Brauche ich einen Datenschutzbeauftragten für meinen Restaurant-Betrieb?

Erst bei mindestens 20 Personen, die regelmäßig personenbezogene Daten verarbeiten (§ 38 BDSG). Für die meisten Einzelbetriebe oder Kleinketten ist kein benannter Datenschutzbeauftragter pflichtig. Trotzdem empfehlenswert: externer DSB im Retainer bei steigender Komplexität (z. B. ab 5 Standorten oder eigenem Loyalty-Programm).

Ist Stripe DSGVO-konform als Zahlungsanbieter?

Ja, Stripe hat Standardvertragsklauseln (SCCs) im Einsatz und eine belastbare DSGVO-Dokumentation. Wichtig: Du musst in deiner eigenen Datenschutzerklärung auf Stripe als Zahlungsanbieter hinweisen und die Drittlandübermittlung (Stripe-Konzern in den USA) transparent machen — Mustertexte stellen seriöse Bestellsysteme bereit.

Muss ich alle Cookies nach TTDSG in einen Banner packen?

Nein, nur nicht-essenzielle Cookies brauchen aktive Einwilligung. Technisch notwendige Cookies (z. B. Warenkorb-Session, Spracheinstellung, Login) sind einwilligungsfrei, weil sie für die Website-Funktion unverzichtbar sind (Art. 25 Abs. 2 TTDSG). Tracking, Marketing und Analytics brauchen dagegen Einwilligung.

Wie lange darf ich Bestelldaten aufbewahren?

Zahlungsrelevante Daten (Rechnungen, Umsatzsteuer-relevante Info) musst du 10 Jahre nach § 147 AO aufbewahren. Andere personenbezogene Daten (Kundenkonto, Bestellhistorie ohne Rechnungsfunktion) solltest du nach 3 Jahren löschen, wenn keine erneute Bestellung mehr erfolgt ist — Orientierung: Ablauf der regelmäßigen Verjährung im Zivilrecht (§ 195 BGB).

Was ist der Unterschied zwischen DSGVO und TTDSG?

DSGVO ist EU-weit und regelt den Umgang mit personenbezogenen Daten allgemein. TTDSG ist deutsches Recht, in Kraft seit 1.12.2021, und regelt speziell das Speichern von Informationen auf Endgeräten (Cookies, LocalStorage, Fingerprinting). Für Cookie-Banner und Tracking-Tools ist TTDSG die primäre Rechtsgrundlage, DSGVO ergänzt zu personenbezogenen Daten.

Kann ich die DSGVO-Vorgaben einfach ignorieren, weil ich klein bin?

Nein. Die DSGVO gilt unabhängig von der Betriebsgröße. Bußgelder werden zwar nach Schwere und Unternehmensgröße gestaffelt, aber auch kleine Betriebe wurden schon mit 2 000–10 000 € belegt bei systematischen Verstößen (z. B. fehlende Datenschutzerklärung, E-Mail-Werbung ohne Einwilligung). Der pragmatische Standardfall ist mit 2–4 Stunden Aufwand abgedeckt.

Alle Ratgeber-Artikel

Recht & Compliance

DSGVO-Checkliste für Online-Bestellungen in der Gastronomie

Wer Online-Bestellungen annimmt, verarbeitet personenbezogene Daten: Namen, Adressen, Telefon, Zahlungsinformationen. Was DSGVO dafür verlangt — und wie du es pragmatisch umsetzt, ohne Anwaltskosten.

21. April 202610 Min Lesezeit2.250 Wörter

Sobald du Online-Bestellungen annimmst, verarbeitest du personenbezogene Daten: Name, Liefer- und Rechnungsadresse, Telefonnummer, E-Mail, Bestellhistorie, Zahlungsdaten. Die DSGVO verlangt dafür klare Regeln — und bei Verstößen drohen Bußgelder bis zu 4 % des Jahresumsatzes. Diese Checkliste zeigt dir, was du wirklich brauchst.

