GastroInsider
Kosten & Gewinn

Datenschutz Gastronomie: DSGVO-Guide für Restaurants 2026

Eine meiner Klientinnen saß im April 2020 in einem geschlossenen Restaurant.

Michael Krause
Michael Krause
17. Juni 202325 Min. Lesezeit
Datenschutz Gastronomie: DSGVO-Guide für Restaurants 2026

Eine meiner Klientinnen saß im April 2020 in einem geschlossenen Restaurant.

Kein Gast. Kein Umsatz. Vollständige Ungewissheit.

Sie hatte 1.700 Gäste in ihrer Datenbank — mit echter Einwilligung, konsequent aufgebaut über drei Jahre. Sie schrieb ihnen eine E-Mail. Und verkaufte in wenigen Tagen Gutscheine im Wert von 17.500€. Bei geschlossenem Restaurant. Nur aus ihrer Liste.

Gleichzeitig kenne ich Gastronomen mit genauso vielen Adressen — gesammelt aus Reservierungszetteln, Excel-Listen, irgendwie. Die durften ihre eigene Liste nicht anschreiben. Weil keine dokumentierte Einwilligung vorlag.

Der Unterschied war nicht die Zahl der Adressen. Der Unterschied war der richtige Umgang mit Datenschutz in der Gastronomie — konkret: DSGVO.

Und genau darum geht es in diesem Artikel. Nicht um Juristendeutsch. Nicht um Panikmache. Sondern darum, wie du als Gastronom deine Gästedaten so aufbaust, dass sie ein echtes Marketing-Asset werden — rechtssicher, wachsend und jederzeit einsetzbar.

Ein einziger Datenpunkt — das Geburtsdatum — erzeugt bei meinen Coaching-Klienten 25.000-35.000€ verlässlichen Monatsumsatz. Aber nur wenn er DSGVO-konform gespeichert ist.

Was du in diesem Artikel lernst:

  • Warum die DSGVO auch für das kleinste Restaurant gilt — und was die Bußgelder wirklich kosten
  • An welchen 14 Stellen du im Betrieb personenbezogene Daten verarbeitest (die meisten kennen nur 3-4)
  • Wie du eine rechtssichere Gästedatenbank aufbaust, die du für Newsletter, Geburtstagskampagnen und Reaktivierungen nutzen darfst
  • Was bei Allergiedaten, WLAN, Videoüberwachung und Social Media gilt
  • Warum DSGVO kein Hindernis ist — sondern die Grundlage für dein wertvollstes Marketing-Asset
Was Warum das wichtig ist
DSGVO gilt für jedes Restaurant — keine Größenschwelle Schon 5 Tische reichen für die volle Pflicht
Reservierungsdaten ≠ Marketingdaten Die meisten Gastronomen nutzen Reservierungsdaten illegal für Newsletter
Nur 24% der Unternehmen sind vollständig DSGVO-konform In der Gastronomie liegt die Quote vermutlich noch darunter
E-Mail-Marketing bringt 42€ pro 1€ Investment Aber nur wenn die Liste rechtssicher aufgebaut ist
62% der Verbraucher vertrauen Unternehmen mit gutem Datenschutz mehr Datenschutz ist kein Kostenfaktor — er ist ein Vertrauenssignal
Eine Klientin verkaufte 17.500€ Gutscheine aus ihrer legalen Liste Bei geschlossenem Restaurant — nur möglich mit dokumentierter Einwilligung

Warum die DSGVO dein Restaurant betrifft — auch wenn du nur 5 Tische hast

Die Datenschutz-Grundverordnung kennt keine Größenschwelle.

Kein Freibetrag. Keine Ausnahme für kleine Betriebe. Sobald du den Namen eines Gastes für eine Reservierung notierst, verarbeitest du personenbezogene Daten. Und ab diesem Moment gelten die Regeln.

Wie teuer kann das werden? Das Maximum klingt dramatisch: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. In Europa wurden seit 2018 Bußgelder von insgesamt 5,88 Milliarden Euro verhängt (CMS Enforcement Tracker, Stand März 2025). 266 Bußgeldbescheide allein 2024 in Deutschland.

Aber was kostet ein DSGVO-Verstoß in der Praxis für ein Restaurant?

Verstoß Typisches Bußgeld
Videoüberwachung ohne Hinweisschild 1.500–5.000€
Newsletter-Versand ohne Einwilligung 2.000–10.000€
Fehlende Datenschutzerklärung auf der Website 500–5.000€
Fehlender Auftragsverarbeitungsvertrag (AVV) 5.000–15.000€
Personalausweiskopie von Mitarbeitern 1.000–3.000€

Quellen: dsgvo-portal.de Bußgeld-Datenbank, ascon-datenschutz.de

Das ist kein Weltuntergang. Aber es ist auch kein Taschengeld.

Ich sage dir das nicht, um dir Angst zu machen. Ich sage es, weil ich in 23 Jahren mit hunderten Gastronomen erlebt habe, was passiert, wenn man dieses Thema ignoriert: Man baut eine Datenbank auf, die man nicht nutzen darf. Man sammelt Adressen, die rechtlich wertlos sind. Man verpasst den Kanal, der 42€ pro investiertem Euro bringt — weil die Basis nicht stimmt.

Die gute Nachricht: 96% der Unternehmen, die ihren Datenschutz einmal richtig aufgesetzt haben, sagen rückblickend, dass sich die Investition gelohnt hat (Cisco Privacy Benchmark Study 2025). Nicht weil sie Bußgelder vermieden haben. Sondern weil sie ein Asset aufgebaut haben, das ihnen niemand mehr nehmen kann.

Einmal richtig aufsetzen. Dauerhaft sicher sein. Das ist das Ziel dieses Artikels — der umfassendste Praxis-Guide zum Thema Datenschutz Gastronomie, den du online findest.

14 Situationen, in denen du im Restaurant Daten verarbeitest

Die meisten Gastronomen denken bei Datenschutz an zwei Dinge: Reservierungen und Newsletter.

