Zurück zum Blog
ComplianceSwitzerland

Schweizer Datenschutz für Restaurants (revDSG/DSGVO)

miMesa·12. Februar 2026·8 min read

Datenschutz ist nicht nur ein Thema für Technologieunternehmen und Banken. Jedes Unternehmen, das persönliche Daten seiner Kunden erhebt, hat rechtliche Pflichten, und Restaurants bilden keine Ausnahme. Jede Reservierung, jedes Gästeprofil, jede für einen Newsletter gesammelte E-Mail-Adresse stellt personenbezogene Daten dar, die verantwortungsvoll und in Übereinstimmung mit dem geltenden Recht behandelt werden müssen.

Für Restaurants in der Schweiz umfasst die regulatorische Landschaft das revidierte Schweizer Bundesgesetz über den Datenschutz (revDSG), das im September 2023 in Kraft trat, sowie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die immer dann gilt, wenn Daten von EU-Ansässigen verarbeitet werden. Das Verständnis dieser Pflichten ist nicht optional. Verstösse können zu Bussen, Reputationsschäden und Vertrauensverlust bei den Gästen führen.

Dieser Artikel bietet einen praktischen Überblick darüber, was Schweizer Restaurants wissen müssen.

Welche Daten erheben Restaurants tatsächlich?

Bevor wir die rechtlichen Anforderungen behandeln, hilft es, den Umfang der Daten zu verstehen, die ein typisches Restaurant verarbeitet. Die Liste ist oft länger, als Betreiber annehmen:

  • Reservierungsdaten: Gastname, Telefonnummer, E-Mail-Adresse, Gruppengrösse, Datum und Uhrzeit.
  • Ernährungs- und Gesundheitsinformationen: Allergien, Unverträglichkeiten und Ernährungseinschränkungen. Diese gelten sowohl nach dem revDSG als auch nach der DSGVO als besonders schützenswerte Daten.
  • Besuchshistorie: Besuchshäufigkeit, bevorzugte Tische, vergangene Bestellungen und Ausgabenmuster.
  • Kommunikationsaufzeichnungen: E-Mails, SMS-Nachrichten und Marketing-Opt-ins.
  • Zahlungsinformationen: Kreditkartendaten, die für Anzahlungen oder No-Show-Garantien erhoben werden.
  • Feedback und Bewertungen: Beschwerden, Komplimente und Umfrageantworten der Gäste.
  • Von Mitarbeitern eingegebene Notizen: Subjektive Beobachtungen über Gästepräferenzen, VIP-Status oder Verhalten.

Jeder dieser Datenpunkte bringt spezifische Pflichten bezüglich Erhebung, Speicherung, Nutzung und Löschung mit sich. Die Zeiten, in denen Gästeinformationen ohne Rahmenwerk gesammelt wurden, sind vorbei.

Das revDSG: Was Schweizer Restaurants wissen müssen

Das revidierte Schweizer Bundesgesetz über den Datenschutz, üblicherweise als revDSG bezeichnet, hat den Schweizer Datenschutzrahmen modernisiert, um ihn stärker an die DSGVO anzugleichen, wobei einige typisch schweizerische Merkmale beibehalten wurden.

Wichtige Bestimmungen für Restaurants:

  • Transparenzpflicht. Sie müssen Personen über die Erhebung ihrer personenbezogenen Daten, den Zweck der Verarbeitung und jede Weitergabe an Dritte informieren. Dies wird typischerweise durch eine Datenschutzerklärung erreicht, die auf Ihrer Website zugänglich ist und während des Buchungsprozesses referenziert wird.
  • Zweckbindung. Daten, die für einen Zweck erhoben wurden (eine Reservierung vornehmen), dürfen nicht für einen anderen Zweck (Verkauf an einen Marketingpartner) ohne zusätzliche Einwilligung verwendet werden.
  • Datenminimierung. Erheben Sie nur die Daten, die Sie tatsächlich benötigen. Wenn Sie das Geburtsdatum eines Gastes nicht für die Reservierung brauchen, fragen Sie nicht danach.
  • Sicherheitsanforderungen. Angemessene technische und organisatorische Massnahmen müssen implementiert sein, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
  • Auskunfts- und Löschungsrecht. Gäste haben das Recht, eine Kopie der über sie gespeicherten Daten anzufordern und deren Löschung zu verlangen, vorbehaltlich bestimmter Ausnahmen (wie gesetzlicher Aufbewahrungspflichten).
  • Meldepflicht bei Datenschutzverletzungen. Bei einer Datenschutzverletzung, die ein hohes Risiko für die betroffenen Personen darstellt, müssen Sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell wie möglich benachrichtigen.
  • Persönliche Haftung. Anders als die DSGVO, die primär auf Organisationen abzielt, kann das revDSG Bussen gegen verantwortliche Personen (wie Eigentümer oder Geschäftsführer) verhängen, mit Strafen bis zu 250.000 CHF.

