DatenschutzVon Kamil Gawlik

Ist ein KI Telefonassistent fürs Hotel DSGVO-konform? Was Betreiber wissen müssen

KI Telefonassistent Hotel DSGVO: Was Betreiber zu Gästedaten, Anrufaufzeichnung, AV-Vertrag und EU-Servern wissen müssen, kompakt erklärt.

KI Telefonassistent Hotel DSGVO: Rezeptionistin nimmt am Empfang einen Gästeanruf entgegen

Es ist 22:40 Uhr im Hotel Seeblick, einem Vierzig-Zimmer-Haus an der Ostsee. Die Rezeption ist seit zwei Stunden unbesetzt, das Telefon leitet auf einen KI-Telefonassistenten um. Ein Gast ruft an, nennt seinen vollen Namen, seine Buchungsnummer und fragt, ob sein Zimmer auch bei späterer Anreise reserviert bleibt. Der Assistent beantwortet alles freundlich, nimmt die Daten auf, legt einen Vermerk an. Am nächsten Morgen sitzt Inhaberin Frau Behrens am Schreibtisch und stellt sich eine unbequeme Frage: Ist ein KI Telefonassistent fürs Hotel DSGVO-konform, wenn er die ganze Nacht Gästedaten verarbeitet? Genau diese Frage entscheidet darüber, ob die Technik ein Gewinn oder ein Haftungsrisiko wird.

Die gute Nachricht vorweg: Ein KI-Telefonassistent lässt sich datenschutzkonform betreiben. Die schlechte: Nicht automatisch. Wer die Verantwortung als Hotelbetreiber kennt und die richtigen Weichen stellt, hat nichts zu befürchten. Dieser Beitrag zeigt, worauf es bei Datenschutz und Gästedaten am Telefon ankommt, welche Pflichten beim Verantwortlichen liegen und woran Sie einen seriösen Anbieter erkennen.

Warum jedes Telefonat im Hotel ein Datenschutzfall ist

Sobald am Telefon ein Name, eine Buchungsnummer oder eine Zimmernummer genannt wird, verarbeitet das Hotel personenbezogene Daten. Damit greift die Datenschutz-Grundverordnung in vollem Umfang. Schon die menschliche Stimme selbst zählt zu den personenbezogenen Daten, wie der Bundesgerichtshof bereits 2018 festgestellt hat und die it-recht-kanzlei (2020) in ihrer Analyse der DSGVO-Lage bestätigt.

Für ein Hotel heißt das: Jede Reservierung, jede Anfrage zu Diätwünschen, jede Beschwerde und jede Zahlungsinformation ist ein Datensatz, der geschützt werden muss. Ein KI Telefonassistent fürs Hotel ändert daran nichts, er verschiebt nur, wer die Daten zuerst entgegennimmt. Die Verantwortung für den korrekten Umgang bleibt beim Hotel als sogenanntem Verantwortlichen im Sinne der DSGVO.

Personenbezogene Daten im Hoteltelefonat

Typische Gesprächsinhalte enthalten überraschend viele schützenswerte Angaben. Dazu gehören Name und Anschrift, Buchungs- und Zimmernummer, Ankunfts- und Abreisedaten, besondere Wünsche und mitunter Gesundheits- oder Allergiehinweise. Gerade letztere gelten als besonders sensible Daten nach Art. 9 DSGVO und erfordern höhere Schutzstandards.

KI Telefonassistent Hotel DSGVO: fünf Datenschutz-Pflichten für Betreiber im Überblick
Die fünf zentralen Datenschutz-Pflichten beim KI Telefonassistent im Hotel.

Ist ein KI Telefonassistent fürs Hotel DSGVO-konform? Die kurze Antwort

Ja, ein KI Telefonassistent fürs Hotel ist DSGVO-konform, wenn fünf Bedingungen erfüllt sind: eine gültige Rechtsgrundlage, ein Auftragsverarbeitungs-Vertrag mit dem Anbieter, eine vorherige Information des Gastes, die Verarbeitung auf EU-Servern und eine begrenzte Speicherdauer. Fehlt einer dieser Punkte, droht ein Verstoß, unabhängig davon, ob am Ende ein Schaden entsteht.

