Gilt die DSGVO überhaupt für mich?
Kurz: ja. Sobald du personenbezogene Daten deiner Gäste verarbeitest — also Namen, Kontaktdaten, Reisedaten, Rechnungsangaben oder Ausweisdaten —, bist du datenschutzrechtlich Verantwortlicher. Das gilt für die private Einzelwohnung genauso wie für die Verwaltung mit zwanzig Objekten und unabhängig davon, ob du steuerlich privat oder gewerblich vermietest. Die „Haushaltsausnahme" für rein persönliche Tätigkeiten greift bei der entgeltlichen Vermietung an fremde Gäste nicht.
Die gute Nachricht: Du musst kein Datenschutz-Experte werden. Es gibt einige klare Pflichten, die sich mit den richtigen Werkzeugen weitgehend automatisieren lassen. Dieser Überblick führt dich durch die wichtigsten — die Sonderfälle Ausweiskopie, Lärmsensor und Meldeschein vertiefen wir in eigenen Leitfäden.
Die Rechtsgrundlage: warum du Daten verarbeiten darfst
Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für Gastgeber sind vier relevant:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Buchungs- und Gästedaten, die du zur Abwicklung des Beherbergungsvertrags brauchst (Name, Kontakt, An-/Abreise, Abrechnung).
- Rechtliche Verpflichtung (lit. c): der Meldeschein für ausländische Gäste und die steuerliche Aufbewahrung von Rechnungen — hier musst du verarbeiten.
- Berechtigtes Interesse (lit. f): z. B. ein Lärmsensor zur Schadensabwehr — aber nur nach dokumentierter Interessenabwägung gegen die Rechte der Gäste.
- Einwilligung (lit. a): alles Werbliche, vor allem der Newsletter — nur mit aktivem, freiwilligem Opt-in.
Häufiger Fehler: Einwilligung als Universal-Lösung
Für Vertrag und gesetzliche Pflicht brauchst du keine Einwilligung — sie wäre sogar irreführend, weil widerruflich. Und: Aus der Buchungs-E-Mail darfst du nicht ungefragt einen Newsletter machen. Werbung per E-Mail braucht ein eigenes Opt-in.
Auftragsverarbeitung: AV-Verträge mit deinen Tools
Du arbeitest fast immer mit Dienstleistern, die Gästedaten in deinem Auftrag verarbeiten. Mit ihnen brauchst du einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — typischerweise mit:
- Channel-Manager / PMS (z. B. Smoobu)
- Cloud-Check-in- bzw. Meldeschein-Tool
- OCR-/KI-Dienst für die Ausweisprüfung
- Hosting, Datenbank und E-Mail-Versand
Ein häufiges Missverständnis betrifft die Buchungsplattformen: Airbnb und Booking.com sind keine Auftragsverarbeiter, sondern eigene Verantwortliche. Sie verarbeiten Daten für eigene Zwecke (Plattformbetrieb, Marketing) und nicht weisungsgebunden für dich — deshalb schließt du mit ihnen keinen AVV.
| Auftragsverarbeiter (AVV nötig) | Eigener Verantwortlicher (kein AVV) | |
|---|---|---|
| Beispiele | PMS/Channel-Manager, Check-in-Tool, Cloud, Mail-Versand | Airbnb, Booking.com |
| Verarbeitet Daten … | in deinem Auftrag, weisungsgebunden | für eigene Zwecke (Plattform, Marketing) |
| Vertrag | AV-Vertrag nach Art. 28 | kein AVV |
| In der Datenschutzerklärung | als Auftragsverarbeiter | als eigene Quelle/Empfänger |
Daten ins Ausland: Airbnb, US-Cloud & das Data Privacy Framework
Fließen Gästedaten an US-Plattformen oder in eine US-Cloud, ist das ein Drittlandtransfer (Art. 44 ff. DSGVO). Grundlage ist aktuell das EU-US Data Privacy Framework (DPF): Transfers an DPF-zertifizierte US-Unternehmen sind ohne Zusatzinstrument zulässig.
DPF: gültig, aber im Fluss (Stand: Juni 2026)
Das DPF besteht derzeit, ist aber nicht endgültig gesichert: Ein Rechtsmittel gegen das Framework ist beim EuGH anhängig (Rs. C-703/25 P), ein erneutes Kippen wie bei Safe Harbor und Privacy Shield („Schrems III") ist nicht ausgeschlossen. Praxis-Empfehlung: das DPF nutzen, aber Standardvertragsklauseln (SCC) als Fallback bereithalten — und wo möglich auf EU-Hosting setzen.
Löschfristen: was wann gelöscht werden muss
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) verlangt: Daten nur so lange aufbewahren, wie ein Zweck oder eine gesetzliche Pflicht besteht. Die wichtigsten Fristen:
- Meldeschein ausländischer Gäste: 1 Jahr ab Abreise aufbewahren, dann innerhalb von drei Monaten vernichten (§ 30 BMG).
