Quandoo schließt am 30.09.2026. Wechsel in 48 Stunden
Hey-Gastroline
Jetzt Zugang sichern
Compliance · DSGVO 2026

DSGVO-konformes Reservieren: Was Restaurants 2026 wirklich beachten müssen

Server in Deutschland reicht nicht. Was DSGVO bei Reservierungen wirklich bedeutet — Consent, Auftragsverarbeitung, EU AI Act, Drittland-Risiko bei US-Plattformen, und welche Fragen ihr eurem Anbieter stellen solltet.

Hey-Gastroline-Team 17. Mai 2026 11 Min Lesezeit
#DSGVO#Datenschutz#Compliance#EU AI Act#Reservierungssystem#AVV

Die DSGVO ist 2026 acht Jahre alt — aber gerade in der Gastronomie wird sie immer noch oft als Checkliste behandelt: „Server in Deutschland? Haken. AVV unterschrieben? Haken.” Tatsächlich ist DSGVO ein laufender Prozess, kein Setup-Schritt. Und mit dem EU AI Act, der ab August 2026 verbindlich greift, kommen neue Anforderungen dazu — gerade für Restaurants, die KI-Telefonassistenten oder KI-Menü-Concierges einsetzen.

Dieser Artikel sammelt, was Restaurants 2026 wirklich beachten müssen, und welche Fragen ihr eurem Reservierungs-Anbieter konkret stellen solltet, bevor ihr unterschreibt.

Die DSGVO-Mindeststandards für Reservierungs-Daten

Reservierungen enthalten personenbezogene Daten: Name, Telefonnummer, oft E-Mail, manchmal Geburtsdatum (bei Anlass-Buchungen) oder gesundheitliche Hinweise (Allergien). Alle diese Daten unterliegen der DSGVO. Konkret bedeutet das:

1. Rechtsgrundlage für die Verarbeitung

Eure Rechtsgrundlage ist meistens Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Die Reservierung ist der Vertrag, die Daten brauchen wir, um den Vertrag zu erfüllen. So weit, so klar.

Aber Vorsicht: für alles, was über die reine Reservierung hinausgeht, braucht ihr Consent (Art. 6 Abs. 1 lit. a):

  • Marketing-Newsletter
  • SMS-Erinnerungen (das ist Marketing, kein Vertrags-Pflichtteil)
  • Bewertungsanfragen nach dem Besuch
  • Geburtstagsangebote
  • Stammkunden-Profil-Aufbau über mehrere Buchungen hinweg

Wer das Consent nicht pro Gast dokumentiert, kann mit Bußgeldern bis zu 4 % des Jahresumsatzes rechnen.

2. Auftragsverarbeitungsvertrag (AVV)

Wenn ihr ein Reservierungs-System nutzt, das auf einem fremden Server läuft (also faktisch alle SaaS-Tools), seid ihr der Verantwortliche und der Anbieter ist der Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das braucht einen schriftlichen AVV.

Gute Anbieter liefern den AVV standardmäßig mit, ohne dass ihr ihn separat anfordern müsst. Manche verstecken ihn aber im Kleingedruckten oder verlangen Aufpreis dafür. Frage an euren Anbieter: „Ist der AVV automatisch Teil unseres Vertrags? Wo finde ich ihn?“

3. Datenexport jederzeit (Art. 20)

Eure Gäste haben jederzeit das Recht, ihre Daten zu erhalten — und zwar in einem „strukturierten, gängigen und maschinenlesbaren Format”. Das gleiche Recht habt ihr gegenüber eurem Anbieter: alle eure Daten als Export jederzeit.

Wenn euer aktueller Anbieter das schwierig macht oder Gebühren verlangt, ist das ein Red Flag. Bei Hey-Gastroline ist der CSV-Export jederzeit gratis möglich, ohne Setup-Aufwand.

4. Löschpflichten

Wenn ein Gast die Löschung seiner Daten beantragt, müsst ihr innerhalb von einem Monat reagieren (Art. 17). Das ist nicht trivial — viele Reservierungs-Systeme machen das in der Praxis schlecht. Frage an euren Anbieter: „Wie lange dauert eine Löschanfrage in der Praxis? Bleibt etwas in Backups erhalten?”

Server-Standort ist nicht alles — Drittland-Transfer

Server in Deutschland (oder allgemein in der EU) ist Pflicht-Mindeststandard. Aber Vorsicht: auch wenn die Daten in Frankfurt liegen, kann es einen Drittland-Transfer geben, wenn der Anbieter mit US-Tochterunternehmen arbeitet, US-Cloud-Provider nutzt oder Datenanalyse-Tools von US-Firmen einsetzt.

Konkrete Risiko-Stellen:

  • AWS, Google Cloud, Microsoft Azure mit EU-Regionen — technisch in der EU, aber US-Mutterkonzern hat unter dem CLOUD Act Zugriff. Schrems-II-konform nur mit zusätzlichen TOMs (technische und organisatorische Maßnahmen).
  • Tracking-Tools wie Google Analytics, Hotjar, Facebook Pixel — diese senden Daten in die USA. Nach Schrems-II-Urteil problematisch.
  • Marketing-Automation-Tools wie HubSpot, Mailchimp, Klaviyo — alle USA-basiert.

