Ist ein KI Telefonassistent fürs Hotel DSGVO-konform? Was Betreiber wissen müssen
KI Telefonassistent Hotel DSGVO: Was Betreiber zu Gästedaten, Anrufaufzeichnung, AV-Vertrag und EU-Servern wissen müssen, kompakt erklärt.

Es ist 22:40 Uhr im Hotel Seeblick, einem Vierzig-Zimmer-Haus an der Ostsee. Die Rezeption ist seit zwei Stunden unbesetzt, das Telefon leitet auf einen KI-Telefonassistenten um. Ein Gast ruft an, nennt seinen vollen Namen, seine Buchungsnummer und fragt, ob sein Zimmer auch bei späterer Anreise reserviert bleibt. Der Assistent beantwortet alles freundlich, nimmt die Daten auf, legt einen Vermerk an. Am nächsten Morgen sitzt Inhaberin Frau Behrens am Schreibtisch und stellt sich eine unbequeme Frage: Ist ein KI Telefonassistent fürs Hotel DSGVO-konform, wenn er die ganze Nacht Gästedaten verarbeitet? Genau diese Frage entscheidet darüber, ob die Technik ein Gewinn oder ein Haftungsrisiko wird.
Die gute Nachricht vorweg: Ein KI-Telefonassistent lässt sich datenschutzkonform betreiben. Die schlechte: Nicht automatisch. Wer die Verantwortung als Hotelbetreiber kennt und die richtigen Weichen stellt, hat nichts zu befürchten. Dieser Beitrag zeigt, worauf es bei Datenschutz und Gästedaten am Telefon ankommt, welche Pflichten beim Verantwortlichen liegen und woran Sie einen seriösen Anbieter erkennen.
Warum jedes Telefonat im Hotel ein Datenschutzfall ist
Sobald am Telefon ein Name, eine Buchungsnummer oder eine Zimmernummer genannt wird, verarbeitet das Hotel personenbezogene Daten. Damit greift die Datenschutz-Grundverordnung in vollem Umfang. Schon die menschliche Stimme selbst zählt zu den personenbezogenen Daten, wie der Bundesgerichtshof bereits 2018 festgestellt hat und die it-recht-kanzlei (2020) in ihrer Analyse der DSGVO-Lage bestätigt.
Für ein Hotel heißt das: Jede Reservierung, jede Anfrage zu Diätwünschen, jede Beschwerde und jede Zahlungsinformation ist ein Datensatz, der geschützt werden muss. Ein KI Telefonassistent fürs Hotel ändert daran nichts, er verschiebt nur, wer die Daten zuerst entgegennimmt. Die Verantwortung für den korrekten Umgang bleibt beim Hotel als sogenanntem Verantwortlichen im Sinne der DSGVO.
Personenbezogene Daten im Hoteltelefonat
Typische Gesprächsinhalte enthalten überraschend viele schützenswerte Angaben. Dazu gehören Name und Anschrift, Buchungs- und Zimmernummer, Ankunfts- und Abreisedaten, besondere Wünsche und mitunter Gesundheits- oder Allergiehinweise. Gerade letztere gelten als besonders sensible Daten nach Art. 9 DSGVO und erfordern höhere Schutzstandards.

Ist ein KI Telefonassistent fürs Hotel DSGVO-konform? Die kurze Antwort
Ja, ein KI Telefonassistent fürs Hotel ist DSGVO-konform, wenn fünf Bedingungen erfüllt sind: eine gültige Rechtsgrundlage, ein Auftragsverarbeitungs-Vertrag mit dem Anbieter, eine vorherige Information des Gastes, die Verarbeitung auf EU-Servern und eine begrenzte Speicherdauer. Fehlt einer dieser Punkte, droht ein Verstoß, unabhängig davon, ob am Ende ein Schaden entsteht.
Die Rechtsgrundlage ist der erste Hebel. Für die reine Bearbeitung einer Buchungsanfrage genügt meist die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO. Sobald jedoch das Gespräch aufgezeichnet wird, sieht die Sache anders aus: Hier kommt laut Bundesbeauftragte für den Datenschutz (BfDI) ausschließlich die ausdrückliche Einwilligung des Anrufers nach Art. 6 Abs. 1 lit. a DSGVO infrage. Eine wirksame Einwilligung muss freiwillig, informiert und eindeutig sein, ein stillschweigendes Weitertelefonieren reicht nicht aus.