Die Bestimmung zur persönlichen Haftung ist besonders wichtig für Restauranteigentümer und -betreiber. Nicht nur die Geschäftseinheit sieht sich Konsequenzen gegenüber; Entscheidungsträger können persönlich zur Verantwortung gezogen werden.

DSGVO-Überschneidung für Schweizer Restaurants

Obwohl die Schweiz kein EU-Mitgliedstaat ist, gilt die DSGVO für Schweizer Restaurants in mehreren Szenarien:

  • Gäste mit Wohnsitz in der EU/EWR. Wenn Ihr Restaurant Daten von Gästen erhebt, die in EU- oder EWR-Ländern ansässig sind, ob sie online buchen oder ohne Reservierung kommen, gilt die DSGVO für die Verarbeitung ihrer Daten.
  • Online-Buchungen aus EU-Ländern. Wenn Ihre Website für Personen in der EU zugänglich ist und von ihnen genutzt wird (was fast sicher der Fall ist), können die Bestimmungen der DSGVO gelten.
  • Grenzüberschreitende Datenübermittlungen. Wenn Sie Dienstleister nutzen (Cloud-Hosting, E-Mail-Marketing, Zahlungsabwickler), die Daten in die oder aus der EU übermitteln, ist die DSGVO-Konformität relevant.

Für Restaurants in Tourismusgebieten, Grenzregionen oder Städten mit bedeutendem internationalen Besucheraufkommen ist die DSGVO-Konformität nicht theoretisch. Sie ist eine praktische Notwendigkeit.

Die wichtigsten zusätzlichen Anforderungen der DSGVO umfassen:

  • Ausdrückliche Einwilligung für Marketing. Vorangekreuzte Kästchen und stillschweigende Einwilligung reichen nicht aus. Gäste müssen aktiv in Marketingkommunikation einwilligen.
  • Datenschutzbeauftragter (DSB). Während die meisten kleinen Restaurants keinen formellen DSB benötigen, können grössere Betriebe oder Restaurantgruppen, die Daten in grossem Umfang verarbeiten, einen benötigen.
  • Recht auf Datenübertragbarkeit. Gäste können ihre Daten in einem gängigen, maschinenlesbaren Format anfordern.

Einwilligung: Richtig machen

Die Einwilligung ist einer der am meisten missverstandenen Aspekte des Datenschutzes. Viele Restaurants nehmen an, dass ein Gast, der seine E-Mail für eine Reservierung angegeben hat, damit in Marketing-E-Mails eingewilligt hat. Das hat er nicht.

Ordnungsgemässes Einwilligungsmanagement erfordert:

  • Separate Einwilligung für separate Zwecke. Die Einwilligung zur Datenverarbeitung für eine Reservierung ist verschieden von der Einwilligung zum Empfang von Werbe-E-Mails. Jede erfordert eine eigene klare, bejahende Handlung.
  • Kein Koppelungsverbot. Machen Sie die Marketing-Einwilligung nicht zur Bedingung für eine Reservierung. Der Gast muss buchen können, ohne sich für Ihren Newsletter anzumelden.
  • Einfacher Widerruf. Gäste müssen ihre Einwilligung jederzeit widerrufen können, und der Prozess muss so einfach sein wie der Prozess der Erteilung. Jede Marketing-E-Mail sollte einen deutlichen Abmeldelink enthalten.
  • Nachweisführung. Führen Sie Aufzeichnungen darüber, wann und wie die Einwilligung eingeholt wurde. Im Streitfall müssen Sie nachweisen können, dass der Gast aktiv zugestimmt hat.

Für reservierungsbezogene Kommunikation (Bestätigungen, Erinnerungen und Nachfassaktionen, die direkt mit der Buchung zusammenhängen) ist eine Einwilligung in der Regel nicht erforderlich, da die Verarbeitung für die Vertragserfüllung (die Reservierung) notwendig ist. Alles, was über den Rahmen der spezifischen Buchung hinausgeht – wie Newsletter, Werbeangebote oder Zufriedenheitsumfragen – erfordert jedoch eine ausdrückliche Einwilligung.