Wer DSGVO ernst meint, nutzt Hetzner, IONOS, Open Telekom Cloud (alle DACH), Plausible (EU-Analytics), Cyon, Brevo (EU-Marketing). Frage an euren Anbieter: „Welche Subdienstleister nutzt ihr für Hosting, Analytics, Marketing?”

EU AI Act ab August 2026 — Transparenz-Pflichten

Mit dem EU AI Act gelten ab August 2026 verbindliche Transparenz-Pflichten für KI-Systeme, die mit Menschen interagieren. Für Restaurants relevant:

Art. 50 — Information an Nutzer

Wer einen KI-Telefonassistenten einsetzt, muss Anrufer darüber informieren, dass sie mit einer KI sprechen. Das muss „rechtzeitig und in klarer Weise” geschehen — in der Praxis: spätestens im zweiten Konversations-Turn der KI, ungefähr so:

„Hier ist die KI-Assistentin von Restaurant Bella Vita. Wie kann ich Ihnen helfen?”

Wer das nicht macht, riskiert Bußgelder. Gute KI-Telefonassistent-Anbieter machen das automatisch und konfigurieren das Wording rechtssicher.

Art. 52 — Kennzeichnung von KI-Inhalten

Wenn die KI Texte generiert, die als KI-Inhalt erkennbar sein müssen (z.B. KI-Menü-Concierge-Empfehlungen, KI-Bewertungs-Antworten), müssen diese gekennzeichnet werden. Üblicherweise mit einem dezenten „KI-Empfehlung”-Label.

Risiko-Klassifizierung

KI-Systeme, die in Bereichen mit „hoher Auswirkung auf Personen” eingesetzt werden, gelten als Hochrisiko-Systeme und unterliegen strengeren Auflagen. Reservierungs-KI fällt in der Regel nicht in diese Kategorie. Aber: Wenn ihr KI für Risk-Scoring nutzt (z.B. No-Show-Wahrscheinlichkeit) und davon automatisierte Einzelentscheidungen mit erheblicher Wirkung ableitet (z.B. Buchung automatisch ablehnen), kommt Art. 22 DSGVO ins Spiel — und der Gast hat ein Recht auf menschliche Überprüfung.

SMS-Erinnerungen und das TKG

Reine Reservierungs-Erinnerungen (z.B. „Eure Reservierung morgen 20:00 — bitte bestätigen oder absagen”) sind in der Regel kein Marketing und benötigen keinen separaten Consent. Aber: in dem Moment, wo die SMS Werbung enthält („übrigens, am 14. Mai ist Weintage-Special”), wird sie zur Werbe-SMS und benötigt explizites Opt-in nach § 7 UWG und § 15 TMG.

Praktische Konsequenz: trennt eure SMS-Templates klar. Eine reine Erinnerung darf keine Werbe-Botschaft enthalten. Eine Werbe-SMS geht nur an Gäste mit Opt-in.

DSGVO-Selbstcheck für Restaurants

Drei Minuten, sechs Fragen — wenn ihr alle mit „ja” beantwortet, seid ihr in einer guten Position:

  1. ☐ Habt ihr einen schriftlichen AVV mit eurem Reservierungs-Anbieter?
  2. ☐ Liegen alle eure Gäste-Daten auf EU-Servern (idealerweise Deutschland)?
  3. ☐ Habt ihr eine aktuelle Datenschutz-Erklärung auf eurer Webseite, die das Reservierungs-System namentlich nennt?
  4. ☐ Wird das SMS-/E-Mail-Opt-in pro Gast dokumentiert?
  5. ☐ Kann eure Gäste-Datenbank jederzeit als CSV exportiert werden?
  6. ☐ Falls ihr KI nutzt: weist ihr Gäste rechtzeitig darauf hin (AI Act Art. 50)?

Wer drei „nein” oder mehr hat, sollte den Anbieter wechseln oder zumindest sehr kritisch nachfragen.

Was passiert, wenn ihr eine DSGVO-Anfrage bekommt?

Ein Gast schreibt euch: „Bitte löschen Sie alle meine Daten.” Was tun?

  1. Frist beachten: ein Monat ab Eingang
  2. Identität prüfen: der Anfragende muss nachweisen, dass er der Datenträger ist
  3. Löschung auslösen: im eigenen System UND beim Reservierungs-Anbieter (falls dort separate Daten liegen)
  4. Bestätigung schicken: dem Gast schriftlich mitteilen, was gelöscht wurde
  5. Backups: rechtlich umstritten, ob Backups mitgelöscht werden müssen. Saubere Lösung: in den Backups die Daten anonymisieren, sobald die Backup-Retention abläuft.

Gute Reservierungs-Anbieter haben dafür einen Self-Service-Workflow im Restaurant-Dashboard: ein Klick, alle Daten weg, Bestätigung automatisch generiert. Bei Hey-Gastroline ist das Teil des Audit-Logs.

