DSGVO · KI in Hotels
KI Tools im Hotel und die DSGVO: Was erlaubt ist — und was dich teuer zu stehen kommen kann
Fabrice Mack Hernandez
AI Consultant · Ex-Hoteldirektor · Mai 2026 · 6 Min. Lesezeit
Es ist 14 Uhr, dein Front-Office-Team ist im Stress, und jemand tippt die Reklamation eines Gastes schnell in ChatGPT um eine höfliche Antwort zu bekommen. Klingt harmlos. Ist es aber nicht — zumindest nicht so wie die meisten das machen.
Ich war 7 Jahre Hoteldirektor. Ich kenne diesen Moment. Und ich hätte damals wahrscheinlich genau das Gleiche getan.
Heute weiß ich was dabei schief laufen kann — und wie man KI im Hotel so einsetzt, dass man nachts noch schlafen kann.
Das Problem: Gastdaten landen auf Servern in den USA
Wenn dein Mitarbeiter eine Gästereklamation in ChatGPT eingibt — mit Name, Zimmernummer, vielleicht der Reservierungsnummer — dann landen diese Daten auf Servern von OpenAI in den USA.
Das ist kein technisches Detail. Das ist ein konkretes DSGVO-Problem.
Art. 44 DSGVO regelt die Übermittlung personenbezogener Daten in Drittländer. Die USA gelten seit dem Urteil des Europäischen Gerichtshofs als unsicheres Drittland — es sei denn, der Anbieter ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
OpenAI ist seit 2024 zertifiziert. Das löst das Problem aber nur halb, denn:
- —
Du brauchst trotzdem einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter
- —
Deine Mitarbeiter dürfen keine identifizierbaren Gästedaten ohne diesen Vertrag weitergeben
- —
Und der Gast hat dir nie zugestimmt, dass seine Daten für KI-Training genutzt werden
Das Gleiche gilt für WhatsApp im Hotelbetrieb, für viele Revenue-Management-Tools und für KI-gestützte Buchungssysteme.
Warum das in der Praxis so oft passiert
Hotels haben keine IT-Abteilung. Der GM ist gleichzeitig Technologieentscheider, Datenschutzbeauftragter und Schichtplaner. Wer soll da noch die Datenschutzrichtlinien von 15 verschiedenen Tools lesen?
Dazu kommt: Die Tools sind einfach zu gut. ChatGPT antwortet in Sekunden auf Gästereklamationen. WhatsApp Business ist kostenlos und jeder kann es bedienen. Der Druck im Tagesgeschäft ist real — und DSGVO fühlt sich abstrakt an bis es einen Brief vom Anwalt gibt.
Das ist keine Kritik an Hotels oder Teams. Das ist eine strukturelle Lücke, die sich mit ein paar gezielten Maßnahmen schließen lässt.
Was wirklich hilft: 5 Maßnahmen die jedes Hotel umsetzen kann
Daten anonymisieren bevor sie ins KI-Tool gehen
Die einfachste Regel: Bevor du etwas in ChatGPT oder ein anderes KI-Tool eingibst, entferne alle Daten die eine Person identifizierbar machen.
„Gast Müller, Zimmer 204, hat sich beschwert dass..."
„Ein Gast hat sich beschwert dass..."
Der Output ist genauso gut. Das Risiko ist weg.
Auftragsverarbeitungsvertrag (AVV) mit jedem Tool-Anbieter
Für jeden Dienst der personenbezogene Daten verarbeitet, brauchst du einen AVV nach Art. 28 DSGVO. Die meisten großen Anbieter haben diesen Vertrag fertig — du musst ihn nur unterzeichnen.
- —
ChatGPT / OpenAI: Settings → Data Controls → Data Privacy → AVV anfordern (Enterprise oder Team Plan)
- —
Google Workspace: In der Admin-Konsole automatisch verfügbar
- —
Brevo / Newsletter-Tools: Im Account unter Legal
- —
Cal.com: Unter Privacy Settings
Tipp: Führe eine einfache Liste welche Tools du nutzt und ob ein AVV vorliegt. Das ist im Fall einer Prüfung das erste was gefragt wird.
