KI in der Hotellerie: Neue Datenschutz-Regeln fordern explizite Einwilligung

Ab 2026 müssen Hotels und Restaurants für das Training von KI-Modellen mit Gästedaten eine separate, ausdrückliche Zustimmung einholen. Die Ära der stillschweigenden Nutzung ist beendet.

Hotels und Restaurants müssen ab 2026 streng zwischen Datennutzung für Service und KI-Training unterscheiden. Die Ära der stillschweigenden Einwilligung ist vorbei.

Das neue Jahr bringt für die Gastronomie- und Hotelbranche eine Zäsur in der Nutzung Künstlicher Intelligenz (KI). Wie eine Analyse der Frankfurter Allgemeinen Zeitung (FAZ) vom 31. Dezember 2025 zeigt, tritt nun eine entscheidende regulatorische Unterscheidung voll in Kraft: Die strikte Trennung zwischen der Verwendung von Gästedaten für die konkrete Service-Erbringung und der Nutzung derselben Daten zum Training von KI-Modellen für Profiling-Zwecke. Für eine Branche, die stark auf personalisierte Gästeprofile setzt, bedeutet dies das Ende impliziter Zustimmung.

Das neue Einwilligungsparadigma für KI-Training

Der Kern des Problems liegt in der Auslegung der Datenschutz-Grundverordnung (DSGVO). Bislang stützten sich Hoteliers oft auf “Vertragserfüllung” oder “berechtigtes Interesse”, um Daten für Buchungen und Serviceverbesserungen zu verarbeiten. Für das Training generativer KI-Modelle oder komplexer Profiling-Algorithmen gelten diese Rechtsgrundlagen jedoch zunehmend als unzureichend.

Die aktuelle Rechtsauffassung besagt: Die Nutzung von Gästehistorie – wie Zimmerpräferenzen oder Essgewohnheiten – zum Training eines KI-Systems stellt einen separaten Verarbeitungszweck dar. Dieser erfordert eine ausdrückliche, gesonderte Einwilligung der betroffenen Person. Eine pauschale Klausel in der Datenschutzerklärung (“Wir nutzen KI zur Serviceverbesserung”) reicht nicht mehr aus. Gäste müssen eine granularere Wahl erhalten: “Stimmen Sie zu, dass Ihre Aufenthaltsdaten zur Schulung unserer Personalisierungs-Algorithmen verwendet werden?”

Profiling in der Praxis: Der Ansatz der Hotel & Gastro Union

Die praktischen Auswirkungen zeigen sich bereits in aktualisierten Datenschutzrahmen der Branche. Die Dokumentation der Hotel & Gastro Union, gültig ab Anfang 2026, verdeutlicht das nun erwartete Detailniveau. Ihre Richtlinie behandelt explizit “Profiling und automatisierte Entscheidungsfindung” und trennt klar zwischen Profiling für Direktmarketing und für andere operative Zwecke.

Wichtig ist die Unterscheidung: Bei einer Verarbeitung aufgrund berechtigten Interesses haben Gäste ein absolutes Widerspruchsrecht. Für das invasivere KI-Training, das diese Profile speist, tendiert die Branche jedoch eindeutig zur Notwendigkeit einer Einwilligung nach Artikel 6(1)(a) DSGVO. Diese Trennung ist entscheidend für moderne Property-Management- und CRM-Systeme mit Machine-Learning-Komponenten.

Viele Unternehmen unterschätzen die Anforderungen der neuen EU-KI-Regeln – und riskieren dadurch Bußgelder oder Nutzungsverbote für trainierte Modelle. Ein praxisnahes, kostenloses E‑Book fasst die EU‑KI‑Verordnung kompakt zusammen: Risikoklassifizierung, Kennzeichnungspflichten und notwendige Dokumentationspflichten für Anbieter und Nutzer von KI-Systemen. Besonders relevant für Hoteliers, PMS- und CRM-Verantwortliche, die Daten für Training oder Profiling einsetzen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Regulatorischer Druck und die “Inference”-Verschiebung

Die regulatorische Lage wird nicht nur von der DSGVO, sondern auch vom EU-KI-Gesetz und globalen Standards wie dem kalifornischen KI-Transparenzgesetz geprägt, das am 1. Januar 2026 in Kraft trat. In Deutschland steht das Prinzip der Zweckbindung im Fokus: Für eine Buchung erhobene Daten können nicht automatisch für KI-Training umgenutzt werden.

Experten betonen, dass die Trennung von “Training” (Schaffung der Intelligenz) und “Inference” (Nutzung der Intelligenz) nicht nur technisch, sondern auch rechtlich ist. Ein Hotel darf eine vortrainierte KI legal nutzen, um einen Wein zu empfehlen. Es darf die Reaktion des Gastes jedoch nicht ohne spezielle Rechtsgrundlage zurück in das Modell einspeisen. Dieses “Einfrieren” des kontinuierlichen Lernens ohne Einwilligung stellt dynamische Preis- und Personalisierungs-Systeme vor Herausforderungen.

Operative Herausforderungen für Hoteliers

Für Hotelmanager und IT-Leiter steht im ersten Quartal 2026 eine rigorose Auditierung der Datenflüsse an. Zentrale Fragen sind:
* Nutzt unser PMS-Anbieter unsere Gästedaten zum Training seiner zentralen KI-Modelle?
* Erstellen unsere Marketing-Tools “Lookalike”-Zielgruppen auf Basis unserer Kundendaten?
* Haben wir eine spezifische Einwilligung für diese “sekundäre Datennutzung” eingeholt?

Das Risiko von Verstößen wird durch die wachsenden technischen Prüfkapazitäten der Aufsichtsbehörden wie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verschärft. Zudem müssen Mitarbeiter seit 2025 durch die Schulungspflicht des KI-Gesetzes in der Lage sein, diese KI-Prozesse gegenüber Gästen zu erklären.

Ausblick: Der Weg durch das Jahr 2026

Die Spannung zwischen Hyper-Personalisierung und strengem Datenschutz wird die Hospitality-Technologie 2026 prägen. Es ist mit dem Aufkommen von “Federated Learning”-Ansätzen zu rechnen, bei denen KI-Modelle lokal auf Geräten oder mit anonymisierten Aggregaten trainiert werden, um den Zugriff auf personenbezogene Rohdaten zu umgehen.

Vorläufig wird die “Einwilligung zum Profiling” jedoch zum Standard-Bestandteil des digitalen Check-Ins werden. Die ersten Tage des Januars 2026 machen deutlich: Im KI-Zeitalter sind Daten ein Vermögenswert, doch die Einwilligung ist die Währung, die sie nutzbar macht.

PS: Viele Hoteliers übersehen Fristen und Klassifizierungsregeln der EU-KI-Verordnung, die direkte Auswirkungen auf Training und Kennzeichnung von Modellen haben. Der kostenfreie Leitfaden erklärt Schritt für Schritt, wie Sie KI-Systeme korrekt klassifizieren, Kennzeichnungspflichten erfüllen und prüfungssichere Dokumentation aufbauen – damit Ihr PMS oder CRM auch bei Audits standhält. Jetzt KI-Umsetzungsleitfaden anfordern