Können Ihre Systeme das löschen, was Ihr Zeitplan vorsieht, minimieren sie von vornherein die Menge der von Ihnen gespeicherten sensiblen Daten, und können Sie innerhalb eines Monats auf eine Löschanforderung systemübergreifend reagieren? Wenn Ihre Systeme dies können, spielt der Anbieter kaum eine Rolle. Wenn sie es nicht können, ist das die Lücke, die es zu schließen gilt – sei es mit uns oder mit einem anderen Anbieter. Kaufen und konfigurieren Sie mit Blick auf die voreingestellte Konformität, nicht wegen eines Häkchens auf einer Feature-Liste.

Häufig gestellte Fragen

Fünf Fragen, die Hotelbetreiber am häufigsten zu den Aufbewahrungsfristen nach der DSGVO und zum Recht auf Löschung stellen – beantwortet anhand der praktischen Umsetzung in einem realen Betrieb und nicht anhand des Wortlauts der Verordnung.

FAQ

Häufig gestellte Fragen

  • Wie lange darf ein Hotel gemäß der DSGVO Gästedaten aufbewahren?
    Die DSGVO legt keine einheitliche Frist fest – und genau das ist es, was Betreiber frustriert, die nach einer einheitlichen Regel suchen. Stattdessen heißt es, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie sie für den Zweck benötigt werden, für den sie erhoben wurden, zuzüglich etwaiger Fristen, die durch gesonderte Gesetze vorgeschrieben sind. In der Praxis bedeutet dies, dass für verschiedene Daten unterschiedliche Aufbewahrungsfristen gelten. Buchungs- und Rechnungsdaten werden in der Regel so lange aufbewahrt, wie es die steuer- und buchhalterischen Aufbewahrungsvorschriften Ihres Landes vorschreiben, üblicherweise 6 bis 10 Jahre (10 Jahre in Deutschland und Frankreich, etwa 6 Jahre in weiten Teilen Europas, 7 Jahre in einigen Ländern). Marketingdaten werden nur so lange aufbewahrt, wie die Einwilligung des Gastes besteht, also bis er sich abmeldet oder gemäß Ihrer festgelegten Richtlinie inaktiv wird. Betriebsnotizen, Videoüberwachungsaufzeichnungen und Zugriffsprotokolle sollten nur kurz aufbewahrt werden, oft nur Tage oder Wochen. Der richtige Ansatz besteht nicht darin, nach einer einzigen Zahl für die von der DSGVO erlaubte Aufbewahrungsdauer zu fragen, sondern einen Aufbewahrungsplan zu erstellen, der jede Kategorie von Gästedaten, deren Rechtsgrundlage und den konkreten Zeitraum, nach dessen Ablauf Sie die Daten löschen, benennt – und diesen Plan dann auch tatsächlich durchzusetzen. Der Verstoß, der den Aufsichtsbehörden ein Anliegen ist, besteht darin, alles „für alle Fälle“ auf unbestimmte Zeit aufzubewahren, was der Grundsatz der Speicherbegrenzung ausdrücklich verbietet.
  • Wenn ein ehemaliger Gast uns bittet, seine Daten zu löschen, müssen wir dem dann immer nachkommen?
    Nein, und wenn Sie davon ausgehen, dass Sie dies tun müssen, könnten Sie gegen andere Gesetze verstoßen. Das Recht auf Löschung (das „Recht auf Vergessenwerden“) ist weitreichend, aber nicht absolut. Sie müssen Daten löschen, wenn Sie keinen rechtmäßigen Grund mehr haben, diese zu speichern, beispielsweise Marketingdaten nach dem Widerruf der Einwilligung. Sie können und müssen jedoch manchmal einen Antrag ablehnen oder teilweise ablehnen, wenn eine andere gesetzliche Verpflichtung Sie dazu verpflichtet, bestimmte Daten aufzubewahren. Das deutlichste Beispiel sind Finanzunterlagen: Wenn Sie nach dem Steuerrecht verpflichtet sind, die Rechnung für einen Aufenthalt zehn Jahre lang aufzubewahren, dürfen Sie diese Rechnung nicht einfach löschen, nur weil der Gast dies verlangt, und Sie sollten ihm dies erklären. Die richtige Reaktion auf einen Löschantrag ist daher kein reflexartiges „Ja“ oder „Nein“, sondern darin, alles zu löschen, für dessen Aufbewahrung keine rechtmäßige Grundlage mehr besteht, nur die Daten aufzubewahren, zu deren Aufbewahrung Sie gesetzlich verpflichtet sind (und zwar nur für den vorgeschriebenen Zeitraum), dem Gast mitzuteilen, was Sie gelöscht und was Sie aufbewahrt haben und warum, und dies innerhalb eines Monats zu tun. Eine pauschale Aussage wie „Wir haben alles gelöscht“ kann ebenso vorschriftswidrig sein wie das Ignorieren des Antrags.
  • Müssen wir die Daten eines Gastes auch aus unseren Backups löschen?