In Wirklichkeit verarbeitest du an mindestens 14 Stellen personenbezogene Daten — oft ohne es zu wissen.

  1. Tischreservierungen — Name, Telefonnummer, E-Mail, Personenzahl, Sonderwünsche. Der Klassiker. Rechtsgrundlage: Vertragserfüllung. Häufigster Fehler: Diese Daten danach für den Newsletter nutzen — ohne separate Einwilligung.

  2. Newsletter und Marketinglisten — Name, E-Mail, Geburtsdatum. Rechtsgrundlage: Einwilligung. Häufigster Fehler: Kein Double Opt-In.

  3. Online-Reservierungssysteme (OpenTable, TheFork, resmio) — Der Anbieter verarbeitet Daten in deinem Auftrag. Du brauchst einen Auftragsverarbeitungsvertrag (AVV). Häufigster Fehler: Keinen AVV abgeschlossen.

  4. Bargeldlose Zahlung und Kassensystem — Zahlungsdaten, Kaufverhalten, Rechnungsdaten. Rechtsgrundlage: Vertragserfüllung + steuerliche Aufbewahrung.

  5. Cloud-POS-Systeme (orderbird, Lightspeed, SumUp) — Daten liegen auf externen Servern. AVV ist Pflicht. Häufigster Fehler: Cloud-Kassensystem ohne AVV betreiben.

  6. Gäste-WLAN — IP-Adressen, Verbindungsdaten, ggf. E-Mail-Adresse bei Captive Portal. Häufigster Fehler: WLAN-Passwort aushängen ohne Datenschutzhinweis.

  7. Videoüberwachung — Bildaufnahmen von Gästen und Mitarbeitern. Rechtsgrundlage: berechtigtes Interesse. Häufigster Fehler: Kein Hinweisschild — oder Kamera auf den Gehweg gerichtet.

  8. Mitarbeiterdaten — Bewerbungen, Lohnbuchhaltung, Arbeitszeiterfassung, Dienstplanung. Rechtsgrundlage: Arbeitsvertrag + gesetzliche Pflichten. Häufigster Fehler: Bewerbungsunterlagen jahrelang aufheben.

  9. Allergien und Unverträglichkeiten — Das sind Gesundheitsdaten nach Art. 9 DSGVO. Höchstes Schutzniveau. Häufigster Fehler: Dauerhaft in der Gästedatei speichern ohne ausdrückliche Einwilligung.

  10. Social Media — Fotos und Videos von Gästen und Mitarbeitern auf Instagram, Facebook, TikTok. Meta Pixel auf der Website. Häufigster Fehler: Mitarbeiterfotos ohne schriftliche Einwilligung posten.

  11. Feedback-Systeme und Google-Bewertungen — Gästedaten bei Feedbackbögen, Mitarbeiternamen in öffentlichen Reviews. Häufigster Fehler: Feedbackbogen ohne Datenschutzhinweis.

  12. Lieferdienst-Plattformen (Lieferando, Uber Eats, Wolt) — Kundendaten werden über die Plattform weitergegeben. AVV nötig. Und: Die Kundendaten gehören der Plattform, nicht dir.

  13. Treueprogramme und digitale Stempelkarten — Kaufverhalten, Besuchshäufigkeit = Profiling. Rechtsgrundlage: Einwilligung. Häufigster Fehler: Profiling ohne explizite Zustimmung.

  14. Online-Bestellsystem und eigene Website — Cookie-Consent, Kontaktformular, Zahlungsdaten. Und hier steckt ein legaler Marketing-Hebel, den 90% der Gastronomen nicht kennen: die Bestandskunden-Ausnahme nach §7 Abs. 3 UWG. Dazu gleich mehr.

Wie viele dieser 14 Punkte sind bei dir gerade nicht abgesichert?

Geh diese Liste einmal durch. Markiere die Stellen, an denen du heute keine dokumentierte Einwilligung oder keine klare Rechtsgrundlage hast. Das ist dein Startpunkt.

Die rechtssichere Gästedatenbank aufbauen — dein wichtigstes Marketing-Asset

Das ist der Abschnitt, den du auf keiner anderen Seite im Internet findest. Datenschutz-Berater erklären dir die Paragraphen. Software-Anbieter verkaufen dir ihr Tool. Aber niemand zeigt dir, wie du Datenschutz und Marketing zusammenbringst.

Ich mache das seit 23 Jahren. Und ich sage dir: Die Gästedatenbank ist das größte Asset eines Restaurants. Größer als die Speisekarte. Größer als der Standort. Größer als die Einrichtung.

Aber nur, wenn sie zwei Bedingungen erfüllt: Sie muss wachsen. Und sie muss legal sein.

Der Unterschied, den fast kein Gastronom versteht

Reservierungsdaten Marketingdaten
Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1b DSGVO) Einwilligung (Art. 6 Abs. 1a DSGVO)
Zweck Tischreservierung durchführen Newsletter, Geburtstagskampagne, Reaktivierung
Löschfrist Nach dem Besuch (wenn kein weiterer Zweck) Bis Widerruf der Einwilligung
Für Marketing nutzbar? NEIN — nicht ohne separate Einwilligung JA — genau dafür ist sie da
Beispiel Name + Telefon für Freitagabend 19 Uhr E-Mail + Geburtsdatum für Newsletter

Das ist der Punkt, an dem die meisten Gastronomen einen teuren Fehler machen.

Sie sammeln über Jahre Reservierungsdaten — Name, Telefon, E-Mail, manchmal Geburtsdatum. Und irgendwann denken sie: "Ich habe 2.000 Gäste in meiner Datenbank. Die schreibe ich jetzt alle an."

Das darfst du nicht. Nicht ohne separate, dokumentierte Einwilligung für Marketingzwecke.

Überrascht? Die meisten sind es.

5 legale Wege, Einwilligungen zu sammeln

Jetzt die gute Nachricht. Es gibt mindestens 5 Wege, mit denen du im Tagesgeschäft DSGVO-konforme Einwilligungen sammelst — ohne deine Gäste zu nerven.

