EU AI Act und DSGVO im Hotel: was ab August 2026 wirklich gilt
Hochrisiko-Regeln verschoben, Transparenzpflichten kommen trotzdem: was Hoteliers jetzt über KI-Regulierung wissen müssen — ohne Panik, ohne Juristendeutsch.
Kaum ein Thema produziert in der Hotellerie gerade mehr Halbwissen als der EU AI Act. Die gute Nachricht: Für ein typisches Hotel ist die Lage deutlich entspannter, als viele Berater sie verkaufen. Die schlechte: Ganz ignorieren geht auch nicht. Hier ist der Stand — Juli 2026, nach der Digital-Omnibus-Einigung.
Hinweis: Dieser Artikel ist eine Praxis-Orientierung aus Hotelier-Sicht, keine Rechtsberatung. Für verbindliche Fragen gehört ein Anwalt an den Tisch.
Was gilt wann? Der Zeitplan in Kurzform
- Seit Februar 2025: Verbotene KI-Praktiken (z.B. Social Scoring) und die Pflicht, dass Mitarbeiter, die mit KI arbeiten, dafür geschult sind (KI-Kompetenz, Art. 4).
- Ab 2. August 2026: Allgemeine Transparenz- und Registrierungspflichten. Wer Gästen einen KI-Chatbot oder Voice-Agenten vorsetzt, muss das erkennbar machen.
- Ab 2. Dezember 2026: Kennzeichnungspflicht für KI-generierte Inhalte (Wasserzeichen oder maschinenlesbar).
- Verschoben auf 2. Dezember 2027: Die strengen Hochrisiko-Pflichten. Die EU hat diese Frist mit der Digital-Omnibus-Einigung von Ende Juni 2026 nach hinten gesetzt.
Ist die KI in meinem Hotel „Hochrisiko"?
In den allermeisten Fällen: nein. Ein Chatbot für Gästefragen, ein KI-gestütztes Übergabe-Tool, automatische Übersetzung oder ein Revenue-Vorschlagssystem sind keine Hochrisiko-Systeme im Sinne des AI Act. Für sie gelten Transparenz- und Sorgfaltspflichten, nicht das schwere Compliance-Programm.
Die wichtige Ausnahme ist der Personalbereich: KI, die über Einstellung, Beförderung, Kündigung oder Leistungsbewertung von Mitarbeitern mitentscheidet, gilt als Hochrisiko. Wer ein KI-Tool im Recruiting oder zur Mitarbeiterbewertung nutzt, sollte das ernst nehmen — auch wenn die harten Pflichten dafür jetzt erst Ende 2027 greifen.
Was habe ich als Hotelier konkret zu tun?
- 1
KI-Inventur machen
Eine einfache Liste: Welche Tools mit KI laufen im Haus — Chatbot, Channel-Manager, Übergabe-Tool, Übersetzung? Ohne Inventur keine Compliance-Aussage.
- 2
Transparenz beim Gast herstellen
Wo ein Gast mit KI spricht (Chatbot, Voice-Agent am Telefon), muss das ab August 2026 erkennbar sein. Ein ehrlicher Hinweis reicht — Verstecken ist keine Option mehr.
- 3
Team schulen und dokumentieren
Die KI-Kompetenz-Pflicht gilt schon. Eine kurze, dokumentierte Einweisung, was das Tool kann und was nicht, deckt den Alltag ab.
- 4
DSGVO-Basics prüfen
Der AI Act ersetzt die DSGVO nicht — sie läuft parallel weiter. Für jedes Tool mit Gäste- oder Mitarbeiterdaten gehören ein AVV-Vertrag, ein Blick auf den Serverstandort und ein Löschkonzept dazu.
- 5
Personal-KI gesondert anschauen
Alles, was Mitarbeiter bewertet oder über sie entscheidet, auf die lange Bank schieben oder sauber aufsetzen — halbherzig ist hier die schlechteste Option.
Worauf sollte ich bei KI-Anbietern achten?
Drei Fragen trennen seriöse Anbieter von riskanten: Wo liegen die Daten (EU-Datenresidenz)? Gibt es einen AVV-Vertrag ohne Nachverhandeln? Und sagt das System dem Nutzer, dass es KI ist? Wer diese drei Fragen nicht in einem Satz beantworten kann, hat seine Hausaufgaben nicht gemacht.
Wir haben avvicenda™ von Anfang an so gebaut: alle Daten in der EU gehostet, AVV-Vertrag für jeden Kunden, Sprachnotizen werden nach der Transkription gelöscht. KI-Regulierung ist für uns kein Nachrüst-Thema, sondern Teil des Produkts.
Muss ich mein Hotel irgendwo registrieren?
Als reiner Nutzer („Betreiber") von Standard-KI-Tools in der Regel nicht — die Registrierungspflichten treffen vor allem Anbieter und Hochrisiko-Systeme. Wer unsicher ist, fragt den Tool-Anbieter, welche Rolle das Haus einnimmt.
Drohen kleinen Hotels wirklich Bußgelder?
Die Bußgeldrahmen sind hoch, aber die Aufsicht zielt auf Anbieter und grobe Verstöße — nicht auf das Hotel, das einen Chatbot ehrlich kennzeichnet. Wer Transparenz, Schulung und DSGVO-Basics erledigt hat, ist für den Alltag sauber aufgestellt.
Was hat sich durch den Digital Omnibus geändert?
Die EU hat Ende Juni 2026 die Hochrisiko-Fristen auf Dezember 2027 verschoben und Erleichterungen für kleinere Unternehmen beschlossen. Die Transparenzpflichten ab August 2026 bleiben davon unberührt — die kommen wie geplant.
Schluss mit der Zettelwirtschaft.
Sieh dir avvicenda™ an — live in deinem Hotel in 24 Stunden.
