Skip to content
Nachrichten calendar_today Aktualisiert: 7. April 2026 schedule 6 Min. Lesezeit

Reisepasse und Personalausweise von Hotelgasten: Do's and Don'ts unter der DSGVO

Das Scannen und Kopieren von Reisepassen und Personalausweisen von Hotelgasten ist ein sensibles Thema unter der DSGVO. Dieser Artikel erklart, was Hoteliers tun durfen und was nicht, mit konkreten Beispielen von Bussgeldern.

summarize Kernaussagen
  • check_circle Hotels durfen Identittatsdaten erfassen, aber das Kopieren oder Scannen von Reisepassen ist in den meisten Fallen nicht erlaubt
  • check_circle Die spanische Datenschutzbehorde hat Hotels wegen unnotiger Speicherung von Fotos und Dokumentennummern bestraft
  • check_circle Erfassen Sie nur die gesetzlich vorgeschriebenen Daten: Name, Geburtsdatum, Staatsangehorigkeit und An-/Abreisedatum
  • check_circle Bewahren Sie Identittatsdaten von Gasten nicht langer auf als gesetzlich vorgeschrieben

Das Problem: Hotels sammeln zu viele Daten

Sie kommen im Hotel an. An der Rezeption werden Sie gebeten, Ihren Reisepass oder Personalausweis auszuhandigen. Der Rezeptionist scannt das Dokument, macht eine Kopie oder gibt alle Daten ein, einschliesslich Ihres Fotos und Ihrer Personalausweisnummer.

Dieses Szenario kennen Millionen von Reisenden. Aber ist es unter der DSGVO erlaubt?

Die kurze Antwort: Nein, in der Regel nicht. Hotels haben eine gesetzliche Pflicht, bestimmte Gastdaten zu erfassen, aber das Kopieren oder Scannen des gesamten Identittatsdokuments geht fast immer uber das hinaus, was das Gesetz verlangt.

Was sagt das Gesetz?

Die meisten EU-Mitgliedstaaten verpflichten Hotels, Gastdaten zu erfassen; dies ist die sogenannte Meldepflicht nach dem Bundesmeldegesetz in Deutschland. Die genauen Anforderungen variieren je nach Land, umfassen aber in der Regel:

  • Vollstandiger Name des Gastes
  • Geburtsdatum
  • Staatsangehorigkeit
  • Art und Nummer des Identittatsdokuments
  • An- und Abreisedatum

Das ist alles. Kein Passfoto. Keine Personalausweisnummer. Kein vollstandiger Scan Ihres Reisepasses.

Durchsetzung: Bussgelder fur Hotels

Die spanische Datenschutzbehorde (AEPD) hat mehrere Hotels wegen Verstossen im Zusammenhang mit Identittatsdaten von Gasten bestraft:

Hotel in Barcelona - 30.000 EUR Bussgeld Das Hotel machte standardmassig Kopien von Reisepassen beim Check-in und speicherte diese digital. Die AEPD urteilte, dass dies gegen den Grundsatz der Datenminimierung (Artikel 5(1)(c) DSGVO) verstosst: Das Hotel sammelte mehr Daten als fur den Zweck erforderlich.

Hotelkette in Madrid - 45.000 EUR Bussgeld Die Kette bewahrte gescannte Reisepasse bis zu 5 Jahre nach dem Aufenthalt auf, wahrend das spanische Gesetz eine Aufbewahrungsfrist von 3 Jahren vorschreibt. Zudem waren die Scans nicht angemessen gesichert; Mitarbeiter hatten uneingeschrankten Zugang.

Hotel auf Mallorca - Verwarnung Das Hotel kopierte nur die Nummer und den Namen, speicherte aber auch die Staatsangehorigkeit in einer ungesicherten Excel-Datei, die uber einen gemeinsamen Ordner fur alle Mitarbeiter zuganglich war.

Do’s und Don’ts fur Hoteliers

Was Sie tun SOLLTEN

  • Erfassen Sie die gesetzlich vorgeschriebenen Daten: Name, Geburtsdatum, Staatsangehorigkeit, Dokumentennummer, Aufenthaltsdaten
  • Prufen Sie das Identittatsdokument visuell: Sie durfen das Dokument ansehen, um die Informationen zu uberprufen
  • Informieren Sie die Gaste, warum Sie die Daten benotigen (gesetzliche Pflicht) und wie lange Sie sie aufbewahren
  • Sichern Sie die Daten: Zugriffskontrolle, Verschlusselung, eingeschrankter Zugang fur Mitarbeiter
  • Loschen Sie Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist
  • Schulen Sie Ihr Personal: Rezeptionsmitarbeiter mussen wissen, welche Daten sie erfassen durfen und welche nicht

Was Sie NICHT tun sollten

  • Kopien oder Scans anfertigen von Reisepassen oder Personalausweisen ohne Rechtsgrundlage
  • Passfotos oder biometrische Daten speichern
  • Personalausweisnummern erfassen, es sei denn, das Landesgesetz schreibt dies ausdrucklich vor
  • Daten langer aufbewahren als gesetzlich vorgeschrieben
  • Gastdaten in ungesicherten Systemen speichern (Excel-Dateien auf gemeinsamen Ordnern, unverschlusselte USB-Sticks)
  • Daten fur Marketing verwenden ohne ausdruckliche Einwilligung

Nach Land: Was ist vorgeschrieben?

LandRechtsgrundlageErforderliche DatenAufbewahrungsfrist
DeutschlandBundesmeldegesetz par.29Name, Geburtsdatum, Staatsangehorigkeit, Dokumentennr, Anreisedatum1 Jahr
OsterreichMeldegesetzName, Geburtsdatum, Staatsangehorigkeit, Dokumentennr1 Jahr
BelgienKB 23/10/2020Name, Geburtsdatum, Staatsangehorigkeit, Dokumentennr, Aufenthaltsdaten1 Jahr
NiederlandeGemeentewet Art. 438Name, Adresse, Geburtsdatum, Staatsangehorigkeit, Dokumentennr1 Jahr
SpanienLey de Seguridad CiudadanaName, Geburtsdatum, Staatsangehorigkeit, Dokumentennr, Aufenthaltsdaten3 Jahre
FrankreichCode de la securite interieureName, Geburtsdatum, Staatsangehorigkeit, Dokumentennr6 Monate

Was sollten Sie als Hotelier tun?

  1. Uberprufen Sie Ihr aktuelles Verfahren: Machen Sie Kopien oder Scans? Horen Sie damit auf, es sei denn, Sie haben eine spezifische Rechtsgrundlage
  2. Passen Sie Ihr Check-in-Formular an: Erfassen Sie nur die gesetzlich vorgeschriebenen Felder
  3. Loschen Sie alte Scans und Kopien: Wenn Sie digitale Kopien von Reisepassen aufbewahrt haben, loschen Sie diese
  4. Sichern Sie Ihr Gasteregister: Verwenden Sie ein gesichertes System mit Zugriffskontrolle, kein gemeinsames Excel-Dokument
  5. Informieren Sie Ihre Gaste: Ein kurzer Datenschutzhinweis an der Rezeption oder in der Bestatigungsmail genugt
  6. Legen Sie Aufbewahrungsfristen fest: Konfigurieren Sie Ihr System so, dass Daten nach der gesetzlichen Frist automatisch geloscht werden
auto_awesome Wissen Sie, welche Daten Ihre Hotel-Website sammelt?

GDPRWise scannt Ihre Website und erkennt automatisch, welche personenbezogenen Daten Sie uber Buchungsformulare, Cookies und Drittanbieter erfassen.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.