Weg 1 — Online-Reservierung:
Ein separates, nicht vorausgefülltes Kästchen unter dem Reservierungsformular: "Ja, ich möchte den Newsletter mit exklusiven Angeboten und Veranstaltungen erhalten." Das EuGH-Urteil "Planet49" (2019) hat klargestellt: Vorausgefüllte Häkchen sind keine gültige Einwilligung.

Weg 2 — Tablet oder Pad am Tresen:
Digitales Formular, das der Gast selbst ausfüllt. Vor Ort, direkt nach dem Essen — wenn die Zufriedenheit am höchsten ist. Ich kenne Gastronomen, die so in einem Monat 150-180 neue Newsletter-Kontakte aufbauen.

Weg 3 — Telefonische Reservierung:
Mündliche Einwilligung + dokumentieren. Klingt kompliziert, ist es nicht: "Darf ich Ihnen gelegentlich unsere Aktionen per E-Mail schicken?" — Datum, Name und "Ja" notieren. Das reicht als Dokumentation.

Weg 4 — QR-Code auf Tisch, Rechnung oder Speisekarte:
Direkter Link zum Double-Opt-In-Formular. Einfach, elegant, kostet nichts. Der Gast scannt, trägt sich ein, bekommt die Bestätigungsmail.

Weg 5 — Captive Portal beim Gäste-WLAN:
Wenn du WLAN anbietest, brauchst du ohnehin ein Login-Portal mit Datenschutzhinweis. Dort ein separates Newsletter-Opt-in integrieren — und du sammelst Einwilligungen, während deine Gäste das WLAN nutzen.

Es gibt drei spezifische Stellschrauben — an Timing, Formulierung und einem Element, das die meisten weglassen — die die Opt-in-Rate auf 60-70% bringen. Diese Formulierung behandle ich regelmäßig im Newsletter — weil sie ohne den richtigen Kontext tatsächlich kontraproduktiv wirken kann.

Die Bestandskunden-Ausnahme — der legale Hebel, den 90% nicht kennen

Wenn ein Gast bei dir online bestellt hat — Lieferservice, Gutschein-Kauf, Catering-Bestellung — dann greift §7 Abs. 3 UWG: Du darfst ihm E-Mails für ähnliche Angebote schicken. Ohne separate Newsletter-Einwilligung.

Vier Voraussetzungen müssen erfüllt sein:
1. Du hast die E-Mail-Adresse im Rahmen einer Transaktion erhalten
2. Du wirbst für eigene ähnliche Produkte oder Dienstleistungen
3. Jede E-Mail enthält eine Abmeldemöglichkeit
4. Der Kunde hat nicht widersprochen

Für Gastronomen mit eigenem Online-Bestellsystem ist das ein enormer Hebel. Und fast niemand nutzt ihn.

Was meine Klientin anders gemacht hat

Eine meiner Klientinnen hat ihre Datenbank über drei Jahre konsequent aufgebaut. 1.700 Gäste, rund 75% mit E-Mail-Adresse. Jeder einzelne hatte aktiv eingewilligt — entweder am Tablet im Restaurant, über das Online-Reservierungsformular oder telefonisch mit Dokumentation.

Als der Lockdown kam, hatte sie etwas, das die meisten nicht hatten: ein rechtssicheres Marketing-Asset.

Sie schrieb eine E-Mail. 17.500€ Gutscheinverkauf in wenigen Tagen. Bei geschlossenem Restaurant. Nur aus ihrer Liste.

Das war kein Glück. Das war ein System.

Du willst die fertige Einwilligungs-Vorlage — Mustertext für Online-Reservierung, Tablet, Telefon und QR-Code? Die bekommst du als kostenlosen Download im Newsletter. Oder du schreibst sie selbst — die Grundlage dafür hast du jetzt.

Was du jetzt tun kannst: Richte noch diese Woche ein separates Newsletter-Opt-in bei deiner Online-Reservierung ein. Das dauert 20 Minuten — und ist der erste Schritt zu einer Gästedatenbank, die dir gehört.

Newsletter und Geburtstagskampagnen — was du darfst und was nicht

Restaurant-Newsletter haben die höchste Öffnungsrate aller Branchen: 43,6% (Inxmail Benchmark 2025). Der Branchendurchschnitt liegt bei 24,4%. Und die Abmelderate? 0,19%.

Deine Gäste wollen von dir hören. Die Frage ist nur: Darfst du ihnen schreiben?

Die 5 häufigsten Fehler

Fehler 1: Reservierungsdaten als Marketingliste verwenden. Die E-Mail-Adresse, die jemand für eine Tischreservierung angegeben hat, ist keine Newsletter-Einwilligung. Zwei verschiedene Zwecke. Zwei verschiedene Rechtsgrundlagen.

Fehler 2: Listen kaufen oder "übernehmen". Gekaufte Adresslisten sind in Deutschland praktisch nie DSGVO-konform nutzbar. Finger weg.

Fehler 3: Vorausgefüllte Opt-in-Häkchen. Seit dem Planet49-Urteil des EuGH (2019) eindeutig: Vorausgefüllte Kästchen sind keine gültige Einwilligung. Das Häkchen muss leer sein.

Fehler 4: Kein Double Opt-In. In Deutschland ist Double Opt-In der gerichtlich bestätigte Standard. Ohne Bestätigungsmail riskierst du Abmahnungen.

Fehler 5: Kein Abmelde-Link in der E-Mail. Jede Marketing-E-Mail muss einen funktionierenden Abmelde-Link enthalten. Ohne Ausnahme.

Die Geburtstagsmaschine — und warum ein Datenpunkt 25.000-35.000€ wert ist

Meine Coaching-Klienten, die die Geburtstagsmaschine konsequent betreiben, halten 80-100 Feiern pro Monat. Das sind 25.000-35.000€ verlässlicher Monatsumsatz — allein durch diesen einen Kanal.

