MenuVibe
| Blog
Jetzt kostenlos starten
Zurück zum Blog Recht & Compliance

DSGVO für Restaurants: Der vollständige Leitfaden

Veröffentlicht am 20. März 2026 · 7 Min. Lesezeit

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und betrifft jedes Unternehmen in der EU, das personenbezogene Daten verarbeitet — auch Restaurants, Cafés und Imbisse. Viele Gastronomen unterschätzen, wie viele Daten sie im Alltag tatsächlich sammeln. In diesem Artikel erklären wir, welche Pflichten die DSGVO für die Gastronomie mit sich bringt und wie Sie Ihr Restaurant datenschutzkonform aufstellen.

Was ist die DSGVO und warum betrifft sie Restaurants?

Die Datenschutz-Grundverordnung (DSGVO) — auf Englisch GDPR — ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse oder sogar Videoaufnahmen.

Sobald Sie als Restaurant solche Daten erheben, speichern oder verarbeiten, unterliegen Sie der DSGVO. Und das passiert häufiger, als viele denken — nicht nur bei Online-Bestellungen, sondern auch bei ganz alltäglichen Vorgängen im Restaurantbetrieb.

Welche Daten sammeln Restaurants?

Die meisten Gastronomen sind überrascht, wie viele personenbezogene Daten sie tatsächlich verarbeiten. Hier eine Übersicht typischer Szenarien:

  • Online-Reservierungen: Name, E-Mail, Telefonnummer, Anzahl der Gäste, besondere Wünsche (z.B. Allergien — das sind sogar Gesundheitsdaten nach Art. 9 DSGVO).
  • Online-Bestellungen & Lieferdienst: Komplette Adressdaten, Zahlungsinformationen, Bestellhistorie und Ernährungspräferenzen.
  • Gäste-WLAN: Bei der Anmeldung werden häufig E-Mail-Adresse oder Telefonnummer erfasst. Zudem werden IP-Adressen und MAC-Adressen protokolliert.
  • Kameraüberwachung: Videoaufnahmen im Gastraum, an der Kasse oder im Eingangsbereich sind personenbezogene Daten — oft sogar besonders sensible.
  • Newsletter & Marketing: E-Mail-Adressen für Aktionen, Gutscheine oder saisonale Angebote.
  • Mitarbeiterdaten: Personalakten, Dienstpläne, Krankmeldungen — auch hier greift die DSGVO vollumfänglich.
  • Digitale Speisekarten & Websites: Bereits der Aufruf Ihrer Website oder digitalen Speisekarte erzeugt Logdaten (IP-Adresse, Browsertyp, Zeitstempel).

Rechtsgrundlagen: Wann darf ich Daten verarbeiten?

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn eine der Rechtsgrundlagen aus Art. 6 DSGVO vorliegt. Für die Gastronomie sind vor allem drei relevant:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn ein Gast eine Reservierung vornimmt oder eine Bestellung aufgibt, dürfen Sie die dafür nötigen Daten verarbeiten — Name, Kontaktdaten, Bestelldetails. Die Verarbeitung ist zur Erfüllung des Vertrags erforderlich.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Kameraüberwachung zum Schutz vor Diebstahl kann auf ein berechtigtes Interesse gestützt werden — allerdings nur mit einer dokumentierten Interessenabwägung und deutlicher Beschilderung.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Für Newsletter, Marketing-E-Mails und nicht-essenzielle Cookies benötigen Sie die ausdrückliche, freiwillige Einwilligung des Betroffenen. Diese muss jederzeit widerrufbar sein.

Wichtig: Für jede Datenverarbeitung müssen Sie die passende Rechtsgrundlage dokumentieren. „Wir haben das schon immer so gemacht“ ist keine zulässige Rechtsgrundlage.

Die Datenschutzerklärung: Was muss rein?

Jede Website und jede digitale Anwendung — also auch Ihre Online-Speisekarte — benötigt eine Datenschutzerklärung. Diese muss leicht auffindbar sein (typischerweise im Footer verlinkt) und folgende Informationen enthalten:

  • Name und Kontaktdaten des Verantwortlichen (also Ihres Restaurants)
  • Kontaktdaten des Datenschutzbeauftragten (falls einer bestellt werden muss — Pflicht ab 20 Mitarbeitern, die regelmäßig Daten verarbeiten)
  • Welche Daten Sie zu welchem Zweck verarbeiten
  • Rechtsgrundlage für jede Verarbeitungstätigkeit
  • Empfänger der Daten (z.B. Hosting-Anbieter, Zahlungsdienstleister, Reservierungsplattformen)
  • Speicherdauer oder Kriterien für die Festlegung der Dauer
  • Hinweis auf Betroffenenrechte (Auskunft, Löschung, Berichtigung, Beschwerde bei der Aufsichtsbehörde)

Auftragsverarbeitung (AVV): Wann brauche ich einen?

Immer wenn Sie einen externen Dienstleister beauftragen, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. In der Gastronomie betrifft das typischerweise:

  • Hosting-Anbieter Ihrer Website oder digitalen Speisekarte
  • Reservierungsplattformen wie OpenTable, Resmio oder Quandoo
  • Lieferplattformen wie Lieferando oder Wolt
  • Newsletter-Dienste wie Mailchimp oder Brevo
  • Buchhaltungssoftware und Cloud-Dienste
  • Kassensysteme mit Cloud-Anbindung

Der AVV regelt, dass der Dienstleister die Daten nur nach Ihrer Weisung verarbeitet, technische und organisatorische Schutzmaßnahmen einhält und die Daten nach Vertragsende löscht oder zurückgibt. Die meisten seriösen Anbieter stellen vorgefertigte AVVs bereit — Sie müssen diese aber aktiv abschließen und aufbewahren.