Quandoo-Wechsler: DSGVO bei der Migration

Wer aktuell von Quandoo zu einem neuen Anbieter wechselt, sollte beim Daten-Export gleich DSGVO-konform vorgehen:

  • Exportiert eure eigenen Restaurant-Daten (Gäste-Stammdaten, Buchungshistorie)
  • Importiert sie zum neuen Anbieter mit dem gleichen Consent-Status wie zuvor — wer bei Quandoo kein SMS-Opt-in hatte, hat es auch nach der Migration nicht
  • Erstellt eine neue Datenschutz-Erklärung mit dem neuen Anbieter als Auftragsverarbeiter
  • Informiert eure Gäste über den Wechsel — keine Pflicht, aber gute Praxis

Die Migration in 48 Stunden zu Hey-Gastroline ist DSGVO-mäßig komplett begleitet — wir liefern AVV, Datenschutz-Mustertexte und einen Lösch-Workflow für die ersten 30 Tage standardmäßig mit.

Häufige Fragen

Brauchen wir einen Datenschutzbeauftragten?

Verpflichtend ist ein Datenschutzbeauftragter erst bei mehr als 20 Personen, die regelmäßig personenbezogene Daten verarbeiten — also für die meisten Restaurants nicht. Trotzdem ist es ratsam, eine Person im Team als DSGVO-Ansprechpartner zu benennen.

Was kostet ein DSGVO-Verstoß typischerweise?

Theoretisch bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (was höher ist). Praktisch sehen wir bei Restaurant-Bußgeldern in DACH eher zwischen 1.000 € und 30.000 € — je nach Schwere und Vorgeschichte. Aber: auch der Reputations-Schaden bei Bekanntwerden ist erheblich.

Können wir Gäste-Daten für Newsletter nutzen, ohne separates Opt-in?

Nein. Reservierungs-Daten und Marketing-Daten sind rechtlich getrennt. Wer das mischt, riskiert Abmahnungen. Saubere Lösung: bei der Buchung über das Widget ein optionales Checkbox-Feld „Ich möchte gelegentlich Restaurant-News per E-Mail erhalten” — explizit, freiwillig, nicht vorausgeklickt.

Ist OpenTable DSGVO-konform?

OpenTable ist ein US-Unternehmen und transferiert Daten in die USA. Schrems-II-konform nur mit zusätzlichen Maßnahmen, die der Anbieter nachweisen muss. Aktuell ist OpenTables DSGVO-Stand in DACH umstritten — einige Datenschutzbehörden haben kritische Stellungnahmen veröffentlicht. Wer auf der sicheren Seite sein will, wählt einen DACH-Anbieter ohne Drittland-Transfer.

Was, wenn unser Anbieter pleite geht oder verkauft wird?

Quandoo ist ein aktuelles Beispiel: die Plattform wird abgeschaltet. Eure Gäste-Daten müssen ihr habt rechtzeitig in eurer Hand. Saubere AVVs enthalten Klauseln für genau diesen Fall — Datenexport innerhalb von 30 Tagen, Löschung beim Anbieter danach. Wer das nicht im Vertrag hat, sollte nachverhandeln.

Fazit

DSGVO 2026 ist mehr als „Server in Deutschland”. Es ist ein zusammenhängendes System aus AVV, Consent-Dokumentation, Drittland-Risiko-Vermeidung, KI-Transparenz und Lösch-Workflows. Ein guter Reservierungs-Anbieter macht das meiste davon automatisch — ihr müsst nur die richtigen Fragen stellen, bevor ihr unterschreibt.

→ Hey-Gastroline ist DSGVO-konform aufgebaut — AVV standardmäßig im Vertrag, EU-Hosting, AI-Act-Kompatibilität

Stand: 17.05.2026. Quellen: DSGVO (EU 2016/679), EU AI Act (Verordnung 2024/1689, Inkrafttreten der Transparenz-Pflichten August 2026), BfDI-Hinweise zu Schrems II, § 7 UWG, § 15 TMG. Dieser Artikel ist keine Rechtsberatung — für eine verbindliche Einschätzung im Einzelfall konsultiert einen Anwalt für IT-Recht.

Verwandte Artikel

Tech

KI-Telefonassistent im Restaurant: Pro, Contra und worauf es 2026 wirklich ankommt

Ein KI-Telefonassistent nimmt Anrufe in unter zwei Sekunden an, kennt euer Restaurant und trägt Buchungen ins Dashboard ein. Aber lohnt sich das? Was ihr gewinnt, was ihr verliert und welche Implementierungen wirklich funktionieren.

Artikel lesen → Meinung

Plattform-Müdigkeit: Warum DACH-Restaurants 2026 zurück auf eigene Kanäle wechseln

Quandoo schließt, Plattformkosten bleiben schwer planbar, TheFork bekommt mit American Express einen neuen Eigentümer. 2026 ist das Jahr, in dem Restaurants die Plattform-Abhängigkeit neu bewerten — und was an ihre Stelle tritt.

Artikel lesen →

Hey-Gastroline in 20 Minuten kennenlernen.

Demo mit euren echten Buchungszahlen. Kein Vertrag, keine Kreditkarte.

Jetzt ausprobieren Mehr Blog-Artikel →