EU AI Act Hotellerie: Anforderungen & Pflichten für Hotels

Der EU AI Act stuft die meisten KI-Anwendungen im Gastgewerbe als minimal- oder begrenzt riskant ein – dynamische Preisgestaltung, Buchungsempfehlungen und Chatbot-Concierges unterliegen keinen Hochrisiko-Anforderungen. Für drei Bereiche gelten jedoch strenge Regeln: biometrische Gesichtserkennung beim Check-in, KI-gestützte Personalplanung und der Einsatz von GPAI-Modellen (General-Purpose AI) im Gästekontakt. Dieser Leitfaden erklärt, welche Anforderungen für deutsche Hotels ab 2025 und 2026 gelten.

Was verlangt der EU AI Act von Hotelunternehmen?

Hotelunternehmen müssen alle KI-Systeme, die sie im Betrieb einsetzen, nach dem EU AI Act (VO (EU) 2024/1689) klassifizieren und die jeweils geltenden Anforderungen erfüllen. Die konkreten Pflichten hängen von der Risikoklasse ab: Für dynamische Preisgestaltung und Buchungsempfehlungen (Minimal-Risiko) bestehen keine spezifischen AI-Act-Pflichten. Für KI-Chatbots im Gästekontakt (Begrenzt-Risiko) gilt eine Transparenzpflicht nach Art. 50 AI Act. Für Gesichtserkennung beim Check-in und KI-gestützte Personalplanung (Hochrisiko nach Anhang III) sind ab 2. August 2026 technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht und EU-Registrierung verpflichtend. Verboten sind seit 2. Februar 2025 Systeme zur Emotionserkennung und biometrischen Kategorisierung von Gästen und Personal.

Risikoklassifizierung für Gastgewerbe-KI im Überblick

Der AI Act (VO (EU) 2024/1689) teilt KI-Systeme in vier Risikokategorien ein. Für das Gastgewerbe ist die Einordnung entscheidend, bevor technische Dokumentation, Konformitätsbewertungen oder Transparenzhinweise erforderlich werden.

KI-Anwendung	Risikoklasse	Pflichten
Dynamische Preisalgorithmen	Minimal	Keine spezifischen AI-Act-Pflichten
Chatbots / virtuelle Concierges	Begrenzt	Transparenzhinweis (Art. 50 AI Act)
Empfehlungssysteme (Zimmer, Services)	Minimal	Keine spezifischen AI-Act-Pflichten
KI-gestützte Personalplanung	Hochriskant	Vollständige Anforderungen Art. 9–16
Gesichtserkennung am Check-in (mit Einwilligung)	Hochriskant	Vollständige Anforderungen + ggf. DSGVO-DSFA
Emotionserkennung für Gäste	Verboten ab Feb. 2025	Einsatz untersagt
Emotionserkennung für Personal	Verboten ab Feb. 2025	Einsatz untersagt
GPAI-Modelle im Gästekontakt (z.B. ChatGPT)	Begrenzt	Transparenzpflichten nach Art. 50

Dynamische Preisalgorithmen: Kein Hochrisiko, aber Dokumentationspflicht

Revenue-Management-Systeme und dynamische Preisgestaltung sind im AI Act nicht als hochriskant eingestuft. Algorithmen, die Zimmerpreise auf Basis von Nachfrage, Saisonalität oder Wettbewerber-Preisen berechnen, fallen unter die Kategorie „Minimal-Risiko”.

Das bedeutet jedoch nicht, dass Preisentscheidungen vollständig unreguliert sind:

• Diskriminierungsverbot: Wenn Preisalgorithmen Kunden unterschiedlich behandeln, weil sie Rückschlüsse auf ethnische Herkunft, Nationalität oder andere geschützte Merkmale nach AGG ziehen, entsteht Haftung außerhalb des AI Act.
• Erklärbarkeit: Sie müssen nicht proaktiv eine technische Dokumentation einreichen, aber im Fall einer behördlichen Anfrage oder Beschwerde sollte nachvollziehbar sein, warum ein Preis für einen bestimmten Gast zu einem bestimmten Zeitpunkt errechnet wurde.
• DSGVO-Relevanz: Wenn Preisalgorithmen auf personenbezogene Gästedaten zugreifen (Buchungshistorie, Gerät, Standort), gelten die Grundsätze der Datenminimierung und Zweckbindung nach Art. 5 DSGVO.

Empfehlung: Halten Sie eine interne Beschreibung Ihres Revenue-Management-Systems bereit – welche Datenpunkte fließen ein, welche nicht. Das reicht für die Compliance aus.