Jede einzelne dieser Feiern basiert auf einem Datenpunkt: dem Geburtsdatum.

Und dieses Geburtsdatum ist ein personenbezogenes Datum, das nur mit separater, expliziter Einwilligung für Marketingzwecke gespeichert werden darf. Nicht als Teil der Reservierung. Nicht als "nettes Feld im Formular". Sondern als bewusste, dokumentierte Zustimmung: "Ja, ich möchte an meinem Geburtstag eine persönliche Einladung erhalten."

Kurze Rechnung: 42€ Umsatz pro 1€ E-Mail-Marketing-Investment (Inxmail 2025). Automatisierte Geburtstags-E-Mails generieren 2,87€ pro versendeter Mail — reguläre Newsletter nur 0,18€. Das ist 16× effektiver (MailerLite 2025).

Aber nur wenn die Liste sauber ist.

Das Briefmarketing-Schlupfloch

Wusstest du, dass postalische Werbung nicht dem UWG-Einwilligungszwang für elektronische Werbung unterliegt? Solange du die Adresse rechtmäßig hast, darfst du Briefe senden. Kein Double Opt-In nötig. Kein Abmelde-Link.

Einer meiner Coaching-Klienten verschickte 54 persönliche Briefe an Firmenkunden aus seiner Datenbank. 37 Weihnachtsfeiern kamen zurück. 383 Gäste. 15.000-20.000€ Umsatz. ROI: 155×.

Warum dieser Kanal rechtlich anders funktioniert als E-Mail — und wie du ihn für dein Restaurant nutzt — behandle ich regelmäßig im Newsletter.

Und noch etwas, das fast niemand kennt: Es gibt eine Löschregel für inaktive Newsletter-Kontakte, die du mit einer "Letzte Chance"-E-Mail kombinieren kannst. Diese Mail hat bei meinen Klienten eine der höchsten Öffnungsraten, die ich aus Kampagnen kenne. Die genaue Mechanik? Ist Teil des Newsletters.

Was du jetzt tun kannst: Prüfe, ob dein Newsletter-Anmeldeformular ein separates, nicht vorausgefülltes Opt-in-Kästchen hat. Und ob dein Geburtstags-Feld eine eigene Einwilligungserklärung besitzt — nicht als Teil der Reservierung, sondern als bewusste Zustimmung.

Allergie-Daten — der sensibelste Punkt in deiner Gästedatei

"Herr Müller verträgt kein Gluten."

Dieser Satz, dauerhaft in deiner Gästedatei gespeichert, ist ein Verstoß gegen Art. 9 DSGVO — wenn du keine ausdrückliche Einwilligung dafür hast.

Warum? Weil Allergien und Unverträglichkeiten Gesundheitsdaten sind. Und Gesundheitsdaten unterliegen dem höchsten Schutzniveau der DSGVO. Strengere Anforderungen als bei Name, E-Mail oder Geburtsdatum.

Viele Gastronomen sehen das als selbstverständlichen Service: "Natürlich merke ich mir, dass Frau Schmidt keine Nüsse verträgt. Das ist Gastfreundschaft."

Das stimmt. Aber Gastfreundschaft und Datenschutzrecht sind zwei verschiedene Dinge.

Die Praxis-Empfehlung:

Für den aktuellen Besuch notieren — ja. Das ist durch berechtigtes Interesse gedeckt (Schutz der Gesundheit des Gastes, Art. 6 Abs. 1d DSGVO).

Dauerhaft in der Gästedatei speichern — nur mit ausdrücklicher Einwilligung. Und diese Einwilligung muss dokumentiert sein.

Der sichere Weg: Frage den Stammgast direkt. "Soll ich mir Ihre Unverträglichkeit für Ihre nächsten Besuche merken?" Wenn ja: schriftliche oder digitale Einwilligung einholen. Wenn nein: Notiz nach dem Besuch löschen.

Was die meisten nicht wissen: Dieses Allergie-Wissen — wenn es legal gespeichert ist — ist eines der stärksten Stammgast-Bindungssignale überhaupt. Wie du das datenschutzkonform als Premium-Service anbietest, erarbeite ich individuell mit Klienten im Coaching — weil die Umsetzung stark vom Betriebstyp abhängt.

Wenn du jetzt denkst: "Das ist mehr als ich dachte" — dann geht es dir wie den meisten Gastronomen, die ich berate. Die fertige DSGVO-Checkliste mit allen Einwilligungs-Vorlagen und der Allergie-Regelung gibt es als kostenlosen Download im Newsletter.

Was du jetzt tun kannst: Prüfe, ob du Allergie-Notizen dauerhaft in deiner Gästedatei speicherst. Wenn ja: Hast du eine dokumentierte Einwilligung für jeden einzelnen Eintrag?

Social Media und Mitarbeiterfotos — was 90% der Gastronomen falsch machen

Du postest ein Foto deines Küchenteams auf Instagram. Alle strahlen, das Essen sieht großartig aus, 200 Likes.

Und ein DSGVO-Verstoß.

Fotos und Videos von Mitarbeitern auf Social Media erfordern eine schriftliche Einwilligung. Nicht mündlich. Nicht "der hat doch mitgemacht". Schriftlich. Und für jeden einzelnen Mitarbeiter auf dem Bild.

Was viele nicht wissen: Diese Einwilligung muss jederzeit widerrufbar sein. Auch nach einer Kündigung. Wenn ein Ex-Mitarbeiter sagt: "Ich möchte nicht mehr auf eurem Instagram sein" — muss das Bild runter. Egal wie viele Likes es hat.

Was gilt für Gäste auf Fotos?

Im Hintergrund bei einer öffentlichen Veranstaltung: grundsätzlich okay, wenn der Gast nicht im Fokus steht (KunstUrhG §23). Aber gezielte Aufnahmen einzelner Gäste — das typische "Danke für den tollen Abend, Tisch 7!"-Foto auf Instagram — nur mit Einwilligung.

