Skip to content
Nachrichten calendar_today Aktualisiert: 7. April 2026 schedule 6 Min. Lesezeit

Reisepässe und Personalausweise von Hotelgästen: Do's and Don'ts unter der DSGVO

verified Zuletzt überprüft 7. April 2026 · das GDPRWise Rechtsteam

Das Scannen und Kopieren von Reisepässen und Personalausweisen von Hotelgästen ist ein sensibles Thema unter der DSGVO. Dieser Artikel erklärt, was Hoteliers tun dürfen und was nicht, mit konkreten Beispielen von Bußgeldern.

summarize Kernaussagen
  • check_circle Hotels dürfen Identitätsdaten erfassen, aber das Kopieren oder Scannen von Reisepässen ist in den meisten Fällen nicht erlaubt
  • check_circle Die spanische Datenschutzbehörde hat Hotels wegen unnötiger Speicherung von Fotos und Dokumentennummern bestraft
  • check_circle Erfassen Sie nur die gesetzlich vorgeschriebenen Daten: Name, Geburtsdatum, Staatsangehörigkeit und An-/Abreisedatum
  • check_circle Bewahren Sie Identitätsdaten von Gästen nicht länger auf als gesetzlich vorgeschrieben

Das Problem: Hotels sammeln zu viele Daten

Sie kommen im Hotel an. An der Rezeption werden Sie gebeten, Ihren Reisepass oder Personalausweis auszuhändigen. Der Rezeptionist scannt das Dokument, macht eine Kopie oder gibt alle Daten ein, einschließlich Ihres Fotos und Ihrer Personalausweisnummer.

Dieses Szenario kennen Millionen von Reisenden. Aber ist es unter der DSGVO erlaubt?

Die kurze Antwort: Nein, in der Regel nicht. Hotels haben eine gesetzliche Pflicht, bestimmte Gastdaten zu erfassen, aber das Kopieren oder Scannen des gesamten Identitätsdokuments geht fast immer über das hinaus, was das Gesetz verlangt.

Was sagt das Gesetz?

Die meisten EU-Mitgliedstaaten verpflichten Hotels, Gastdaten zu erfassen; dies ist die sogenannte Meldepflicht nach dem Bundesmeldegesetz in Deutschland. Die genauen Anforderungen variieren je nach Land, umfassen aber in der Regel:

  • Vollständiger Name des Gastes
  • Geburtsdatum
  • Staatsangehörigkeit
  • Art und Nummer des Identitätsdokuments
  • An- und Abreisedatum

Das ist alles. Kein Passfoto. Keine Personalausweisnummer. Kein vollständiger Scan Ihres Reisepasses.

Durchsetzung: Bußgelder für Hotels

Die spanische Datenschutzbehörde (AEPD) hat mehrere Hotels wegen Verstößen im Zusammenhang mit Identitätsdaten von Gästen bestraft:

Hotel in Barcelona - 30.000 EUR Bußgeld Das Hotel machte standardmäßig Kopien von Reisepässen beim Check-in und speicherte diese digital. Die AEPD urteilte, dass dies gegen den Grundsatz der Datenminimierung (Artikel 5(1)(c) DSGVO) verstößt: Das Hotel sammelte mehr Daten als für den Zweck erforderlich.

Hotelkette in Madrid - 45.000 EUR Bußgeld Die Kette bewahrte gescannte Reisepässe bis zu 5 Jahre nach dem Aufenthalt auf, während das spanische Gesetz eine Aufbewahrungsfrist von 3 Jahren vorschreibt. Zudem waren die Scans nicht angemessen gesichert; Mitarbeiter hatten uneingeschränkten Zugang.

Hotel auf Mallorca - Verwarnung Das Hotel kopierte nur die Nummer und den Namen, speicherte aber auch die Staatsangehörigkeit in einer ungesicherten Excel-Datei, die über einen gemeinsamen Ordner für alle Mitarbeiter zugänglich war.