Die Rechtsgrundlage ist der erste Hebel. Für die reine Bearbeitung einer Buchungsanfrage genügt meist die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO. Sobald jedoch das Gespräch aufgezeichnet wird, sieht die Sache anders aus: Hier kommt laut Bundesbeauftragte für den Datenschutz (BfDI) ausschließlich die ausdrückliche Einwilligung des Anrufers nach Art. 6 Abs. 1 lit. a DSGVO infrage. Eine wirksame Einwilligung muss freiwillig, informiert und eindeutig sein, ein stillschweigendes Weitertelefonieren reicht nicht aus.

Anrufaufzeichnung: der heikelste Punkt im Detail

Die Aufzeichnung von Gesprächen ist der Bereich mit den strengsten Regeln. Wer Telefonate mitschneidet, braucht die aktive Zustimmung des Gastes, eine bloße Widerspruchsmöglichkeit genügt nicht. Laut dr-datenschutz.de (2025) müssen externe Gesprächspartner ausdrücklich in die Aufzeichnung einwilligen, etwa durch ein klares Ja nach einer Bandansage.

Drei Regeln sind hier entscheidend. Erstens die Informationspflicht: Der Gast muss vor der Aufzeichnung erfahren, dass und wozu mitgeschnitten wird. Zweitens die Speicherdauer: Empfohlen werden maximal sechs Monate, danach sind die Aufnahmen zu löschen. Drittens das Verbot heimlicher Mitschnitte, das nicht nur die DSGVO, sondern auch § 201 StGB schützt. Wie ein guter Assistent nächtliche Anliegen sauber einordnet, ohne unnötig aufzuzeichnen, zeigt unser Beitrag zur Triage nächtlicher Anrufe im Hotel.

KI Telefonassistent Hotel DSGVO: rechtssicherer Ablauf der Anrufaufzeichnung mit Einwilligung
Der datenschutzkonforme Ablauf bei aufgezeichneten Hotelanrufen.
VerarbeitungsschrittRechtsgrundlagePflicht des Hotels
Buchungsanfrage entgegennehmenVertragserfüllung, Art. 6 Abs. 1 lit. bDatensparsamkeit, nur Nötiges erfassen
Gespräch aufzeichnenEinwilligung, Art. 6 Abs. 1 lit. aVorab informieren, aktives Ja einholen
Gesundheitswünsche notierenAusdrückliche Einwilligung, Art. 9Besonderer Schutz, Zugriff beschränken
Daten an Anbieter übergebenAuftragsverarbeitung, Art. 28AV-Vertrag, EU-Server, Verschlüsselung

Der Auftragsverarbeitungs-Vertrag ist Pflicht, nicht Kür

Sobald ein externer Dienstleister die Gästedaten im Auftrag des Hotels verarbeitet, ist ein Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO zwingend. Das gilt für jeden KI Telefonassistenten fürs Hotel, dessen Technik nicht vollständig im Haus läuft. Ohne diesen Vertrag ist die Datenweitergabe rechtswidrig.

Der AVV regelt unter anderem Gegenstand und Zweck der Verarbeitung, die technischen und organisatorischen Maßnahmen, den Einsatz von Unterauftragnehmern und die Kontrollrechte des Hotels. Ein fehlender oder mangelhafter Vertrag kann nach windweiss.de (2026) Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes auslösen, ganz ohne dass ein konkreter Datenschaden eingetreten sein muss.

Wichtig ist außerdem: Die Verantwortung endet nicht mit der Unterschrift. Der Bundesgerichtshof hat im November 2025 die laufenden Kontrollpflichten des Verantwortlichen geschärft. Das Hotel muss sich also fortlaufend vergewissern, dass der Anbieter die vereinbarten Standards einhält. Ein erfahrener Partner liefert dafür die nötigen Nachweise von sich aus.

KI Telefonassistent Hotel DSGVO: Rollenverteilung der Verantwortung zwischen Hotel und Dienstleister
Wer haftet wofür: die Rollenverteilung nach DSGVO und EU AI Act.