Meta Pixel und Facebook-Fanpage:

Wenn du ein Meta Pixel auf deiner Website nutzt oder eine Facebook-Fanpage betreibst, brauchst du dafür eine eigene Datenschutzerklärung und ein funktionierendes Cookie-Consent-Banner. Das wird oft übersehen, weil Social-Media-Agenturen den Pixel "einfach einbauen" ohne auf die DSGVO-Pflichten hinzuweisen.

Was du jetzt tun kannst: Hast du von jedem Mitarbeiter auf deinem Instagram eine schriftliche Fotoeinwilligung? Wenn nein: Diese Woche nachholen. Ein einfaches Formular reicht — Datum, Name, Zweck, Hinweis auf Widerrufbarkeit.

WLAN und Videoüberwachung — die 2 technischen Stolperfallen

Gäste-WLAN: Mehr als nur ein Passwort

"WLAN-Passwort: restaurant123" auf einem Zettel an der Bar — das reicht nicht.

Wenn du deinen Gästen WLAN anbietest, verarbeitest du Verbindungsdaten: IP-Adressen, MAC-Adressen, Verbindungszeiten. Das sind personenbezogene Daten.

Die rechtssichere Lösung: Ein Captive Portal. Der Gast landet beim Einloggen auf einer Seite mit Datenschutzhinweis und klickt "Akzeptieren". Fertig.

Drei Punkte, die du beachten musst:
1. VLAN-Trennung: Dein Gäste-WLAN muss technisch vom Betriebs-Netzwerk getrennt sein. Sonst können Gäste theoretisch auf dein Kassensystem, deine Buchhaltung oder deinen Drucker zugreifen.
2. Verbindungsdaten: Nur so lange speichern wie technisch nötig. Keine Vorratsspeicherung.
3. Marketing-Chance: Dein Captive Portal kann ein separates Newsletter-Opt-in enthalten. Gäste loggen sich ins WLAN ein und sehen: "Möchtest du unseren Newsletter mit exklusiven Angeboten erhalten?" Separates Häkchen, nicht vorausgefüllt. Das ist einer der 7 Kontaktpunkte, an denen du DSGVO-konform Daten sammeln kannst — die meisten nutzen maximal 2 davon.

Videoüberwachung: 5 Pflichtangaben auf dem Hinweisschild

Videoüberwachung in Gastronomie-Betrieben ist grundsätzlich erlaubt — wenn sie verhältnismäßig ist und du die Regeln einhältst.

Dein Hinweisschild muss 5 Angaben enthalten:
1. Wer überwacht (Name des Verantwortlichen)
2. Warum (Zweck: z.B. Diebstahlschutz)
3. Auf welcher Rechtsgrundlage (berechtigtes Interesse, Art. 6 Abs. 1f)
4. Wie lange gespeichert wird (max. 72 Stunden)
5. Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)

Was nicht geht:
- Kameras in Toiletten, Umkleideräumen oder Pausenräumen — niemals
- Dauerhafte Überwachung des Gastraums während der Öffnungszeiten — problematisch
- Kamera auf den Gehweg, die Nachbar-Einfahrt oder öffentlichen Raum gerichtet — verboten

Im Saarland hat ein Restaurant 2.000€ Bußgeld gezahlt, weil zwei Kameras eine öffentliche Straße erfasst haben. Kein Vorsatz. Einfach falsch ausgerichtet.

Speicherdauer: Maximal 72 Stunden, es sei denn, es liegt ein konkreter Vorfall vor (Diebstahl, Einbruch). Dann darf das Material für die Beweissicherung länger aufbewahrt werden.

Was du jetzt tun kannst: Prüfe dein Kamera-Hinweisschild. Enthält es alle 5 Pflichtangaben? Erfasst deine Kamera öffentlichen Raum oder Nachbargrundstück? Wenn ja: Ausrichtung korrigieren — bevor die Datenschutzbehörde klingelt.

Datenschutzerklärung und Verarbeitungsverzeichnis — in 60 Minuten erledigt

Klingt nach Bürokratie-Monster. Ist in der Praxis überschaubarer als die meisten denken.

Datenschutzerklärung auf deiner Website

Jede Restaurant-Website braucht eine Datenschutzerklärung. Ohne Ausnahme. Die muss enthalten:
- Wer du bist (Name, Adresse, Kontakt)
- Welche Daten du erhebst (Kontaktformular, Reservierung, Cookies, Newsletter)
- Auf welcher Rechtsgrundlage
- Wie lange du speicherst
- Welche Rechte deine Besucher haben (Auskunft, Löschung, Widerspruch)
- Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Seit dem 01.04.2025 gilt in Deutschland die Einwilligungsverwaltungsverordnung (EinwV): Cookie-Einstellungen können künftig zentral über anerkannte Dienste verwaltet werden. Das wird Cookie-Banner perspektivisch vereinfachen.

Das Verarbeitungsverzeichnis — 4 Spalten reichen

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist Pflicht für fast jeden Gastronomiebetrieb. Die theoretische Ausnahme für Betriebe unter 250 Mitarbeitern greift nicht — weil du regelmäßig personenbezogene Daten verarbeitest (Reservierungen, Lohnabrechnungen).

Die Kontrollbehörde kann es jederzeit anfordern.

Aber keine Panik: In der Praxis reicht eine strukturierte Excel-Tabelle mit 4 Spalten:

Welche Daten Wozu Rechtsgrundlage Löschfrist
Name, Telefon Tischreservierung Vertragserfüllung Nach Besuch
E-Mail, Geburtstag Newsletter, Geburtstagskampagne Einwilligung Bis Widerruf
Kamerabilder Diebstahlschutz Berechtigtes Interesse 72 Stunden
Bewerbungsunterlagen Recruiting Einwilligung/berechtigtes Interesse 6 Monate nach Absage

Datenschutzbeauftragter: Wann Pflicht?

Ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten umgehen (§38 BDSG). Bei den meisten kleinen Restaurants also keine Pflicht. Aber auch ohne Pflicht kann ein externer Datenschutzbeauftragter sinnvoll sein — allein für die Ersteinrichtung.