- Rechnungen & Buchungsbelege: seit dem 1.1.2025 nur noch 8 Jahre (vorher 10) — verkürzt durch das Vierte Bürokratieentlastungsgesetz.
- Jahresabschlüsse, Bücher, Inventare: weiterhin 10 Jahre (nicht verkürzt).
- Sonstige Buchungs-/Gästedaten ohne eigene Aufbewahrungspflicht: löschen, sobald der Zweck entfällt (nach Abreise und Abrechnung).
GoBD heißt nicht pauschal 8 Jahre
Die Verkürzung auf 8 Jahre gilt nur für Buchungsbelege und Rechnungen. Jahresabschlüsse und Bücher bleiben bei 10 Jahren. Eine gute Check-in-Lösung löscht Gäste- und Meldedaten ohnehin automatisch nach Ablauf der jeweiligen Frist.
Bist du DSGVO-fit? Die Schnellprüfung
Fünf Fragen zeigen dir, wo du stehst:
Schnellprüfung: DSGVO-Pflichten als Gastgeber
- 1
Hast du an jedem Erhebungspunkt einen Datenschutzhinweis (Art. 13)?
Website-Buchungsformular, Online-Check-in, Terminal — überall, wo du Daten direkt beim Gast erhebst, musst du transparent über Zwecke, Empfänger und Speicherdauer informieren.
- 2
Hast du AV-Verträge mit allen Dienstleistern, die Gästedaten verarbeiten?
PMS/Channel-Manager, Check-in-Tool, Cloud, Mail-Versand. Nicht nötig sind sie mit Airbnb/Booking (eigene Verantwortliche).
- 3
Führst du ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30)?
Auch als Kleinvermieter — die 250-Beschäftigte-Ausnahme greift bei laufender Gästeverarbeitung nicht. Muster gibt es bei den Aufsichtsbehörden.
- 4
Löschst du Daten nach Fristablauf — am besten automatisch?
Meldeschein nach 1 Jahr, Belege nach 8 Jahren, sonstige Gästedaten nach Zweckwegfall. Manuelle Sammlungen „für alle Fälle" verstoßen gegen die Speicherbegrenzung.
- 5
Kannst du Auskunfts-/Löschanfragen (1 Monat) und eine Datenpanne (72 Std) fristgerecht bearbeiten?
Du brauchst einen Prozess, um Gästedaten gezielt zu exportieren, zu löschen und im Ernstfall die Behörde zu informieren.
Deine Pflichten im Einzelnen
Datenschutzerklärung (Art. 13)
An jedem Punkt, an dem du Daten direkt beim Gast erhebst, musst du transparent informieren: welche Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, an welche Empfänger (z. B. PMS, Check-in-Tool), wie lange gespeichert, welche Rechte der Gast hat und ob Daten in Drittländer fließen.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
Ein internes Dokument, das deine Verarbeitungen auflistet (Zwecke, Datenkategorien, Empfänger, Löschfristen). Die Ausnahme für Stellen unter 250 Beschäftigten greift nicht, sobald die Verarbeitung „nicht nur gelegentlich" erfolgt — bei laufender Gästeverarbeitung ist sie das. Also: auch für dich Pflicht.
Technische & organisatorische Maßnahmen (Art. 32)
Angemessene Sicherheit nach Stand der Technik: Zugriff nur nach Need-to-know, Verschlüsselung, EU-Hosting, sichere Aufbewahrung von Ausweis- und Meldedaten, automatische Löschung nach Fristablauf.
Datenschutzbeauftragter (§ 38 BDSG)
Für typische Vermieter nicht nötig — Pflicht erst ab in der Regel 20 Personen, die ständig automatisiert Daten verarbeiten. Relevant kann es für größere Verwaltungen werden.
Betroffenenrechte: was Gäste verlangen können
Deine Gäste haben Rechte, die du fristgerecht (in der Regel binnen eines Monats) erfüllen musst:
- Auskunft (Art. 15): welche Daten du über sie gespeichert hast.
- Berichtigung (Art. 16): falsche Daten korrigieren.
- Löschung (Art. 17): Daten löschen, sobald keine Aufbewahrungspflicht mehr besteht — bestehende gesetzliche Fristen gehen vor.
- Widerspruch (Art. 21): vor allem gegen Werbung.
Datenpanne: die 72-Stunden-Regel
Geht etwas schief — ein gestohlener Laptop mit Meldedaten, eine fehlkonfigurierte Cloud, ein Massen-Mail-Versand mit offenen Adressen —, musst du die Verletzung der Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden melden (Art. 33). Führt die Panne zu einem hohen Risiko für die Gäste, musst du zusätzlich die Betroffenen informieren (Art. 34).