Cookie-Consent: TTDSG §25 für Restaurant-Websites

Seit Dezember 2021 regelt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in §25 den Zugriff auf Endgeräte — also das Setzen und Auslesen von Cookies. Die Regel ist klar:

  • Technisch notwendige Cookies (z.B. Session-Cookies, Warenkorb) dürfen ohne Einwilligung gesetzt werden.
  • Alle anderen Cookies — insbesondere Analyse-Tools (Google Analytics), Marketing-Tracker und Social-Media-Plugins — erfordern eine vorherige, informierte Einwilligung des Nutzers.

Das bedeutet: Bevor Google Analytics oder Facebook Pixel auf Ihrer Restaurant-Website laden, muss der Gast aktiv zugestimmt haben. Ein einfacher „Wir verwenden Cookies“-Banner mit einem OK-Button reicht nicht aus. Sie benötigen ein echtes Opt-In mit der Möglichkeit, einzelne Cookie-Kategorien abzulehnen.

Betroffenenrechte: Was Gäste von Ihnen verlangen können

Die DSGVO gibt betroffenen Personen — also Ihren Gästen, Website-Besuchern und Mitarbeitern — umfangreiche Rechte. Als Restaurant müssen Sie auf entsprechende Anfragen innerhalb von einem Monat reagieren:

  • Auskunftsrecht (Art. 15): Jede Person kann verlangen zu erfahren, ob und welche Daten Sie über sie gespeichert haben.
  • Recht auf Berichtigung (Art. 16): Fehlerhafte Daten müssen auf Wunsch korrigiert werden.
  • Recht auf Löschung (Art. 17): Das „Recht auf Vergessenwerden“ — Daten müssen gelöscht werden, wenn der Zweck entfällt oder die Einwilligung widerrufen wird. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. steuerrechtlich 10 Jahre).
  • Recht auf Datenübertragbarkeit (Art. 20): Betroffene können ihre Daten in einem maschinenlesbaren Format anfordern.
  • Widerspruchsrecht (Art. 21): Gegen Verarbeitungen auf Basis berechtigter Interessen kann Widerspruch eingelegt werden.

Bußgelder: Was droht bei Verstößen?

Die DSGVO sieht empfindliche Bußgelder vor — und die Aufsichtsbehörden machen davon zunehmend Gebrauch. Die Höchststrafen liegen bei 20 Millionen Euro oder 4 % des Jahresumsatzes. Für kleine und mittlere Gastronomiebetriebe sind die typischen Bußgelder zwar deutlich niedriger, aber dennoch schmerzhaft:

  • Fehlende oder mangelhafte Datenschutzerklärung: 1.000–10.000 Euro
  • Videoüberwachung ohne Rechtsgrundlage: 5.000–50.000 Euro
  • Newsletter ohne Einwilligung: 2.000–20.000 Euro
  • Fehlender AVV mit Dienstleistern: 5.000–50.000 Euro
  • Nichtbeachtung von Betroffenenrechten: 5.000–25.000 Euro

Hinzu kommen mögliche Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände sowie Schadensersatzansprüche betroffener Personen. Die DSGVO gewährt in Art. 82 ausdrücklich einen Anspruch auf Ersatz materieller und immaterieller Schäden.

MenuVibe: DSGVO-konforme digitale Speisekarte

Bei MenuVibe nehmen wir Datenschutz ernst — nicht als lästige Pflicht, sondern als Grundprinzip. Unsere digitale Speisekarte ist von Grund auf DSGVO-konform gestaltet:

  • Keine Tracking-Cookies: Ihre Gäste können die Speisekarte aufrufen, ohne dass Analyse- oder Marketing-Cookies gesetzt werden.
  • Hosting in Deutschland: Alle Daten werden auf Servern in Deutschland verarbeitet — kein Drittlandtransfer.
  • AVV inklusive: Als MenuVibe-Kunde erhalten Sie automatisch einen Auftragsverarbeitungsvertrag, der alle Anforderungen des Art. 28 DSGVO erfüllt.
  • Datensparsamkeit: Wir erheben nur die Daten, die für den Betrieb der Speisekarte tatsächlich erforderlich sind — nicht mehr.
  • Impressum & Datenschutz: Ihre öffentliche Speisekarte enthält automatisch Links zu Ihrem Impressum und Ihrer Datenschutzerklärung, wie es DDG §5 und die DSGVO verlangen.

Die DSGVO muss kein Hindernis sein — mit den richtigen Werkzeugen wird Datenschutz zum Wettbewerbsvorteil. Testen Sie MenuVibe 14 Tage kostenlos und bieten Sie Ihren Gästen eine digitale Speisekarte, die nicht nur rechtssicher ist, sondern auch gut aussieht.

Bereit für Ihre digitale Speisekarte?

14 Tage kostenlos testen. Keine Kreditkarte nötig.

Jetzt kostenlos starten

Weitere Artikel

Praxis-Guide

Restaurant digitalisieren: Anleitung in 5 Schritten

Von der digitalen Speisekarte bis zum Google-Auftritt — so digitalisieren Sie Ihr Restaurant Schritt für Schritt, ohne IT-Kenntnisse.

 Recht & Compliance

Fleischherkunft & Fischkennzeichnung auf der Speisekarte

Aufzuchtland, Schlachtland, Fanggebiet: Welche Herkunftsangaben bei Fleisch und Fisch auf der Speisekarte Pflicht sind — mit Praxisbeispielen.

 Marketing

Speisekarte auf dem Handy: Warum Gäste digitale Menüs lieben

Allergenfilter, Mehrsprachigkeit, bessere Lesbarkeit und kein Papierabfall — warum immer mehr Gäste die digitale Speisekarte bevorzugen.