Die 7 Pflichtbausteine

1Datenschutzerklärung auf der Bestell-Seite
2Rechtmäßigkeitsgrundlage für jede Verarbeitung (meistens Vertragserfüllung)
3Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Bestellsystem-Anbieter
4Einwilligung für Marketing-Mails (separat von der Bestellung)
5Cookie-Banner nach TTDSG (für nicht-essenzielle Cookies)
6Auskunfts-/Löschrecht: Prozess für Kundenanfragen
7Dokumentation im Verarbeitungsverzeichnis (Art. 30 DSGVO)

1. Datenschutzerklärung — was rein muss

Die Datenschutzerklärung muss für Gäste ohne Klick-Aufwand erreichbar sein — typisch als Footer-Link „Datenschutz" auf jeder Seite. Inhaltlich sind diese Blöcke verpflichtend:

Wer bist du (Verantwortlicher nach Art. 4 Abs. 7) — Name, Anschrift, E-Mail, Telefon des Betriebs
Welche Daten erhebst du (Name, Adresse, Zahlung, Cookies …) und wozu
Rechtsgrundlage je Datenverarbeitung (in der Regel Art. 6 Abs. 1 lit. b — Vertragserfüllung)
Speicherdauer (z. B. 10 Jahre für steuerliche Buchungen, 3 Jahre für Bestelldaten)
Rechte der Betroffenen (Auskunft, Löschung, Berichtigung, Widerspruch)
Beschwerderecht bei der Aufsichtsbehörde
Ggf. Drittlandübermittlung (z. B. wenn Stripe-Daten in die USA fließen)

Pragma-Tipp

gastro25 generiert automatisch eine individualisierte DSGVO-Erklärung auf Basis deiner Betriebsdaten und der aktivierten Features (Stripe, Telegram, Analytics). Das deckt den Standardfall zu 95 % ab — für Spezialfälle (eigener Newsletter-Tool, Customer-Loyalty-App) empfiehlt sich ein kurzer Anwaltsblick.

2. AV-Vertrag mit dem Bestellsystem-Anbieter

Sobald du ein Bestellsystem (SaaS) nutzt, verarbeitet der Anbieter personenbezogene Daten deiner Gäste in deinem Auftrag. Das ist Auftragsverarbeitung nach Art. 28 DSGVO — und verlangt einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag).

Was der AV-Vertrag regeln muss

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung (Bestellabwicklung, Zahlungsverkehr, Kommunikation)
Kategorien betroffener Personen (Gäste) und Datenarten
Technisch-organisatorische Maßnahmen (TOMs) des Anbieters
Umgang mit Unter-Auftragsverarbeitern (z. B. Hosting-Provider, Stripe)
Pflichten bei Datenpannen und Meldefristen

100 %

Anteil der Gastronomen, die einen AV-Vertrag mit dem SaaS-Anbieter brauchen

Quelle: Art. 28 DSGVO

Seriöse SaaS-Anbieter stellen einen AV-Vertrag als PDF zum Download bereit — idealerweise direkt im Admin-Bereich. Bei gastro25 ist der AV-Vertrag einseitig automatisch generiert und per Klick in deinem Dashboard herunterladbar.

3. Rechtsgrundlage pro Datenfluss

Typische Rechtsgrundlagen für Gastro-Daten

Datenfluss	Rechtsgrundlage	DSGVO-Artikel
Bestellabwicklung (Name, Adresse, Bestellung)	Vertragserfüllung	Art. 6 Abs. 1 b
Zahlungsabwicklung	Vertragserfüllung	Art. 6 Abs. 1 b
Rechnungspflicht, 10-Jahre-Aufbewahrung	Rechtliche Verpflichtung	Art. 6 Abs. 1 c
Marketing-Newsletter	Einwilligung	Art. 6 Abs. 1 a
Analytics / Tracking-Cookies	Einwilligung	Art. 6 Abs. 1 a + TTDSG
Website-Funktion (essentielle Cookies)	Berechtigtes Interesse	Art. 6 Abs. 1 f

Häufiger Fehler

Newsletter-Einwilligung nicht mit Bestell-Opt-in bündeln — das ist rechtlich unsauber („Koppelungsverbot"). Bestellung und Marketing-Einwilligung müssen zwei getrennte Checkboxen sein, Marketing nicht vorangekreuzt.