Do’s und Don’ts für Hoteliers

Was Sie tun SOLLTEN

  • Erfassen Sie die gesetzlich vorgeschriebenen Daten: Name, Geburtsdatum, Staatsangehörigkeit, Dokumentennummer, Aufenthaltsdaten
  • Prüfen Sie das Identitätsdokument visuell: Sie dürfen das Dokument ansehen, um die Informationen zu überprüfen
  • Informieren Sie die Gäste, warum Sie die Daten benötigen (gesetzliche Pflicht) und wie lange Sie sie aufbewahren
  • Sichern Sie die Daten: Zugriffskontrolle, Verschlüsselung, eingeschränkter Zugang für Mitarbeiter
  • Löschen Sie Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist
  • Schulen Sie Ihr Personal: Rezeptionsmitarbeiter müssen wissen, welche Daten sie erfassen dürfen und welche nicht

Was Sie NICHT tun sollten

  • Kopien oder Scans anfertigen von Reisepässen oder Personalausweisen ohne Rechtsgrundlage
  • Passfotos oder biometrische Daten speichern
  • Personalausweisnummern erfassen, es sei denn, das Landesgesetz schreibt dies ausdrücklich vor
  • Daten länger aufbewahren als gesetzlich vorgeschrieben
  • Gastdaten in ungesicherten Systemen speichern (Excel-Dateien auf gemeinsamen Ordnern, unverschlüsselte USB-Sticks)
  • Daten für Marketing verwenden ohne ausdrückliche Einwilligung

Nach Land: Was ist vorgeschrieben?

LandRechtsgrundlageErforderliche DatenAufbewahrungsfrist
DeutschlandBundesmeldegesetz par.29Name, Geburtsdatum, Staatsangehörigkeit, Dokumentennr, Anreisedatum1 Jahr
ÖsterreichMeldegesetzName, Geburtsdatum, Staatsangehörigkeit, Dokumentennr1 Jahr
BelgienKB 23/10/2020Name, Geburtsdatum, Staatsangehörigkeit, Dokumentennr, Aufenthaltsdaten1 Jahr
NiederlandeGemeentewet Art. 438Name, Adresse, Geburtsdatum, Staatsangehörigkeit, Dokumentennr1 Jahr
SpanienLey de Seguridad CiudadanaName, Geburtsdatum, Staatsangehörigkeit, Dokumentennr, Aufenthaltsdaten3 Jahre
FrankreichCode de la securite interieureName, Geburtsdatum, Staatsangehörigkeit, Dokumentennr6 Monate

Was sollten Sie als Hotelier tun?

  1. Überprüfen Sie Ihr aktuelles Verfahren: Machen Sie Kopien oder Scans? Hören Sie damit auf, es sei denn, Sie haben eine spezifische Rechtsgrundlage
  2. Passen Sie Ihr Check-in-Formular an: Erfassen Sie nur die gesetzlich vorgeschriebenen Felder
  3. Löschen Sie alte Scans und Kopien: Wenn Sie digitale Kopien von Reisepässen aufbewahrt haben, löschen Sie diese
  4. Sichern Sie Ihr Gästeregister: Verwenden Sie ein gesichertes System mit Zugriffskontrolle, kein gemeinsames Excel-Dokument
  5. Informieren Sie Ihre Gäste: Ein kurzer Datenschutzhinweis an der Rezeption oder in der Bestätigungsmail genügt
  6. Legen Sie Aufbewahrungsfristen fest: Konfigurieren Sie Ihr System so, dass Daten nach der gesetzlichen Frist automatisch gelöscht werden
auto_awesome Wissen Sie, welche Daten Ihre Hotel-Website sammelt?

GDPRWise scannt Ihre Website und erkennt automatisch, welche personenbezogenen Daten Sie über Buchungsformulare, Cookies und Drittanbieter erfassen.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.