DSGVO & RECHT

DSGVO im Hotel-E-Mail-Marketing: die Checkliste, die vor Abmahnungen schützt

Füllfederhalter auf einem Vertragsdokument

E-Mail-Marketing im Hotel bewegt sich zwischen zwei Gesetzen: der DSGVO (Verarbeitung personenbezogener Daten) und dem UWG (unzumutbare Belästigung durch Werbung). Die meisten Abmahnungen entstehen nicht aus Bosheit, sondern aus Altlasten: importierte Excel-Listen ohne Nachweis, Messekontakte von 2019, das Häkchen, das „schon immer so gesetzt“ war. Diese Checkliste räumt auf – Punkt für Punkt, ohne Juristendeutsch. Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung.

1. Rechtsgrundlage: Woher darf jeder Kontakt angeschrieben werden?

Für werbliche E-Mails kommen im Hotel praktisch zwei Grundlagen infrage:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 7 Abs. 2 UWG): Der Königsweg. Aktiv, informiert, freiwillig – kein vorangekreuztes Kästchen, keine versteckte Klausel in den AGB.
  • Bestandskunden-Ausnahme (§ 7 Abs. 3 UWG): Für Gäste, die gebucht haben – unter vier Voraussetzungen, die alle gleichzeitig erfüllt sein müssen (siehe FAQ unten). Sauber dokumentiert ist das legitim; „wir hatten ja mal Kontakt“ ist es nicht.

Jeder Kontakt in Ihrer Liste braucht ein Feld: Woher stammt die Erlaubnis? Wer das nicht beantworten kann, sollte den Kontakt nicht anschreiben.

2. Double-Opt-in mit beweissicherem Protokoll

Anmeldung → Bestätigungs-Mail → Klick. Erst der Klick macht den Kontakt versandfähig. Entscheidend ist das Consent-Log: Zeitpunkt, IP-Adresse, Quelle (welches Formular, welche Seite) und der exakte Einwilligungstext, dem zugestimmt wurde. Im Streitfall tragen Sie die Beweislast – ein Log-Eintrag entscheidet dann zwischen „erledigt“ und „teuer“. Die Bestätigungs-Mail selbst muss übrigens werbefrei sein.

3. Abmeldung: ein Klick, sofort, überall

Jede werbliche Mail braucht einen funktionierenden Abmeldelink – ohne Login, ohne „Warum möchten Sie uns verlassen?“-Hürdenlauf. Technisch dazu: der List-Unsubscribe-Header, den Gmail und andere Anbieter inzwischen faktisch voraussetzen. Und die goldene Systemregel: Die Abmeldung (Suppression) gewinnt immer – gegen jede Kampagne, jeden Flow, jeden Import. Ein einmal abgemeldeter Kontakt darf durch keinen späteren Listen-Upload wieder aufwachen.

4. Tracking nur mit Einwilligung

Öffnungs- und Klick-Tracking sowie Website-Tracking (etwa für Recovery-Strecken) sind einwilligungspflichtig (§ 25 TDDDG). Das heißt konkret: Das Tracking-Snippet feuert erst nach Zustimmung im Cookie-Banner, und Ihre Datenschutzerklärung beschreibt, was erfasst wird. Seriöse Systeme sind darauf gebaut und koppeln sich an Ihre Consent-Lösung.

5. Auftragsverarbeitung und Datenstandort

Ihr E-Mail-Tool verarbeitet Gästedaten in Ihrem Auftrag – dafür braucht es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dokumentierten technischen und organisatorischen Maßnahmen. Prüfenswert: Wo stehen die Server? Verarbeitung in Deutschland vereinfacht die Bewertung erheblich; bei US-Diensten müssen Sie sich mit Drittlandtransfers auseinandersetzen. Fragen Sie außerdem nach der Liste der Unterauftragsverarbeiter.

6. Betroffenenrechte: Auskunft, Export, Löschung

Ein Gast fragt, was Sie über ihn gespeichert haben – können Sie in angemessener Zeit antworten? Auskunft (Art. 15), Datenübertragbarkeit (Art. 20) und Löschung (Art. 17) sollten Funktionen Ihres Systems sein, keine Wochenprojekte. Wichtig bei der Löschung: Der Kontakt wandert in eine Sperrliste, damit er nicht durch einen späteren Import wiederaufersteht – Löschen ohne Sperren ist eine Falle.

7. Die Migrations-Falle: Altlisten übernehmen

Beim Wechsel des E-Mail-Tools entscheidet sich die Compliance neu. Übernehmen Sie pro Kontakt die Rechtsgrundlage (DOI-Nachweis, Bestandskunde, migrierte Einwilligung) und zwingend die Abmelde- und Bounce-Listen. Der häufigste Fehler: Es wird nur die „Aktiv“-Liste exportiert – und ehemals Abgemeldete bekommen wieder Post. Das ist der direkteste Weg zur Beschwerde.