Seit Dezember 2021 gilt in Deutschland das TTDSG, das EU-Cookie-Richtlinie und DSGVO zusammenführt. Kurz gesagt: Nicht-essenzielle Cookies (Tracking, Analytics, Werbung) dürfen erst nach aktiver Einwilligung gesetzt werden. Essenzielle Cookies (z. B. Warenkorb-Session) sind einwilligungsfrei.

"Alle akzeptieren" und "Alle ablehnen" müssen gleichberechtigt sichtbar sein (BGH-Entscheidung 2022)
Kein Dark Pattern mit „Akzeptieren"-Button in Orange und „Ablehnen" in Grau auf Grau
Granulare Auswahl pro Kategorie (z. B. Marketing, Analytics, Funktion) möglich
Einwilligung widerruflich, Widerruf muss genauso einfach sein wie die Zustimmung
Alter der Einwilligung dokumentieren für Audit-Nachweis

5. Betroffenenrechte umsetzen

Gäste können jederzeit Auskunft, Löschung, Berichtigung oder Datenübertragung verlangen. Du musst innerhalb von einem Monat antworten (Art. 12 Abs. 3 DSGVO).

1Zentrale E-Mail für Datenschutz-Anfragen (z. B. [email protected])
2Prozess definieren: Empfang, Identifikation, Beantwortung innerhalb 30 Tage
3CSV-Export deiner Kundendaten auf Knopfdruck (gastro25 liefert das im Admin)
4Lösch-Funktion: Kundenkonto auf Wunsch anonymisieren (personenbezogene Felder nullen, Bestell-IDs für Buchhaltung behalten)
5Widerrufs-Link in jeder Marketing-Mail

6. Datenpannen — Was zu tun ist

Bei Datenpannen (z. B. gehacktes E-Mail-Konto mit Kunden-Bestelldaten) hast du eine gesetzliche Meldepflicht:

72 Stunden zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
Information der betroffenen Gäste bei hohem Risiko (Art. 34 DSGVO)
Dokumentation in deinem Verzeichnis aller Datenpannen mit Ursache und Abhilfe

7. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Pflicht für Betriebe, die regelmäßig personenbezogene Daten verarbeiten. Format: Tabelle mit Zweck, Datenart, Rechtsgrundlage, Empfänger, Löschfristen pro Datenfluss. Muss bei einer Prüfung vorgelegt werden können, aber nicht öffentlich einsehbar sein.

Vorlage

Die gängige Mini-Vorlage für Gastro-Betriebe enthält typischerweise 5–8 Einträge: Bestellabwicklung, Zahlungsabwicklung, Buchhaltung, Newsletter, Beschwerdemanagement, ggf. Reservierung und CCTV. Einmal sauber aufgesetzt, reicht eine jährliche Aktualisierung.

DSGVO-Punkte für Filialen und Franchise ansehen

Gerade bei mehreren Standorten werden Rollen, AV-Verträge und Löschprozesse schnell komplex.

Datenschutz- und Allergenanforderungen für Sushi ansehen

Mit Blick auf Vorbestellung, Lieferzonen und sensible Produktinformationen.

Was gastro25 für dich erledigt

EU-Hosting (Frankfurt) — keine Drittlandübermittlung für Kern-Datenfluss
TLS 1.3 Verschlüsselung von Ende zu Ende
Auto-generierte Datenschutzerklärung mit deinen Betriebsdaten
AV-Vertrag als PDF im Admin-Bereich downloadbar
Einwilligungs-Checkbox für Marketing (getrennt vom Bestell-Opt-in)
Cookie-Banner-Widget konfigurierbar mit Deny-All-Button
CSV-Export aller Kundendaten auf Knopfdruck für Auskunftsrechte
Anonymisierungs-Funktion für Löschanfragen
Stripe als PCI-DSS-Level-1-Auditor für Zahlungsdaten (du hostest keine Karteninfos)

Zum DSGVO-konformen Bestellsystem

gastro25 bringt alle DSGVO-Bausteine direkt mit — AV-Vertrag, Datenschutzerklärung, EU-Hosting inklusive.

FAQ

Weitere Fragen dazu

Was Leser:innen zu diesem Thema am öftesten fragen.