    Das ist die Frage, an der die meisten Hotels scheitern, und die Haltung der Aufsichtsbehörden ist eher pragmatisch als absolut. Es wird erwartet, dass Sie die Daten umgehend aus Ihren laufenden, aktiven Systemen löschen und über einen festgelegten Prozess verfügen, damit die Daten im Rahmen des normalen Betriebsablaufs auch aus den Backups entfernt werden – in der Regel dann, wenn diese Backup-Dateien das Verfallsdatum erreichen und im Rahmen ihres Standardzyklus überschrieben werden. Es wird im Allgemeinen nicht erwartet, dass Sie jedes alte Sicherungsband aufreißen, um die Daten eines einzelnen Gastes noch am selben Tag gezielt zu entfernen. Sie müssen jedoch zwei Dinge tun: Sicherstellen, dass die Daten nach einer Löschung nicht aus einer Sicherung wieder in den Live-Betrieb zurückgespielt werden, und die Sicherungen nach einem sinnvollen, dokumentierten Rotationsplan verwalten, damit sie personenbezogene Daten nicht auf unbestimmte Zeit enthalten. Ein Backup, das Sie niemals überschreiben, stellt an sich schon ein Problem hinsichtlich der Speicherkapazität dar. Dokumentieren Sie Ihre Aufbewahrungsfristen für Backups und Ihren Prozess zum Ausschluss von Daten bei der Wiederherstellung, dann können Sie diesen Ansatz verteidigen; verlassen Sie sich hingegen auf Backups, die Sie für immer aufbewahren, dann können Sie dies nicht.
  • Wir nutzen Booking.com und einen Channel-Manager. Wer ist für das Löschen der Gästedaten zuständig?
    Jede Partei ist für die Daten in ihren eigenen Systemen verantwortlich, und es ist ein Irrtum anzunehmen, dass die Löschung durch die OTA auch Ihre Daten umfasst. Wenn ein Gast über eine OTA bucht, fungieren in der Regel sowohl die OTA als auch das Hotel als Verantwortliche für ihre jeweiligen Kopien der Daten. Die OTA verwaltet die Löschung innerhalb ihrer Plattform; Sie müssen dies innerhalb Ihrer eigenen Systeme tun – also im PMS, in Ihrem CRM, in Ihrem E-Mail-Tool, in Ihren Tabellenkalkulationen und bei allen Exporten. Der Channel-Manager fungiert in der Regel als Vermittler, der die Buchung an Ihr PMS weiterleitet; daher ist die dauerhafte Kopie, für die eine Aufbewahrungsrichtlinie erforderlich ist, diejenige, die in Ihren Systemen landet. In der Praxis bedeutet dies, dass Sie nicht einfach auf Booking.com verweisen und die Angelegenheit als erledigt betrachten können. Sie benötigen Ihren eigenen Aufbewahrungsplan und Ihren eigenen Löschprozess für jede Kopie von Gästedaten, die in Ihre Umgebung gelangt, unabhängig davon, über welchen Kanal sie eingetroffen ist. Das bedeutet auch, dass Sie Ihre Datenverarbeitungsbedingungen mit jeder Plattform abgleichen müssen, damit Sie wissen, wer für welche Daten der Verantwortliche und wer der Auftragsverarbeiter ist.
  • Ist es tatsächlich sicherer, die von uns gespeicherten Daten auf ein Minimum zu reduzieren, als sie für Marketingzwecke aufzubewahren?
    Fast immer, ja, und genau das ist die strategische Neuausrichtung, die sich lohnt. Jede zusätzliche Kategorie personenbezogener Daten, die Sie speichern, und jedes zusätzliche Jahr, in dem Sie diese speichern, bedeutet ein höheres Risiko bei einer Datenschutzverletzung, mehr Aufwand bei einem Antrag auf Auskunft oder Löschung und mehr Fragen seitens der Aufsichtsbehörde – und das alles im Gegenzug zu einer oft vagen Hoffnung auf zukünftigen Marketingwert. Datenminimierung – also nur das zu erheben, was man benötigt, und es planmäßig zu löschen – ist sowohl ein Grundsatz der DSGVO als auch schlichtweg gutes Risikomanagement. Die Daten, die ihren Nutzen rechtfertigen – das von einem Gast einwilligungsbasiert erstellte Marketingprofil, die von ihm aktiv genutzten Treuedaten, die gesetzlich vorgeschriebene Rechnung –, haben einen klaren Daseinsgrund. Die Daten, bei denen dies nicht der Fall ist – der Passscan, den man nie gelöscht hat, die seit einem Jahrzehnt inaktiven E-Mail-Adressen, die Kartennummern in einer alten Tabelle –, sind reine Haftungsrisiken. Die Unternehmen, die die DSGVO gut umsetzen, sind nicht diejenigen mit den größten Datenbanken; es sind diejenigen, die die wenigsten Daten für den kürzestmöglichen, vertretbaren Zeitraum aufbewahren und dies auch nachweisen können. Weniger Daten bedeuten weniger Risiko, und tokenisierte Zahlungen in Verbindung mit einem echten Aufbewahrungsplan bringen Sie diesem Ziel schon ein gutes Stück näher.
Weiterlesen

Prostay testen

Betreiben Sie Ihr Hotel auf der Plattform, über die wir schreiben.

Bringen Sie Ihre Daten und Ihre Arbeitsabläufe mit. Wir zeigen Ihnen eine vergleichbare Prostay-Einrichtung auf Basis Ihrer letzten 30 Tage.

Demo anfordernPMS entdecken

Über diesen Beitrag

Kategorie: Hotel Technology & Innovation. Veröffentlicht am 21. Juni 2026 von Mika Takahashi.