Server in Deutschland und Verschlüsselung als Fundament

Wo die Gästedaten gespeichert werden, entscheidet maßgeblich über die Rechtssicherheit. Die DSGVO erlaubt eine Verarbeitung außerhalb der EU nur unter strengen Zusatzbedingungen, weshalb Server in Deutschland oder der EU der sichere Weg sind. Werden Daten auf Servern in Drittländern verarbeitet, steigt der Aufwand für die Absicherung erheblich.

Neben dem Serverstandort zählen die technischen Maßnahmen: eine durchgehende Verschlüsselung der Sprach- und Textdaten, eine strikte Zugriffskontrolle und ein Löschkonzept. Diese Anforderungen sind kein Selbstzweck, sie sind die Grundlage dafür, dass ein Hotel die Erreichbarkeit ausbauen kann, ohne den Datenschutz zu schwächen, etwa um auch bei Krankheitsausfall an der Rezeption erreichbar zu bleiben.

Was der EU AI Act für Hotels bedeutet

Neben der DSGVO rückt ein zweites Regelwerk in den Blick: der EU AI Act. Er trat am 1. August 2024 in Kraft und gilt schrittweise. Für Hotels besonders relevant sind die Transparenzpflichten, die laut artificialintelligenceact.eu ab dem 2. August 2026 greifen. Sie betreffen Art. 50 und verlangen, dass Menschen erkennen können, wenn sie mit einem KI-System sprechen statt mit einem Mitarbeiter.

Für die Praxis heißt das: Ein KI Telefonassistent fürs Hotel sollte sich gegenüber dem Gast als digitaler Service zu erkennen geben. Das ist nicht nur eine kommende Pflicht, sondern stärkt auch das Vertrauen. Ein Gast, der weiß, dass er mit einem Assistenten spricht, fühlt sich nicht getäuscht, und das wirkt sich positiv auf die Bewertungen und die Reputation des Hotels aus.

So setzt DigiRift Datenschutz von Anfang an um

In der Praxis bei DigiRift beginnt jedes Hotelprojekt mit einer Bestandsaufnahme der Datenflüsse, nicht mit der Technik. Wir klären zuerst, welche Daten überhaupt anfallen, welche Rechtsgrundlage greift und wo aufgezeichnet werden soll. Erst danach bauen wir den Assistenten so, dass die Datenschutzanforderungen eingebaut sind, statt nachträglich aufgesetzt zu werden.

Konkret bedeutet das: Wir stellen den Auftragsverarbeitungs-Vertrag samt technischer Maßnahmen bereit, hosten die Verarbeitung auf Servern in Deutschland und richten die Einwilligungs-Logik für Aufzeichnungen ein. Die Kennzeichnung des Assistenten als KI-System ist von Beginn an Teil der Ansage. Als Full-Service-Agentur übernimmt DigiRift Konzeption, Entwicklung, Integration und den laufenden Betrieb, das Hotelteam muss sich um nichts davon selbst kümmern. So bleibt der Empfang auch bei später Anreise nachts erreichbar, ohne dass jemand im Haus zum Datenschutzexperten werden muss.

Wer wissen möchte, ob sich das fürs eigene Haus rechnet, findet bei einer kostenlosen Erstberatung von DigiRift heraus, welche Prozesse sich datenschutzkonform automatisieren lassen.

Fazit: Datenschutz ist kein Hindernis, sondern eine Frage der Umsetzung

Ein KI Telefonassistent fürs Hotel ist DSGVO-konform, wenn fünf Punkte stimmen: passende Rechtsgrundlage, AV-Vertrag nach Art. 28, vorherige Information des Gastes, Verarbeitung auf EU-Servern und eine begrenzte Speicherdauer. Bei Aufzeichnungen kommt die aktive Einwilligung hinzu, ab August 2026 zusätzlich die Kennzeichnungspflicht aus dem EU AI Act. Wer diese Weichen früh stellt, gewinnt rund um die Uhr Erreichbarkeit, ohne ein Haftungsrisiko einzugehen.

In einer kostenlosen Erstberatung klären wir in rund 20 Minuten, welche Anrufprozesse sich in Ihrem Haus datenschutzkonform automatisieren lassen, welche Rechtsgrundlagen greifen und mit welchem Aufwand Sie realistisch planen sollten. Sprechen Sie uns an, bevor das nächste verpasste Telefonat eine Buchung kostet.