Für deinen konkreten Fall gilt: Sprich das mit einem Datenschutz-Fachmann durch. Dieser Artikel gibt dir die Spielregeln, wie ich sie aus 23 Jahren Praxis kenne. Für individuelle Fragen brauchst du einen Experten.

DSGVO-Reform "Digitaler Omnibus" — was sich ändern könnte

Im November 2025 hat die EU-Kommission das Omnibus-Vereinfachungspaket vorgestellt — die größte DSGVO-Reform seit 2018. Geplant: vereinfachte Dokumentationspflichten für KMU, reduzierte Datenpannen-Meldungen, Browser-basierte Cookie-Verwaltung statt einzelner Banner.

Stand März 2026: Die Trilog-Verhandlungen stehen noch aus. Inkrafttreten frühestens Ende 2026, danach 6 Monate Übergangsfrist. Heißt: Alles, was du heute richtig aufsetzt, bleibt gültig — und wird künftig einfacher.

Was du jetzt tun kannst: Erstelle eine Excel-Tabelle mit den 4 Spalten oben. Trage alle Datenverarbeitungen deines Betriebs ein. Das dauert 60 Minuten — und du bist zu 80% compliant.

Deine Gästedatenbank als Wettbewerbsvorteil — warum DSGVO keine Bremse ist

Ich habe in 23 Jahren mit hunderten Gastronomen eines gelernt: Die erfolgreichsten Betriebe sind nicht die mit dem besten Koch oder dem schönsten Standort. Es sind die mit dem besten System.

Und das wichtigste System-Element ist die Gästedatenbank.

Lass mich dir zeigen, warum Datenschutz kein Kostenfaktor ist, sondern ein Vertrauenssignal.

Die Zahlen sprechen eine klare Sprache:
- 62% der Verbraucher vertrauen Unternehmen mehr, die Datenschutz ernst nehmen (Cisco Consumer Privacy Survey 2024)
- 47% haben bereits aufgehört, bei Unternehmen mit schlechtem Datenschutz einzukaufen
- 74% der Gäste sorgen sich um die Sicherheit ihrer persönlichen Daten bei Restaurants (National Restaurant Association)

Datenschutz in der Gastronomie ist kein Jura-Thema. Es ist ein Vertrauens-Thema. Und Vertrauen ist die Grundlage für alles, was du in deinem Restaurant aufbauen willst.

Die Verbindung zu deinem Umsatz

Jedes Restaurant kann nur auf 4 Wegen wachsen: mehr neue Gäste gewinnen, mehr pro Gast ausgeben lassen, Gäste häufiger kommen lassen, Gäste länger halten. Ich nenne das die 4 GastroInsider Wachstumsfaktoren.

Weißt du, welche zwei dieser Faktoren eine saubere Gästedatenbank ermöglicht?

Faktor 3: Gäste häufiger kommen lassen — durch die Geburtstagsmaschine, durch Reaktivierungskampagnen, durch saisonale Newsletter.

Faktor 4: Gäste länger halten — durch regelmäßige, persönliche Kommunikation, durch das Gefühl "die kennen mich".

Und genau dafür brauchst du eine rechtssichere Datenbank. Ohne sie funktioniert keine einzige meiner Superkampagnen — nicht die Geburtstagsmaschine, nicht die Vermiss-dich-Kampagne, nicht die Januar-Rettungskampagne. Alle setzen voraus, dass du Gästedaten hast, die du legal nutzen darfst.

Stell dir vor

Du hast 2.000 Gäste in deiner Datenbank. Jeder hat aktiv eingewilligt. Du schickst eine E-Mail — und 43% öffnen sie. Du bietest ein exklusives 3-Gänge-Menü am Mittwochabend an. 30 Reservierungen kommen innerhalb einer Woche. Nur durch eine Nachricht.

Das ist keine Fantasie. Das ist das Ergebnis einer rechtssicheren Gästedatenbank.

Die meisten Gastronomen haben ihre Daten irgendwie gesammelt. Das ist kein Versagen — das war 2018 normal. Aber 2026 ist es ein lösbares Problem. Wer es einmal richtig aufsetzt, hat ein Asset, das in jeder Krise trägt.

Das DSGVO-Starterkit für Gastronomen — 7 fertige Vorlagen als kostenloser Download:

  1. Mustertext Einwilligung Online-Reservierung (Copy-Paste für deine Website)
  2. Mustertext Einwilligung Newsletter + Geburtstagskampagne
  3. Gesprächsleitfaden mündliche Einwilligung bei Telefon-Reservierung
  4. Mustertext Tablet-Formular für Gäste am Tisch
  5. Mini-Checkliste Verarbeitungsverzeichnis (Excel-Vorlage)
  6. Löschfristen-Übersicht
  7. Hinweisschild-Vorlage Videoüberwachung

Die Vorlagen bekommst du kostenlos als Download im Newsletter.

Und wenn du merkst, dass deine bestehende Datenbank ein Durcheinander ist — unsortiert, undokumentiert, nicht DSGVO-konform — dann lass uns in einem Strategiegespräch schauen, wie du das Schritt für Schritt bereinigst. Ohne alles zu löschen. Ohne bei null anzufangen.

Eine Klientin von mir hat mit 1.700 rechtssicher gesammelten Adressen ihr Restaurant durch den Lockdown gebracht. 17.500€ in wenigen Tagen. Bei geschlossenem Restaurant.

Die Frage ist nicht, ob du dir eine saubere Gästedatenbank aufbaust.

Die Frage ist, wie viel Umsatz du jeden Tag verlierst, an dem du es nicht tust.

Häufige Fragen — Datenschutz Gastronomie

Brauche ich als Restaurant einen Datenschutzbeauftragten?

Erst ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten (§38 BDSG). Die meisten kleinen Restaurants fallen nicht unter diese Pflicht. Ein externer Berater kann trotzdem für die Ersteinrichtung sinnvoll sein.

