DSGVO im Restaurant 2026: Kundendaten, Pflichten & Bußgeld-Risiken
Von René Ebert & Sanjaya Pattiyage · · 14 Min. Lesezeit · Recht & Compliance
Wer 2026 ein Restaurant, Café oder einen Lieferdienst führt, verarbeitet jeden Tag personenbezogene Daten: Reservierungen, Kundenkonten im Webshop…
Einleitung — Warum DSGVO 2026 für Gastronomen wichtiger ist denn je
Wer 2026 ein Restaurant, Café oder einen Lieferdienst führt, verarbeitet jeden Tag personenbezogene Daten: Reservierungen, Kundenkonten im Webshop, Newsletter-Anmeldungen, Bewertungen, Mitarbeiterunterlagen, Bestellhistorien, Zahlungsdaten. Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und ist seitdem nach Auffassung der Aufsichtsbehörden in voller Anwendung — Übergangsfristen gibt es längst nicht mehr.
Highlights aus diesem Beitrag
Die DSGVO im Volltext (eur-lex.europa.eu) sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Konzern-Jahresumsatzes vor (Art. 83 Abs. 5 DSGVO) — je nachdem, was höher ausfällt. Das trifft theoretisch auch kleine Gastronomiebetriebe. In der Praxis bewegen sich Bußgelder gegen kleinere Restaurants laut Tätigkeitsberichten der Landesdatenschutzbehörden eher im drei- bis fünfstelligen Bereich, doch Reputationsschäden, Beratungs- und Anwaltskosten kommen on top.
Eine Datenpanne (z. B. Hackerangriff auf das Kassensystem, verlorenes Tablet mit Reservierungsdaten, falsch versendeter Newsletter mit allen Mailadressen im CC) muss innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden — sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
Innerhalb von 72 Stunden bei der Aufsichtsbehörde melden (Art. 33 DSGVO), auch wenn unsicher ist, ob Daten betroffen sind. Bei hohem Risiko zusätzlich die betroffenen Personen direkt informieren. Häufiges Beispiel: gestohlenes Kassenbackup oder verlorenes Reservierungs-Tablet. Halte einen Notfall-Kontakt bei der Datenschutz-Aufsicht griffbereit.
Häufige Fragen
Brauche ich als Restaurant einen Datenschutzbeauftragten?
Ja, sobald regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Für die meisten Restaurants bis 30 Mitarbeitende gilt das nicht — du musst die DSGVO-Pflichten aber trotzdem erfüllen. Quelle: Bundesdatenschutzgesetz.
Was kostet ein DSGVO-Verstoß im Restaurant konkret?
Bußgelder reichen bis 20 Mio. € oder 4 % des Jahresumsatzes. In der Praxis verhängt die deutsche Aufsicht für KMU eher 5.000 bis 50.000 €. Häufig getroffen: fehlende Verzeichnisse von Verarbeitungstätigkeiten, unverschlüsselte Mailings oder unbefugte Weitergabe von Kundendaten an Lieferdienste.
Welche Daten erhebe ich überhaupt im Restaurant?
Reservierungs-Namen, Telefonnummern, E-Mails, Bestellhistorien, Zahlungs-Tokens, Bewertungen, WLAN-Logins und Mitarbeiter-Personalakten. Plus Videoaufnahmen wenn du eine Kamera betreibst. Jeder dieser Datenflüsse braucht eine Rechtsgrundlage — meist Vertrag (Art. 6 Abs. 1 b) oder berechtigtes Interesse (Art. 6 Abs. 1 f).
Reicht ein Häkchen 'Ich akzeptiere die AGB' für die Einwilligung?
Nein. Einwilligungen müssen freiwillig, informiert, eindeutig und granular sein — pro Verarbeitungszweck einzeln. Newsletter-Anmeldung gehört in eine separate Box, nicht in die AGB-Zustimmung. Vorausgewählte Häkchen sind unzulässig (EuGH-Urteil Planet49). Faustregel: ein Zweck = ein Opt-in.
Wie lange darf ich Reservierungs-Daten speichern?
Nur so lange wie nötig (Speicherbegrenzung, Art. 5 DSGVO). Für Reservierungen reichen typisch 6-12 Monate ab Besuch — danach löschen oder pseudonymisieren. Wenn du Bestellhistorien für Marketing nutzt, brauchst du eine separate Einwilligung und solltest spätestens nach 3 Jahren Inaktivität löschen.
Was muss ich tun bei einem Datenleck?
Innerhalb von 72 Stunden bei der Aufsichtsbehörde melden (Art. 33 DSGVO), auch wenn unsicher ist, ob Daten betroffen sind. Bei hohem Risiko zusätzlich die betroffenen Personen direkt informieren. Häufiges Beispiel: gestohlenes Kassenbackup oder verlorenes Reservierungs-Tablet. Halte einen Notfall-Kontakt bei der Datenschutz-Aufsicht griffbereit.
Sind meine Lieferando-Bestelldaten DSGVO-konform?
Lieferando ist getrennter Verantwortlicher für die Plattform-Daten und übermittelt dir Bestelldaten als Auftragsverarbeiter-Konstellation. Du musst diese Daten in deinem Verzeichnis von Verarbeitungstätigkeiten aufnehmen und einen Auftragsverarbeitungsvertrag mit Lieferando vorhalten. Den AVV findest du im Restaurant-Portal als Standard-Download.