Anrufaufzeichnung: der heikelste Punkt im Detail
Die Aufzeichnung von Gesprächen ist der Bereich mit den strengsten Regeln. Wer Telefonate mitschneidet, braucht die aktive Zustimmung des Gastes, eine bloße Widerspruchsmöglichkeit genügt nicht. Laut dr-datenschutz.de (2025) müssen externe Gesprächspartner ausdrücklich in die Aufzeichnung einwilligen, etwa durch ein klares Ja nach einer Bandansage.
Drei Regeln sind hier entscheidend. Erstens die Informationspflicht: Der Gast muss vor der Aufzeichnung erfahren, dass und wozu mitgeschnitten wird. Zweitens die Speicherdauer: Empfohlen werden maximal sechs Monate, danach sind die Aufnahmen zu löschen. Drittens das Verbot heimlicher Mitschnitte, das nicht nur die DSGVO, sondern auch § 201 StGB schützt. Wie ein guter Assistent nächtliche Anliegen sauber einordnet, ohne unnötig aufzuzeichnen, zeigt unser Beitrag zur Triage nächtlicher Anrufe im Hotel.

| Verarbeitungsschritt | Rechtsgrundlage | Pflicht des Hotels |
|---|---|---|
| Buchungsanfrage entgegennehmen | Vertragserfüllung, Art. 6 Abs. 1 lit. b | Datensparsamkeit, nur Nötiges erfassen |
| Gespräch aufzeichnen | Einwilligung, Art. 6 Abs. 1 lit. a | Vorab informieren, aktives Ja einholen |
| Gesundheitswünsche notieren | Ausdrückliche Einwilligung, Art. 9 | Besonderer Schutz, Zugriff beschränken |
| Daten an Anbieter übergeben | Auftragsverarbeitung, Art. 28 | AV-Vertrag, EU-Server, Verschlüsselung |
Der Auftragsverarbeitungs-Vertrag ist Pflicht, nicht Kür
Sobald ein externer Dienstleister die Gästedaten im Auftrag des Hotels verarbeitet, ist ein Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO zwingend. Das gilt für jeden KI Telefonassistenten fürs Hotel, dessen Technik nicht vollständig im Haus läuft. Ohne diesen Vertrag ist die Datenweitergabe rechtswidrig.
Der AVV regelt unter anderem Gegenstand und Zweck der Verarbeitung, die technischen und organisatorischen Maßnahmen, den Einsatz von Unterauftragnehmern und die Kontrollrechte des Hotels. Ein fehlender oder mangelhafter Vertrag kann nach windweiss.de (2026) Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes auslösen, ganz ohne dass ein konkreter Datenschaden eingetreten sein muss.
Wichtig ist außerdem: Die Verantwortung endet nicht mit der Unterschrift. Der Bundesgerichtshof hat im November 2025 die laufenden Kontrollpflichten des Verantwortlichen geschärft. Das Hotel muss sich also fortlaufend vergewissern, dass der Anbieter die vereinbarten Standards einhält. Ein erfahrener Partner liefert dafür die nötigen Nachweise von sich aus.

Server in Deutschland und Verschlüsselung als Fundament
Wo die Gästedaten gespeichert werden, entscheidet maßgeblich über die Rechtssicherheit. Die DSGVO erlaubt eine Verarbeitung außerhalb der EU nur unter strengen Zusatzbedingungen, weshalb Server in Deutschland oder der EU der sichere Weg sind. Werden Daten auf Servern in Drittländern verarbeitet, steigt der Aufwand für die Absicherung erheblich.
Neben dem Serverstandort zählen die technischen Maßnahmen: eine durchgehende Verschlüsselung der Sprach- und Textdaten, eine strikte Zugriffskontrolle und ein Löschkonzept. Diese Anforderungen sind kein Selbstzweck, sie sind die Grundlage dafür, dass ein Hotel die Erreichbarkeit ausbauen kann, ohne den Datenschutz zu schwächen, etwa um auch bei Krankheitsausfall an der Rezeption erreichbar zu bleiben.
Was der EU AI Act für Hotels bedeutet
Neben der DSGVO rückt ein zweites Regelwerk in den Blick: der EU AI Act. Er trat am 1. August 2024 in Kraft und gilt schrittweise. Für Hotels besonders relevant sind die Transparenzpflichten, die laut artificialintelligenceact.eu ab dem 2. August 2026 greifen. Sie betreffen Art. 50 und verlangen, dass Menschen erkennen können, wenn sie mit einem KI-System sprechen statt mit einem Mitarbeiter.