Darf ich Reservierungsdaten für meinen Newsletter nutzen?

Nein. Reservierungsdaten dienen der Vertragserfüllung (Art. 6 Abs. 1b DSGVO). Für den Newsletter brauchst du eine separate, dokumentierte Einwilligung — unabhängig von der Reservierung. Vorausgefüllte Häkchen zählen nicht.

Wie lange darf ich Gästedaten speichern?

Reservierungsdaten: nach dem Besuch löschen, wenn kein weiterer Zweck vorliegt. Marketingdaten mit Einwilligung: bis der Gast widerruft. Rechnungsdaten: 10 Jahre Aufbewahrungspflicht (Steuerrecht). Bewerbungsunterlagen: 6 Monate nach Absage.

Was passiert bei einem DSGVO-Verstoß — wie hoch sind die Bußgelder wirklich?

Für typische Gastronomie-Verstöße: 1.500-16.000€. Newsletter ohne Einwilligung: 2.000-10.000€. Fehlende Datenschutzerklärung: 500-5.000€. Die Maximalbußgelder von 20 Mio. € betreffen Konzerne — aber auch 5.000€ tun einem Restaurantbetrieb weh.

Muss ich eine Datenschutzerklärung auf meiner Website haben?

Ja. Jede Website, die personenbezogene Daten erhebt — und das tut jede Website mit Kontaktformular, Reservierung oder Cookies — braucht eine Datenschutzerklärung. Fehlt sie, drohen Abmahnungen und Bußgelder von 500-5.000€.

Darf ich Fotos von Mitarbeitern auf Instagram posten?

Nur mit schriftlicher Einwilligung. Jeder Mitarbeiter auf dem Bild muss zugestimmt haben — und kann diese Zustimmung jederzeit widerrufen, auch nach einer Kündigung. Dann muss das Bild entfernt werden.

Was muss ich bei Gäste-WLAN beachten?

Captive Portal mit Datenschutzhinweis, VLAN-Trennung vom Betriebsnetzwerk, keine unnötige Vorratsspeicherung von Verbindungsdaten. Ein einfaches Passwort ohne Datenschutzhinweis reicht nicht aus.

Sind Allergienotizen in der Gästedatei erlaubt?

Nur mit ausdrücklicher Einwilligung. Allergien sind Gesundheitsdaten (Art. 9 DSGVO) und unterliegen dem höchsten Schutzniveau. Für den aktuellen Besuch notieren ist okay — dauerhaft speichern nur, wenn der Gast das ausdrücklich wünscht und einwilligt.

Was ist ein Auftragsverarbeitungsvertrag und brauche ich einen?

Ja, sobald ein externer Dienstleister Daten in deinem Auftrag verarbeitet: Online-Reservierungssystem, Cloud-Kassensystem, Newsletter-Tool, Steuerberater mit Cloud-Software. Der AVV regelt, was der Dienstleister mit den Daten tun darf. Ohne AVV: Bußgeld möglich.

Darf ich Stammgästen zum Geburtstag schreiben?

Nur wenn du das Geburtsdatum mit separater Einwilligung für Marketingzwecke gespeichert hast. "Ich habe mir das gemerkt" reicht nicht. Dokumentiere die Einwilligung — dann ist die Geburtstagskampagne einer der stärksten Umsatzhebel überhaupt.

Was ändert sich durch die DSGVO-Reform 2026?

Die EU-Kommission plant Erleichterungen für KMU: vereinfachte Dokumentation, reduzierte Datenpannen-Meldungen, Browser-basierte Cookie-Verwaltung. Stand März 2026: noch nicht in Kraft, Finalisierung frühestens Ende 2026. Alles, was du heute richtig aufsetzt, bleibt gültig.

Brauche ich ein Verarbeitungsverzeichnis?

Ja. Fast jeder Gastronomiebetrieb ist verpflichtet, ein Verarbeitungsverzeichnis zu führen (Art. 30 DSGVO). In der Praxis reicht eine Excel-Tabelle mit 4 Spalten: Welche Daten, Wozu, Rechtsgrundlage, Löschfrist. 60 Minuten Aufwand.

Darf ich Videoüberwachung im Restaurant einsetzen?

Ja, wenn ein berechtigtes Interesse vorliegt (z.B. Diebstahlschutz), ein Hinweisschild mit 5 Pflichtangaben sichtbar ist, und die Aufnahmen nach 72 Stunden gelöscht werden. Nicht erlaubt: Toiletten, Umkleiden, Kamera auf öffentlichen Raum.

Was gilt für Lieferdienst-Plattformen und Kundendaten?

Bei Lieferando, Uber Eats & Co. gehören die Kundendaten der Plattform — nicht dir. Du erhältst nur Daten zur Auftragsabwicklung und darfst sie nicht für eigenes Marketing nutzen. Ein eigenes Online-Bestellsystem gibt dir die Kontrolle über deine Kundendaten zurück.

Nutze alle 5 legalen Wege: Online-Reservierung mit separatem Opt-in, Tablet im Restaurant, QR-Code auf Rechnung/Tisch, Captive Portal beim Gäste-WLAN und mündliche Einwilligung bei Telefon-Reservierungen. E-Mail-Marketing ist der Kanal mit dem höchsten ROI — 42€ pro 1€.