Gesichtserkennung beim Hotel-Check-in: Hochriskant und DSGVO-pflichtig

Gesichtserkennung zur Gästeidentifikation beim Check-in ist eine der sensibelsten KI-Anwendungen im Gastgewerbe. Der AI Act klassifiziert biometrische Identifikationssysteme in Anhang III, Nr. 1 als hochriskant – mit vollständigen Anforderungen ab August 2026.

Was verboten ist

Echtzeit-Gesichtserkennung in öffentlich zugänglichen Räumen (Lobbys, Eingangsbereiche) ist nach Art. 5 Abs. 1 lit. d AI Act für Strafverfolgungsbehörden verboten – für Privatunternehmen gilt dieses spezifische Verbot nicht direkt. Allerdings:

• Biometrische Kategorisierung zur Ableitung sensibler Merkmale (Hautfarbe, Emotionen, Nationalität) ist verboten (Art. 5 Abs. 1 lit. g).
• Emotionserkennung für Gäste im Gastronomie- oder Hotelkontext ist verboten (Art. 5 Abs. 1 lit. f).

Was erlaubt ist (mit strengen Auflagen)

Gesichtserkennung zur Identitätsverifikation beim Check-in – vergleichbar mit elektronischen Reisepasskontrollsystemen – ist erlaubt, wenn:

1. Ausdrückliche DSGVO-Einwilligung der Gäste vor der Datenerhebung vorliegt (Art. 9 DSGVO für biometrische Daten als besondere Kategorie)
2. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchgeführt wurde
3. Das System als hochriskantes KI-System registriert und mit technischer Dokumentation (Art. 11 AI Act), Konformitätsbewertung (Art. 43) und CE-Kennzeichnung versehen ist
4. Ein menschliches Oversight-Verfahren vorhanden ist (Alternativ-Check-in ohne Biometrie)

Fazit für die Praxis: Gesichtserkennung beim Check-in ist rechtlich möglich, aber mit erheblichem Compliance-Aufwand verbunden. Für die meisten Hotels überwiegt das Risiko den Nutzen – eine schlüsselbasierte oder PIN-gestützte Selbst-Check-in-Lösung ist in der Regel vorzuziehen.

Empfehlungssysteme: Minimal-Risiko mit Transparenzpflicht

KI-Systeme, die Gästen Zimmer-Upgrades, Restaurant-Optionen oder Spa-Behandlungen empfehlen, fallen in die Minimal-Risiko-Kategorie. Es gibt keine AI-Act-Dokumentationspflichten.

Beachten Sie jedoch:

• Personalisierung auf Basis von Profiling: Wenn das System Verhaltensprofile aufbaut, gilt Art. 22 DSGVO (Recht, nicht Gegenstand rein automatisierter Entscheidungen zu sein). Stellen Sie sicher, dass Gäste nicht automatisch in höherpreisige Optionen gelenkt werden, ohne die Möglichkeit, dies abzulehnen.
• Gastransparenz: Gäste müssen keine AI-Offenlegung erhalten, wenn eine Empfehlung angezeigt wird – aber eine freiwillige Erwähnung stärkt das Vertrauen.

GPAI-Modelle im Gastgewerbe: Was Betreiber wissen müssen

Viele Hotels setzen heute General-Purpose AI (GPAI)-Modelle ein – entweder direkt über API (OpenAI, Anthropic, Google) oder über integrierte Hotelsoftware mit eingebetteten KI-Funktionen. Der AI Act enthält in Kapitel V (Art. 51–56) spezifische Anforderungen für GPAI-Anbieter, die ab 2. August 2025 gelten.

Was das für Hotels bedeutet

Als Deployer (nicht Anbieter) von GPAI-Modellen tragen Hotels weniger Pflichten als die Modell-Anbieter selbst. Dennoch:

• Transparenzpflicht nach Art. 50 AI Act: Wenn Gäste mit einem GPAI-gestützten Chatbot interagieren, müssen Sie offenlegen, dass es sich um ein KI-System handelt. Das gilt auch dann, wenn der Chatbot über eine Drittanbieter-Softwarelösung betrieben wird.
• Vertragliche Absicherung: Stellen Sie sicher, dass Ihre Softwareverträge mit Hotelsoftware-Anbietern klare Regelungen zur AI-Act-Compliance enthalten – wer ist für die technische Dokumentation verantwortlich, wer für die Konformitätsbewertung?
• Keine eigenen Modell-Pflichten: Hotels müssen keine Leistungstests, technische Dokumentation oder Urheberrechts-Zusammenfassungen nach Art. 53 einreichen – das ist Sache der Modellanbieter.