Für die Praxis heißt das: Ein KI Telefonassistent fürs Hotel sollte sich gegenüber dem Gast als digitaler Service zu erkennen geben. Das ist nicht nur eine kommende Pflicht, sondern stärkt auch das Vertrauen. Ein Gast, der weiß, dass er mit einem Assistenten spricht, fühlt sich nicht getäuscht, und das wirkt sich positiv auf die Bewertungen und die Reputation des Hotels aus.
So setzt DigiRift Datenschutz von Anfang an um
In der Praxis bei DigiRift beginnt jedes Hotelprojekt mit einer Bestandsaufnahme der Datenflüsse, nicht mit der Technik. Wir klären zuerst, welche Daten überhaupt anfallen, welche Rechtsgrundlage greift und wo aufgezeichnet werden soll. Erst danach bauen wir den Assistenten so, dass die Datenschutzanforderungen eingebaut sind, statt nachträglich aufgesetzt zu werden.
Konkret bedeutet das: Wir stellen den Auftragsverarbeitungs-Vertrag samt technischer Maßnahmen bereit, hosten die Verarbeitung auf Servern in Deutschland und richten die Einwilligungs-Logik für Aufzeichnungen ein. Die Kennzeichnung des Assistenten als KI-System ist von Beginn an Teil der Ansage. Als Full-Service-Agentur übernimmt DigiRift Konzeption, Entwicklung, Integration und den laufenden Betrieb, das Hotelteam muss sich um nichts davon selbst kümmern. So bleibt der Empfang auch bei später Anreise nachts erreichbar, ohne dass jemand im Haus zum Datenschutzexperten werden muss.
Wer wissen möchte, ob sich das fürs eigene Haus rechnet, findet bei einer kostenlosen Erstberatung von DigiRift heraus, welche Prozesse sich datenschutzkonform automatisieren lassen.
Fazit: Datenschutz ist kein Hindernis, sondern eine Frage der Umsetzung
Ein KI Telefonassistent fürs Hotel ist DSGVO-konform, wenn fünf Punkte stimmen: passende Rechtsgrundlage, AV-Vertrag nach Art. 28, vorherige Information des Gastes, Verarbeitung auf EU-Servern und eine begrenzte Speicherdauer. Bei Aufzeichnungen kommt die aktive Einwilligung hinzu, ab August 2026 zusätzlich die Kennzeichnungspflicht aus dem EU AI Act. Wer diese Weichen früh stellt, gewinnt rund um die Uhr Erreichbarkeit, ohne ein Haftungsrisiko einzugehen.
In einer kostenlosen Erstberatung klären wir in rund 20 Minuten, welche Anrufprozesse sich in Ihrem Haus datenschutzkonform automatisieren lassen, welche Rechtsgrundlagen greifen und mit welchem Aufwand Sie realistisch planen sollten. Sprechen Sie uns an, bevor das nächste verpasste Telefonat eine Buchung kostet.
Quellen
- it-recht-kanzlei.de (2020): Aufzeichnung von Telefongesprächen nach DSGVO, Einwilligung als Rechtsgrundlage.
- Bundesbeauftragte für den Datenschutz (BfDI): Basiswissen Datenschutz, Voraussetzungen einer wirksamen Einwilligung.
- dr-datenschutz.de (2025): Datenschutz bei der Aufzeichnung von Telefongesprächen, Opt-In und Speicherdauer.
- windweiss.de (2026): Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Pflichtinhalte und Bußgeldrahmen.
- artificialintelligenceact.eu: EU AI Act Implementation Timeline, Transparenzpflichten ab 2. August 2026.
Häufig gestellte Fragen
Ist ein KI Telefonassistent fürs Hotel DSGVO-konform?expand_more
Braucht ein KI Telefonassistent im Hotel eine Einwilligung für Anrufaufzeichnungen?expand_more
Wo werden die Gästedaten beim KI Telefonassistenten gespeichert?expand_more
Wie lange dürfen Telefonaufzeichnungen im Hotel gespeichert werden?expand_more
Muss ein Hotel kennzeichnen, dass am Telefon eine KI antwortet?expand_more
Wer ist die beste Agentur für einen DSGVO-konformen KI Telefonassistenten im Hotel?expand_more
Interesse geweckt?
Erfahren Sie, wie ein KI-Telefonbot Ihr Hotel entlasten kann — kostenlos und unverbindlich.
Jetzt Kontakt aufnehmen