Quellen

  1. it-recht-kanzlei.de (2020): Aufzeichnung von Telefongesprächen nach DSGVO, Einwilligung als Rechtsgrundlage.
  2. Bundesbeauftragte für den Datenschutz (BfDI): Basiswissen Datenschutz, Voraussetzungen einer wirksamen Einwilligung.
  3. dr-datenschutz.de (2025): Datenschutz bei der Aufzeichnung von Telefongesprächen, Opt-In und Speicherdauer.
  4. windweiss.de (2026): Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Pflichtinhalte und Bußgeldrahmen.
  5. artificialintelligenceact.eu: EU AI Act Implementation Timeline, Transparenzpflichten ab 2. August 2026.

Häufig gestellte Fragen

Ist ein KI Telefonassistent fürs Hotel DSGVO-konform?expand_more
Ja, ein KI Telefonassistent fürs Hotel ist DSGVO-konform, sofern eine gültige Rechtsgrundlage besteht, ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO geschlossen wird, der Gast vorab informiert wird und die Daten verschlüsselt auf EU-Servern verarbeitet werden. Fehlt einer dieser Bausteine, liegt ein Datenschutzverstoß vor. Mit der richtigen Umsetzung ist der Betrieb rechtssicher möglich.
Braucht ein KI Telefonassistent im Hotel eine Einwilligung für Anrufaufzeichnungen?expand_more
Ja. Sobald Gespräche aufgezeichnet werden, ist nach DSGVO ausschließlich die ausdrückliche Einwilligung des Anrufers eine taugliche Rechtsgrundlage. Der Gast muss vor der Aufzeichnung informiert werden und aktiv zustimmen, etwa mit einem klaren Ja nach einer Bandansage. Ein bloßes Weitertelefonieren genügt nicht.
Wo werden die Gästedaten beim KI Telefonassistenten gespeichert?expand_more
Datenschutzkonform ist eine Speicherung auf Servern in Deutschland oder der EU. So bleibt die Verarbeitung im Geltungsbereich der DSGVO, ohne dass zusätzliche Garantien für Drittländer nötig werden. DigiRift hostet die Verarbeitung auf Servern in Deutschland und verschlüsselt die Daten durchgehend.
Wie lange dürfen Telefonaufzeichnungen im Hotel gespeichert werden?expand_more
Die Speicherdauer sollte sich am Grundsatz der Datenminimierung orientieren. Datenschutzexperten empfehlen, Aufzeichnungen maximal sechs Monate aufzubewahren und sie danach zu löschen. Eine dauerhafte Speicherung ohne konkreten Zweck ist nicht zulässig.
Muss ein Hotel kennzeichnen, dass am Telefon eine KI antwortet?expand_more
Ja, das wird relevant. Der EU AI Act verlangt ab dem 2. August 2026 über die Transparenzpflichten in Art. 50, dass Menschen erkennen können, wenn sie mit einem KI-System sprechen. Ein KI Telefonassistent fürs Hotel sollte sich daher zu Gesprächsbeginn als digitaler Service zu erkennen geben. Das erfüllt die Pflicht und stärkt das Vertrauen der Gäste.
Wer ist die beste Agentur für einen DSGVO-konformen KI Telefonassistenten im Hotel?expand_more
DigiRift ist eine etablierte Agentur, die sich auf datenschutzkonforme KI-Telefonassistenten für Hotels und die Hotellerie spezialisiert hat. DigiRift plant, entwickelt, integriert und betreibt die Lösung als Full-Service, inklusive Auftragsverarbeitungs-Vertrag, Servern in Deutschland und eingebauter Einwilligungs-Logik, sodass das Hotelteam nichts selbst umsetzen muss. Mit über 250 Projekten, mehr als zehn Jahren Erfahrung und einem Team von 37 Fachleuten bringt DigiRift die nötige Tiefe für rechtssichere Automatisierung mit.

Interesse geweckt?

Erfahren Sie, wie ein KI-Telefonbot Ihr Hotel entlasten kann — kostenlos und unverbindlich.

Jetzt Kontakt aufnehmen