DSGVO-Konformität (Reservierungssysteme)

Definition

DSGVO-Konformität beschreibt die Einhaltung aller Anforderungen der EU-Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten. Im Kontext von Reservierungssystemen bedeutet das: Gäste-Daten (Name, Telefon, E-Mail, Sonderwünsche, Buchungs-Historie) dürfen nur unter klar definierten Rechtsgrundlagen verarbeitet werden — und der Anbieter muss bestimmte technische und organisatorische Maßnahmen vorhalten.

Zentrale Anforderungen für Restaurants

Als Restaurant seid ihr Verantwortlicher im DSGVO-Sinn (Art. 4 Abs. 7). Der Reservierungs-Software-Anbieter ist Auftragsverarbeiter (Art. 28). Das heißt:

1. AV-Vertrag mit dem Anbieter muss vor Live-Schaltung unterschrieben sein
2. Rechtsgrundlage für die Buchungs-Daten ist meistens Art. 6 lit. b (Vertragsanbahnung — die Reservierung) — kein expliziter Consent nötig
3. Marketing-Daten (Newsletter, Geburtstags-Mails) brauchen separat Art. 6 lit. a (Einwilligung)
4. Datenschutz-Erklärung auf eurer Webseite muss den Anbieter und die Verarbeitung benennen
5. Verzeichnis der Verarbeitungstätigkeiten (Art. 30) muss bei euch dokumentiert sein
6. Datenübertragbarkeit (Art. 20): Gäste haben Recht auf CSV-Export ihrer Daten

Risiko-Punkte bei US-Anbietern (Schrems-II)

Seit dem Schrems-II-Urteil 2020 ist der Datentransfer in die USA nur erlaubt mit:

• Standardvertragsklauseln (SCC) zwischen euch und dem Anbieter
• Zusätzlichen technischen Maßnahmen (Verschlüsselung, dass der US-Anbieter selbst nicht auf Klartext zugreifen kann)
• Einer Transfer Impact Assessment (TIA) — Risikobewertung

In der Praxis erfüllen die wenigsten US-Restaurant-Anbieter alle drei Punkte vollständig. Bei einer DSGVO-Prüfung haftet ihr als Verantwortlicher, nicht der US-Anbieter. Beispiele potenziell relevanter US-Anbieter im Restaurant-Bereich:

• OpenTable: Booking Holdings (USA-Mutter), Server-Mix EU + USA
• TheFork: europäische Plattform; 2026 wurde eine Übernahme durch American Express angekündigt

EU-Hosting allein reicht nicht: wenn der US-Mutterkonzern theoretischen Zugriff auf die Daten hat (z.B. via Support-Tools, US-Cloud-Backups), ist das DSGVO-rechtlich kritisch — auch wenn der primäre Server in Frankfurt steht. Eine Antwort darauf sind EU-only-Verträge mit dokumentiertem Sub-Auftragsverarbeiter-Verbot in die USA.

DACH-/EU-Hosting-Anbieter

Anbieter, die rein EU/DACH gehostet sind und keinen US-Mutterkonzern haben, machen die DSGVO-Compliance strukturell einfacher:

• Hey-Gastroline — IONOS Deutschland, deutsche Trägergesellschaft (Hey Listen Technologies UG)
• aleno — Schweizer Anbieter, FADP-/DSGVO-Setup
• Gastronaut — Berliner Anbieter, DE-Hosting
• Resmio — DE-Hosting
• Zenchef — EU-Hosting (Frankreich)
• DISH — METRO/HD, DE-Hosting

DSGVO-Aspekte bei KI-Telefonassistenten

Sprach-Aufnahmen sind personenbezogen und brauchen besondere Sorgfalt — Details siehe KI-Telefonassistent-Eintrag.

Im Kern: transparenter Hinweis am Anrufstart, Minimal-Speicherung (Transcript ja, Audio nur kurz), EU-LLM-Konfiguration für Audio-Verarbeitung — und alles im AV-Vertrag dokumentiert.

Praktische DSGVO-Checkliste für Reservierungs-Anbieter

Wenn ihr einen neuen Anbieter prüft, fragt schriftlich:

• Wo stehen die Server (Stadt, Land, Provider)?
• Gibt es eine US-Mutter oder US-Sub-Auftragsverarbeiter?
• AV-Vertrag liegt vor (Mustertext anfordern)?
• CSV-Export-Recht nach Art. 20 ist technisch umgesetzt?
• Sub-Auftragsverarbeiter-Liste ist transparent?
• Bei KI-Telefon: Audio-Verarbeitung wo und wie lange?
• Bei Marktplatz-Modell: wer ist Verantwortlicher, wer Auftragsverarbeiter?

Anbieter, die hier Sales-Floskeln liefern statt klare Antworten, sind ein rotes Flag.