Die Kurz-Checkliste zum Abhaken

  • Rechtsgrundlage pro Kontakt dokumentiert (Einwilligung oder § 7 Abs. 3 UWG)
  • Double-Opt-in mit Consent-Log (Zeit, IP, Quelle, Text)
  • One-Click-Abmeldung + List-Unsubscribe-Header, Suppression gewinnt immer
  • Tracking erst nach Cookie-Einwilligung, Datenschutzerklärung aktuell
  • AV-Vertrag mit dem Tool-Anbieter, Datenstandort geklärt
  • Auskunft, Export und Löschung als Funktion – mit Sperrliste
  • Bei Migration: Rechtsgrundlagen und Abmeldelisten vollständig übernommen
  • Impressum und Abmeldelink in jeder werblichen Mail

Praxisfälle aus dem Hotelalltag – richtig gelöst

  • Die Messe-Visitenkarten: Ein Stapel Kontakte von der Ferienmesse darf nicht einfach in den Verteiler. Richtig: eine einzelne, nicht-werbliche Einladung zum Double-Opt-in („Sie wollten unseren Newsletter – hier bestätigen“) und danach nur die Bestätigten anschreiben.
  • Der WLAN-Login: Einwilligung im Captive Portal ist zulässig, wenn sie freiwillig ist – das WLAN darf nicht vom Newsletter-Häkchen abhängen. Getrennte Checkbox, klarer Text, Log speichern.
  • Die Gutschein-Käuferin: Kauf eines Geschenkgutscheins ist ein Vertragsverhältnis – § 7 Abs. 3 UWG kann greifen, aber nur für ähnliche Leistungen und mit Widerspruchshinweis ab der ersten Mail. Sicherer: beim Kauf aktiv um Einwilligung bitten.
  • Die alte Excel von 2019: Ohne dokumentierte Rechtsgrundlage ist die Liste wertlos – so schwer das fällt. Ein einmaliger Reaktivierungsversuch ist rechtlich heikel; im Zweifel gehört sie gelöscht statt riskiert.

Das Consent-Log im Detail: Was drinstehen muss

Wenn ein Betroffener oder eine Behörde fragt, müssen Sie pro Kontakt belegen können:

  1. Wann – Zeitstempel von Anmeldung und Bestätigungsklick.
  2. Woher – Quelle (welches Formular, welche Seite, welches Popup).
  3. Wozu – der exakte Einwilligungstext in der damals gültigen Fassung.
  4. Wie – technische Nachweise (IP, Bestätigungs-Token).
  5. Bis wann – Widerrufe und Abmeldungen mit Zeitstempel, unlöschbar in der Sperrliste.

Gute Systeme führen dieses Log automatisch und exportierbar. Wenn Ihr aktuelles Tool das nicht kann, ist das allein ein Wechselgrund.

Der Jahres-Check: 30 Minuten, einmal pro Quartal

  • Testanmeldung durchspielen: DOI-Mail da? Log-Eintrag vollständig? Abmeldung wirkt sofort?
  • Stichprobe: 10 zufällige Kontakte – ist die Rechtsgrundlage dokumentiert?
  • Datenschutzerklärung gegen tatsächlich eingesetzte Dienste abgleichen.
  • Unterauftragsverarbeiter-Liste des Anbieters auf Änderungen prüfen.
  • Sunset-Regel läuft? Chronisch Inaktive sammeln sich sonst unbemerkt an.
DSGVO-Konformität ist im E-Mail-Marketing kein Bremsklotz – sie ist die Eintrittskarte für den Kanal mit der besten Marge, den ein Hotel hat.

Häufige Fragen

Nur unter den engen Voraussetzungen des § 7 Abs. 3 UWG: Die E-Mail-Adresse stammt aus dem Buchungsverhältnis, Sie bewerben ähnliche eigene Leistungen, der Gast wurde bei Erhebung auf das Widerspruchsrecht hingewiesen und hat nicht widersprochen – und jeder Newsletter enthält den Hinweis erneut. Fehlt eine der Voraussetzungen, brauchen Sie eine Einwilligung. Im Zweifel: Einwilligung aktiv einholen, das ist der sichere Weg.
Praktisch nein. Ohne Double-Opt-in können Sie nicht beweisen, dass wirklich der Inhaber der Adresse eingewilligt hat – und die Beweislast liegt bei Ihnen. Der Bestätigungsklick mit protokolliertem Zeitpunkt, IP und Einwilligungstext ist der Standard, den Gerichte erwarten.
Solange die Rechtsgrundlage trägt: Eine Einwilligung gilt, bis sie widerrufen wird – aber bei jahrelanger Inaktivität kann sie 'verbrauchen'. Gute Praxis ist ein Sunset-Prozess: Nach längerer Inaktivität ein Reaktivierungsversuch, danach wird der Kontakt vom Marketing ausgeschlossen. Unabhängig davon gelten für Buchungs- und Rechnungsdaten die gesetzlichen Aufbewahrungsfristen.
Ja. Unerlaubte Werbe-E-Mails sind ein Klassiker für Abmahnungen durch Mitbewerber und Betroffene; dazu kommen mögliche Bußgelder der Aufsichtsbehörden. Die gute Nachricht: Mit Double-Opt-in, Consent-Log, funktionierender Abmeldung und Suppression-Liste sind die Hauptrisiken systematisch abgedeckt – das ist Prozess, keine Magie.