Ein Restaurant bewegt sich juristisch in einem sehr spezifischen Korridor: Art. 6(1)(b)+(f), Art. 13, Art. 32. Dazu kommen GewO und BDSG §26 Personal. Für alle Restaurants in Deutschland lauten die drei Kernfragen 2025/26: Sind Ihre AVVs aktuell? Ist Ihr Consent-Layer Art.-7-fest? Wird AVV mit Reservierungs-Plattformen lückenhaft systematisch dokumentiert?
Der DSGVO-Check analysiert Ihre Restaurant-Website in 60 Sekunden auf typische Gastro-Verstoesse.
DSGVO-Check starten →Die drei häufigsten Verstöße bei Restaurants: OpenTable/Quandoo ohne individuellen AVV (52 %). Feedback-E-Mails ohne rechtswirks. Einwilligung (39 %). Und drittens: Personalplan auf Whiteboard öffentlich (28 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 500–3.000 €.
Typische Software-Landschaft im Restaurant: Bookatable, Lightspeed Kasse, OpenTable. Jedes Tool braucht einen individuell abgeschlossenen AVV nach Art. 28(3) — Standard-AGB genügen nicht. Subunternehmer-Listen (Art. 28(2)) ebenfalls einholen.
Restaurants verarbeiten: Allergie-Hinweise Gäste, Lieferadressen, Reservierungsdaten. Unter Art. 6(1)(b)+(f) müssen Speicherdauern, Zugriffsrechte und Löschkonzepte schriftlich vorliegen. Die Aufsichtsbehörden erwarten außerdem ein aktuelles Verarbeitungsverzeichnis nach Art. 30.
Foto-Risiken: Gäste-Fotos im Restaurant (Instagram-Repost) nur mit Einwilligung. Das gilt auch für Archivbilder, die 2015–2018 ohne heutige Einwilligungsstandards entstanden. Empfehlung: Alt-Galerien auditieren und entweder Einwilligung nachholen oder Bilder entfernen.
Sektorenspezifisch zu beachten: GewO und BDSG §26 Personal. Diese können Datenverarbeitungen einerseits erzwingen (Aufbewahrung, Dokumentation) und andererseits beschränken (Verschwiegenheit, Zweckbindung).
Realität 2025: Jede Woche meldet ein Restaurant in Deutschland einen Abmahn-Vorfall. Häufigste Ursache: OpenTable/Quandoo ohne individuellen AVV (52 %). Der Fall aus LG Köln 33 O 376/20 (Reservierungssystem-AVV) ist inzwischen Standardreferenz.
Ersteinrichtung — 10-Schritte-Plan: DSE aktualisieren, Consent-Tool buchen (CookieBot/Usercentrics), Google Fonts lokal einbinden, SSL aktivieren, Impressum prüfen, 3–5 AVVs schriftlich einholen (Bookatable, Lightspeed Kasse, OpenTable), VVT anlegen, TOMs dokumentieren, Team schulen, Einwilligungs-Formular für Lieferadressen auflegen.
Der kostenlose DSGVO-Check scannt Ihre Restaurant-Website in 60 Sekunden auf alle genannten Punkte. Sie erhalten einen Score 0–100 und konkrete Fix-Schritte.
Wer Kundendaten aus Lieferando exportiert und für eigene Marketing-Mailings nutzt, verletzt die Zweckbindung. Die Plattform-Einwilligung umfasst keine eigene Direktwerbung.
Videoueberwachung braucht ein sichtbares Schild am Eingang mit Informationen nach Art. 13 DSGVO, eine Interessenabwaegung und Loeschfristen. Viele Gastronomen haben zwar Kameras, aber keine Dokumentation.
Wer für No-Show-Schutz Kreditkartendaten aufnimmt, muss PCI-DSS und DSGVO einhalten. Speicherung in Excel-Listen oder im Reservierungssystem ohne Verschluesselung ist ein massiver Verstoss.
Das Team auf der Über-uns-Seite braucht schriftliche Einwilligungen. Fluktuation in der Gastronomie ist hoch — nach Kuendigung müssen die Bilder zeitnah entfernt werden.
Gaeste-WLAN mit Captive-Portal muss die Datenverarbeitung erklären. Viele Systeme loggen MAC-Adressen und Zugriffe ohne Rechtsgrundlage.
Bewerber-Daten sind nach 6 Monaten zu loeschen, sofern keine Einwilligung zur weiteren Speicherung vorliegt. Viele Gastronomen bewahren sie jahrelang auf — mehr als 70 Prozent der Pruefungen decken das auf.