Was kostet ein Verstoß?
Der Bußgeldrahmen (Art. 83) ist zweistufig — maßgeblich ist jeweils der höhere Betrag:
- Obere Stufe: bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes — z. B. bei Verstößen gegen Grundsätze, Rechtsgrundlage oder Betroffenenrechte.
- Untere Stufe: bis 10 Mio. € oder 2 % — z. B. bei fehlendem Verzeichnis, mangelnden TOMs oder verspäteter Datenpannen-Meldung.
In der Praxis bewegen sich typische Gastgeber-Versäumnisse eher in der unteren Stufe — teuer genug, um den Aufwand für sauberen Datenschutz zu rechtfertigen.
Die Spezialfälle im Detail
Für die drei datenschutzintensivsten Themen haben wir eigene Leitfäden:
- Darf ich den Ausweis meiner Gäste kopieren? — Identität prüfen vs. kopieren, Datensparsamkeit.
- Lärmsensoren DSGVO-konform einsetzen — die Interessenabwägung beim berechtigten Interesse.
- Meldepflicht & Meldeschein — was seit 2025 für deutsche und ausländische Gäste gilt.
Häufige Fragen
Gilt die DSGVO auch für private Ferienwohnungs-Vermieter?
Ja. Sobald du personenbezogene Gästedaten verarbeitest — Name, Kontaktdaten, Reisedaten oder Ausweisangaben —, gilt die DSGVO, unabhängig von der Anzahl der Wohnungen und davon, ob du steuerlich privat oder gewerblich vermietest. Eine rein private Nutzung im Sinne der „Haushaltsausnahme" liegt bei entgeltlicher Vermietung an Fremde nicht vor.
Brauche ich einen Auftragsverarbeitungsvertrag mit Airbnb oder Booking.com?
Nein. Airbnb und Booking.com sind keine Auftragsverarbeiter, sondern eigene Verantwortliche — sie verarbeiten Daten für eigene Zwecke und nicht weisungsgebunden für dich. Einen AV-Vertrag (Art. 28 DSGVO) brauchst du dagegen mit Dienstleistern, die Gästedaten in deinem Auftrag verarbeiten, z. B. Channel-Manager/PMS, Check-in-Tool, Cloud-Hosting oder E-Mail-Versand.
Wie lange muss ich Gästedaten aufbewahren?
Den Meldeschein ausländischer Gäste ein Jahr ab Abreise, danach vernichten. Rechnungen und Buchungsbelege musst du seit 2025 nur noch 8 Jahre aufbewahren (vorher 10 Jahre; verkürzt durch das Vierte Bürokratieentlastungsgesetz). Jahresabschlüsse, Bücher und Inventare bleiben bei 10 Jahren. Sonstige Gästedaten löschst du, sobald der Zweck — die Vertragsabwicklung — entfallen ist.
Muss ich als Kleinvermieter ein Verarbeitungsverzeichnis führen?
In der Praxis ja. Die scheinbare Ausnahme für Unternehmen unter 250 Beschäftigten (Art. 30 Abs. 5 DSGVO) greift nicht, sobald die Verarbeitung nicht nur gelegentlich erfolgt. Da Gästedaten laufend und systematisch verarbeitet werden, ist das Verzeichnis von Verarbeitungstätigkeiten faktisch auch für den Einzelvermieter Pflicht.
Brauche ich einen Datenschutzbeauftragten?
In der Regel nein. Ein Datenschutzbeauftragter ist nach § 38 BDSG erst Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind — das erreichen typische Vermieter nicht. Schwellenunabhängig kann eine Pflicht entstehen, wenn eine Datenschutz-Folgenabschätzung nötig ist.
Was muss ich bei einer Datenpanne tun?
Eine Verletzung des Schutzes personenbezogener Daten musst du der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden melden (Art. 33 DSGVO) — es sei denn, sie führt voraussichtlich zu keinem Risiko. Bei hohem Risiko für die Betroffenen musst du zusätzlich die betroffenen Gäste informieren (Art. 34).
Hinweis (Stand: Juni 2026)
Dieser Beitrag gibt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Datenschutz ist in vielen Punkten Einzelfallabwägung — besonders die Interessenabwägung beim berechtigten Interesse und die Lage rund um das Data Privacy Framework. Lass dein konkretes Setup im Zweifel von einer Datenschutzbeauftragten oder einem Fachanwalt prüfen.
Datenschutz, der mitläuft
Oasify ist auf datensparsamen Betrieb ausgelegt: EU-Hosting, Zugriff nach Need-to-know, automatische Löschung nach Ablauf der Fristen und ein AV-Vertrag für die Verarbeitung in deinem Auftrag. So erfüllst du Meldeschein und Gästeerfassung DSGVO-konform, ohne Zettelwirtschaft.