Der Vorteil des Schweizer Hostings

Wo Ihre Gästedaten gespeichert werden, ist wichtig – sowohl rechtlich als auch praktisch. Für Schweizer Restaurants bietet die Wahl eines Technologieanbieters, der Daten in der Schweiz hostet, erhebliche Vorteile:

  • Vereinfachte Compliance. Wenn die Daten in der Schweiz bleiben, gelten die komplexen Regeln für internationale Datenübermittlungen (insbesondere in Länder ohne angemessenes Datenschutzniveau) nicht.
  • Schweizer Rechtshoheit. In der Schweiz gehostete Daten unterliegen dem Schweizer Recht und Schweizer Gerichten, was Rechtsklarheit und Stabilität bietet.
  • Gästevertrauen. Die Schweizer Datenschutzstandards geniessen international hohes Ansehen. Die Kommunikation, dass Ihre Gästedaten in der Schweiz gespeichert werden, stärkt das Vertrauen.
  • Keine Exposition gegenüber ausländischem Behördenzugriff. Ausserhalb der Schweiz gespeicherte Daten können ausländischen Behördenanfragen nach Gesetzen wie dem US CLOUD Act unterliegen. Schweizer Hosting vermeidet diese Exposition.

Fragen Sie bei der Evaluierung von Reservierungsplattformen, wo die Daten gespeichert werden. Eine Plattform wie miMesa, die Daten in der Schweiz hostet, eliminiert die Bedenken bezüglich grenzüberschreitender Übermittlungen, die mit anderswo ansässigen Plattformen einhergehen.

Praktische Schritte zur Compliance

Compliance erfordert keine Rechtsabteilung. Für die meisten Restaurants decken die folgenden praktischen Schritte das Wesentliche ab:

  1. Erstellen oder aktualisieren Sie Ihre Datenschutzerklärung. Sie sollte erklären, welche Daten Sie erheben, warum, wie lange Sie sie aufbewahren und wie Gäste ihre Rechte ausüben können. Machen Sie sie auf Ihrer Website zugänglich.
  2. Überprüfen Sie Ihren Buchungsprozess. Stellen Sie sicher, dass die Einwilligung für Marketing von der Reservierung selbst getrennt ist und dass Sie nur die Daten erheben, die Sie tatsächlich benötigen.
  3. Überprüfen Sie Ihre Technologieanbieter. Verstehen Sie, wo Ihre Daten gespeichert werden, wer Zugang hat und welche Sicherheitsmassnahmen bestehen. Stellen Sie sicher, dass Verträge angemessene Datenverarbeitungsvereinbarungen enthalten.
  4. Schulen Sie Ihr Personal. Service- und Managementteams sollten die Grundlagen des Datenumgangs verstehen: was aufzuzeichnen ist, wie es zu speichern ist und wie auf Gästeanfragen zu ihren Daten zu reagieren ist.
  5. Legen Sie eine Datenaufbewahrungsrichtlinie fest. Entscheiden Sie, wie lange Sie Gästedaten aufbewahren, und löschen Sie sie nach Ablauf der Aufbewahrungsfrist. Daten auf unbestimmte Zeit „für alle Fälle" aufzubewahren, ist nicht konform.
  6. Planen Sie für Datenschutzverletzungen. Selbst bei guter Sicherheit können Verletzungen auftreten. Halten Sie einen einfachen Plan bereit, wen zu benachrichtigen ist und welche Schritte zu unternehmen sind.

Fazit

Datenschutz-Compliance ist eine fortlaufende Verantwortung, kein einmaliges Projekt. Für Schweizer Restaurants schafft die Kombination aus revDSG und potenzieller DSGVO-Exposition ein regulatorisches Umfeld, das Aufmerksamkeit erfordert. Aber der Aufwand lohnt sich über die reine Rechtskonformität hinaus. Gäste achten zunehmend darauf, wie mit ihren persönlichen Daten umgegangen wird, und Restaurants, die verantwortungsvolle Datenpraktiken demonstrieren, bauen tieferes Vertrauen auf.

Die Grundlage der Compliance ist unkompliziert: Seien Sie transparent darüber, was Sie erheben, erheben Sie nur, was Sie brauchen, schützen Sie es angemessen, nutzen Sie es nur für die angegebenen Zwecke und löschen Sie es, wenn es nicht mehr benötigt wird. Mit dem richtigen Technologiepartner und einer Kultur des Respekts für die Privatsphäre der Gäste wird Compliance zu einem natürlichen Teil Ihres Betriebs statt zu einer lästigen Pflicht.