Wenn Sie nur wenig Zeit haben, setzen Sie diese fuenf Massnahmen zuerst um: Erstens — ersetzen Sie Ihre Google-Fonts-Einbindung durch lokales Hosting. Das dauert 15 Minuten und entfernt einen der haeufigsten Abmahn-Gruende. Zweitens — prüfen Sie alle Reservierungssysteme und fordern Sie von den Anbietern einen Auftragsverarbeitungsvertrag per E-Mail an. Die Anbieter liefern ihn in der Regel binnen 48 Stunden. Drittens — aktivieren Sie einen DSGVO-konformen Cookie-Banner wie Borlabs Cookie, Cookiebot oder Usercentrics. Alle drei bieten Gastronomie-Templates. Viertens — prüfen Sie, ob Corona-Gaesteregistrierungen aus 2020/2021 noch existieren, und dokumentieren Sie die Loeschung schriftlich. Fuenftens — aktualisieren Sie Ihre Datenschutzerklärung mit einem spezialisierten Tool wie eRecht24, Trusted Shops oder der anwaltlichen Vorlage Ihrer IHK. Allein diese fuenf Schritte bringen Ihre Website von einem typischen Score von 45 auf 78, entfernen die groessten Abmahnungs-Risiken und kosten zusammen weniger als 200 Euro.
Fine-Dining-Restaurants haben hohe No-Show-Risiken und nutzen haeufig Kreditkartensicherung — hier ist PCI-DSS-Konformitaet neben DSGVO Pflicht. Fast-Food-Ketten arbeiten mit Customer-Loyalty-Apps und sammeln umfangreiche Profile, die besondere Transparenz erfordern. Lieferrestaurants haben die komplexeste Verarbeitung: eigene Bestellformulare, Plattformen und Payment-Integrationen zugleich. Cafes mit WLAN-Arbeitsplaetzen müssen den Gaeste-Zugang sauber absichern. Eventlocations und Club-Restaurants arbeiten mit Gaestelisten und Fotografie, was erweiterte Einwilligungen erfordert. Hotel-Restaurants fallen zusaetzlich unter die Meldepflicht nach Bundesmeldegesetz und verbinden Gaeste- und Reservierungsdaten, was eine getrennte Dokumentation verlangt.
Wir stellen für 25 deutsche Grossstaedte lokale DSGVO-Analysen bereit mit zustaendiger Aufsichtsbehoerde, regionalen Bußgeld-Faellen und spezifischen Tipps für Gastronomiebetriebe.
Der Markt für Gastro-Software ist gross, aber nicht jedes Tool ist DSGVO-freundlich. Für Reservierungen sind resmio und term-in.app deutsche Alternativen mit vorbereiteten AVV. Quandoo und Bookatable sind ebenfalls DSGVO-konform einsetzbar, OpenTable erfordert sorgfaeltige Prüfung der Drittlandsuebermittlung. Für Kassensysteme sind Orderbird, Gastronovi und Lightspeed Restaurant etabliert — alle mit Serverstandort EU. Beim Payment setzen DSGVO-bewusste Betriebe auf SumUp (EU), Adyen (EU) oder Mollie statt auf US-Anbieter. Newsletter laufen sauber mit CleverReach, rapidmail oder Brevo (ehemals Sendinblue), alle mit deutschsprachigem Support und AVV. Für Bewertungsmanagement bietet sich ProvenExpert an, für Social-Media-Planung Swat.io aus Wien. Die Kombination aus deutschem Reservierungs-Tool, EU-Payment, lokalem Newsletter-Service und selbst gehosteter Website bringt einen Gastronomiebetrieb typischerweise in zwei bis drei Wochen auf DSGVO-Score 90+. Der Aufwand einmalig: 8 bis 16 Stunden. Laufend: 1 Stunde pro Monat.
Für die Vertragsabwicklung ja. Nach dem Besuch loeschen oder nur mit Einwilligung weiter nutzen. Kreditkarten nie im Klartext speichern.
Beide benoetigen einen schriftlichen AVV. Quandoo hat EU-Server, OpenTable in den USA und bietet erweiterte Vertraege.
Ja, sobald Analytics, Pixel, Reservierungs-Widgets oder Google Maps eingebunden sind. Mit echter Opt-In-Funktion.
Aktive Reservierung ja, danach maximal 6 Monate ohne Einwilligung. Rechnungsdaten 10 Jahre nach HGB.
Die Plattform ist Verantwortlicher für ihre Daten. Wenn Sie Daten für eigenes Marketing nutzen, werden Sie Verantwortlicher.
Deutliches Schild am Eingang, Interessenabwaegung, Loeschung nach 72 Stunden, keine Sitzbereiche ueberwachen.
Ja, wenn vom Arbeits-Netz getrennt und Captive-Portal mit Datenschutzhinweis. Kein Tracking ohne Rechtsgrundlage.
Bußgelder theoretisch bis 20 Millionen Euro, praktisch 1.000 bis 15.000 Euro. Abmahnungen 1.500 bis 5.000 Euro.
Kostenloser DSGVO-Check in 60 Sekunden mit Handlungsempfehlungen für Gastronomen.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.