Weiterführende Artikel:
- Umsatz steigern in der Gastronomie — die 4 Wachstumsfaktoren
- E-Mail-Marketing für Restaurants — der Kanal mit 4.200% ROI
- Stammgäste gewinnen und halten — 7 Systeme die funktionieren
- Aktionen für die Gastronomie — was wirklich Umsatz bringt
- Warum Restaurants im ersten Jahr scheitern — 10 Gründe

SEO-ANGABEN

SEO-Title: Datenschutz Gastronomie: DSGVO-Guide für Restaurants 2026
(56 Zeichen)

Meta-Description: DSGVO im Restaurant: Was bei Gästedaten, Newsletter und Reservierungen gilt. Praxis-Guide mit Checklisten — rechtssicher und marketingfähig. [2026]
(149 Zeichen)

Slug: /blog/datenschutz-gastronomie

Interne Links im Artikel:
- /blog/umsatz-steigern-gastronomie (2×)
- /blog/email-marketing-restaurant (2×)
- /blog/stammgaeste-restaurant-gewinnen (1×)
- /blog/aktionen-gastronomie (2×)
- /blog/restaurants-scheitern-im-ersten-jahr-10-gruende (1×)
- /blog/online-reservierungssystem-restaurant (1×)

MEDIEN-AUSGABE

[Stil: warm restaurant atmosphere, authentic, editorial photography, warm color palette amber/terracotta/cream, no text overlays, photorealistic]
Prompt: German restaurant owner reviewing data on tablet at wooden table, warm ambient evening lighting, calm and confident expression, coffee cup nearby, authentic editorial portrait style, shallow depth of field with restaurant interior in warm bokeh background
Alt-Text: "Gastronom prüft Datenschutz-Einstellungen am Tablet im Restaurant"

Inline-Bild Prompts:

  1. [Placement: nach H2 "Warum DSGVO dein Restaurant betrifft"] Prompt: Restaurant owner reviewing documents at wooden table, warm ambient lighting, focused but calm expression, editorial style, warm amber color palette, authentic moment
    Alt: "Restaurantbesitzer prüft DSGVO-Unterlagen"

  2. [Placement: nach H2 "Die rechtssichere Gästedatenbank aufbauen"] Prompt: Guest signing up for newsletter on tablet at restaurant reception desk, warm interior, friendly interaction between staff and guest, editorial photography, authentic moment
    Alt: "Gast meldet sich am Tablet für den Restaurant-Newsletter an"

  3. [Placement: nach H2 "Newsletter und Geburtstagskampagnen"] Prompt: Close-up of smartphone showing email notification from restaurant with birthday greeting, warm bokeh restaurant background, editorial style, warm amber tones
    Alt: "Restaurant-Newsletter mit Geburtstagsangebot auf Smartphone"

  4. [Placement: nach H2 "WLAN und Videoüberwachung"] Prompt: Modern restaurant interior detail showing subtle security camera and WiFi router, warm lighting, professional clean setup, editorial photography, warm color palette
    Alt: "WLAN und Kameraüberwachung im modernen Restaurant"

  5. [Placement: nach H2 "Deine Gästedatenbank als Wettbewerbsvorteil"] Prompt: Confident restaurant owner standing in doorway of warm-lit restaurant, evening golden hour light, arms crossed with genuine smile, authentic editorial portrait, amber and cream tones
    Alt: "Selbstbewusster Gastronom mit rechtssicherer Gästedatenbank"

Infografik-Empfehlungen:

Infografik #1:
Typ: B (Übersicht)
Titel: "14 Datenpunkte im Restaurant — und was du damit darfst"
Inhalt: 14 Zeilen mit Spalten: Situation | Beispiel-Daten | Einwilligung nötig? | Löschfrist
Farben: #2C3E50 (dunkelblau) / #E8763A (orange) / #FDF8F3 (creme) / #27AE60 (grün)
Hintergrund: #FDF8F3 | kein 3D
Placement: Nach H2 "14 Situationen"
NotebookLM-Prompt: "Erstelle eine Übersichtstabelle mit 14 Zeilen: Jede Zeile zeigt eine Situation in der ein Restaurant personenbezogene Daten verarbeitet. Spalten: Situation, Beispiel-Daten, Rechtsgrundlage DSGVO, Einwilligung nötig (Ja/Nein), Typische Löschfrist. Gastronomie-Kontext, deutsch, klar und kompakt."

Infografik #2:
Typ: A (Daten/Statistiken)
Titel: "DSGVO in Zahlen: Was Gastronomen wissen müssen"
Inhalt: 7 Kennzahlen: 24% konform | 5,88 Mrd. € Bußgelder seit 2018 | 1.500-16.000€ typische Gastro-Bußgelder | 443 Datenpannen/Tag in Europa | 62% mehr Vertrauen | 42€ ROI pro 1€ E-Mail | 43,6% Öffnungsrate
Farben: gleiche Palette
Placement: Nach H2 "Warum DSGVO dein Restaurant betrifft"
NotebookLM-Prompt: "Erstelle eine Statistik-Infografik mit 7 Kennzahlen zum Thema DSGVO in der Gastronomie. Jede Zahl mit kurzer Beschreibung und Quelle. Kombination aus Risiko (Bußgelder, Datenpannen) und Chance (ROI, Vertrauen, Öffnungsrate). Deutsch."

Lead-Magnet:

Ja — "DSGVO-Starterkit für Gastronomen: Einwilligungs-Vorlagen + Checkliste"
Inhalt:
1. Mustertext Einwilligung Online-Reservierung
2. Mustertext Einwilligung Newsletter/Geburtstagskampagne
3. Gesprächsleitfaden mündliche Einwilligung Telefon
4. Mustertext Tablet-Formular
5. Mini-Checkliste Verarbeitungsverzeichnis (Excel)
6. Löschfristen-Übersicht
7. Hinweisschild-Vorlage Videoüberwachung

Gratis Leitfaden

Die 10 häufigsten Marketing-Fehler von Gastronomen

Kostenlos herunterladen. Direkt umsetzbar. Keine Spam.

Mit der Anmeldung stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu. Der Versand erfolgt über ActiveCampaign (USA). Sie können sich jederzeit abmelden.

Kostenlos · Jederzeit kündbar · DSGVO-konform

Kosten & GewinnGastronomie MarketingRestaurant Tipps

Verwandte Artikel

Artikel hat geholfen? Dann tragen Sie sich ein.

Wöchentlich mehr solche Praxis-Tipps direkt in Ihr Postfach.

Mit der Anmeldung stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu. Der Versand erfolgt über ActiveCampaign (USA). Sie können sich jederzeit abmelden.

Kostenlos · Jederzeit kündbar · DSGVO-konform