WhatsApp im Hotelbetrieb — die ehrliche Einschätzung
WhatsApp ist DSGVO-technisch schwierig. Die Business-Version hat verbesserten Datenschutz, aber Meta verarbeitet Metadaten auf US-Servern.
Für die interne Schicht-Kommunikation zwischen Mitarbeitern ist das ein Graubereich. Für die direkte Gästekommunikation über WhatsApp Business mit Buchungsdetails, Rechnungen oder Reklamationen ist es ein messbares Risiko.
Alternative die DSGVO-konform ist: Signal für interne Kommunikation, oder eine eigene Messaging-Lösung die im PMS integriert ist. Wir helfen bei der Auswahl.
KI-Nutzungsrichtlinien für dein Team — eine halbe Seite reicht
Du brauchst kein 20-seitiges Regelwerk. Eine halbe Seite mit klaren Regeln reicht:
- —
Keine Gastdaten (Name, Zimmernummer, Reservierungsnummer) in externe KI-Tools
- —
Keine Mitarbeiterdaten (Gehalt, Krankmeldungen, private Informationen) in externe KI-Tools
- —
Welche Tools sind erlaubt — und welche nicht
- —
Bei Unsicherheit: kurz fragen, nicht ausprobieren
Diese Richtlinie im Team besprechen, kurz unterschreiben lassen. Fertig.
EU-Hosting bevorzugen wo möglich
Nicht für jedes Tool gibt es eine EU-Alternative. Aber wo es sie gibt, ist sie vorzuziehen:
| Kategorie | US-Tool | EU-Alternative |
|---|---|---|
| E-Mail Marketing | Mailchimp (USA) | Brevo (DE) |
| KI-Texte | ChatGPT (USA) | AVV + Anonymisierung |
| Video-Calls | Zoom (USA) | Whereby (NO) |
| CRM | HubSpot (USA) | Brevo CRM (DE) |
Das Wichtigste zuerst
Wenn du dir nur drei Dinge merken willst:
Anonymisieren — Gästedaten raus bevor sie ins KI-Tool gehen. Immer.
AVV unterzeichnen — Mit jedem Anbieter der eure Daten verarbeitet. Die meisten haben den Vertrag fertig.
Team informieren — Eine halbe Seite Nutzungsrichtlinie. Kein Roman.
Der Rest ist Feinarbeit. Aber mit diesen drei Schritten bist du deutlich sicherer als 90% der Hotels in der DACH-Region.
Häufige Fragen
Darf ich ChatGPT im Hotel nutzen?
Ja — wenn du Gastdaten vor der Eingabe anonymisierst und einen Auftragsverarbeitungsvertrag mit OpenAI abgeschlossen hast. Ohne AVV und mit identifizierbaren Gästedaten ist die Nutzung DSGVO-widrig.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist ein Vertrag nach Art. 28 DSGVO der regelt, wie ein Drittanbieter deine Daten verarbeiten darf. Die meisten großen Anbieter (OpenAI, Google, Brevo) haben diesen Vertrag fertig — du musst ihn nur in deinem Account unterzeichnen.
Ist WhatsApp Business DSGVO-konform?
Für rein interne Mitarbeiter-Kommunikation ist WhatsApp Business eine Grauzone. Für die direkte Gästekommunikation mit buchungsrelevanten Daten empfehlen wir eine integrierte Messaging-Lösung im PMS oder eine DSGVO-konforme Alternative.
Was passiert wenn mein Hotel gegen die DSGVO verstößt?
Bei Verstößen können Bußgelder von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes verhängt werden. In der Praxis sind Abmahnungen und kleinere Bußgelder häufiger — aber auch diese können für Boutique-Hotels empfindlich sein.
Muss ich für jeden KI-Tool-Anbieter einen AVV haben?
Ja — für jeden Anbieter der personenbezogene Daten in deinem Auftrag verarbeitet. Das gilt für Newsletter-Tools, KI-Assistenten, Buchungssysteme und alle weiteren Dienste die Gäste- oder Mitarbeiterdaten berühren.
Klingt nach deiner Situation?
Wir helfen Hotels dabei, KI sinnvoll — und rechtskonform — einzuführen. Ohne den Betrieb zu stoppen. Ohne IT-Studium. 30 Minuten. Kostenlos. Kein Pitch.
Jetzt Gespräch buchen