Praxisbeispiel: KI-Chatbot im Buchungsprozess

Ein Hotel betreibt auf seiner Website einen Chatbot, der auf dem GPT-4-Modell basiert und Buchungsfragen beantwortet. Die Pflichten verteilen sich wie folgt:

• OpenAI (Modellanbieter): Technische Dokumentation, Trainingsdaten-Zusammenfassung, Urheberrechtspolitik (Art. 53)
• Hotel (Deployer): Transparenzhinweis an Gäste, Datenschutzhinweis nach DSGVO, Sicherstellung menschlicher Eskalation bei komplexen Anfragen

Personalplanung per KI: Hochriskant nach Anhang III

KI-gestützte Personalplanung ist im AI Act unter Hochrisiko-Kategorie 4 (Beschäftigung) eingestuft. Das betrifft Systeme, die:

• Schichtpläne automatisch erstellen oder verändern
• Arbeitsleistung durch KI bewerten
• Einstellungsentscheidungen unterstützen
• Kündigungsempfehlungen generieren

Pflichten für Hochrisiko-Systeme (Art. 9–16 AI Act, ab August 2026)

1. Risikomanagementsystem (Art. 9): Kontinuierliche Identifikation und Bewältigung von Risiken
2. Datenverwaltung (Art. 10): Qualitätssicherung der Trainingsdaten
3. Technische Dokumentation (Art. 11): Vollständige Systembeschreibung
4. Logging und Aufzeichnung (Art. 12): Automatische Protokollierung zur Nachvollziehbarkeit
5. Transparenz gegenüber Arbeitnehmern (Art. 13): Beschäftigte müssen wissen, dass KI eingesetzt wird
6. Menschliche Aufsicht (Art. 14): Planungsentscheidungen müssen von Menschen überprüft und überschrieben werden können
7. Betriebsratsbeteiligung: Nach § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht bei technischen Überwachungseinrichtungen – das umfasst KI-Planungssysteme

Handlungsempfehlung: Wenn Sie KI-Planungssoftware einsetzen (z.B. Quinyx, Shiftbase, HotelTime mit KI-Komponenten), prüfen Sie, ob der Anbieter den AI Act-Anforderungen entspricht und stellen Sie sicher, dass Ihre Betriebsvereinbarung den KI-Einsatz explizit erfasst.

Compliance-Checkliste für Gastgewerbebetriebe

Nutzen Sie diese Checkliste zur Ersteinschätzung Ihrer AI-Act-Compliance-Lage:

Sofortmaßnahmen (seit Februar 2025 in Kraft)

• Emotionserkennung deaktiviert: Kein System analysiert Emotionen von Gästen oder Personal
• Biometrische Kategorisierung geprüft: Keine Software leitet sensible Merkmale aus biometrischen Daten ab
• Chatbot-Transparenz implementiert: Gäste werden beim Erstkontakt über den KI-Einsatz informiert (z.B. „Sie sprechen mit unserem KI-Assistenten”)

Bis August 2025 (GPAI-Anforderungen)

• GPAI-Verträge geprüft: Softwareverträge mit KI-Komponenten auf AI-Act-Klauseln überprüft
• Deployer-Transparenzpflichten erfüllt: Überall, wo GPAI im Gästekontakt eingesetzt wird, ist die Offenlegungspflicht nach Art. 50 erfüllt

Bis August 2026 (Hochrisiko-Anforderungen)

• KI-Inventar erstellt: Alle KI-Systeme im Betrieb dokumentiert und nach Risikokategorie eingestuft
• Personalplanungs-KI klassifiziert: Eingestuft als hochriskant (Kategorie 4) und entsprechende Dokumentation beauftragt
• Betriebsvereinbarung aktualisiert: Mitbestimmungsrecht des Betriebsrats für KI-Systeme in der Personalplanung berücksichtigt
• Gesichtserkennung-Entscheidung getroffen: Entweder DSFA + Konformitätsbewertung abgeschlossen oder Einsatz eingestellt
• Konformitätsbewertung für Hochrisiko-Systeme: Für alle hochriskanten KI-Systeme durchgeführt und Registrierung in EU-Datenbank erfolgt

Zeitplan der AI-Act-Pflichten für das Gastgewerbe

Datum	Pflicht
2. August 2024	AI Act in Kraft getreten
2. Februar 2025	Verbote gelten: Emotionserkennung, biometrische Kategorisierung
2. August 2025	GPAI-Pflichten: Transparenz, Registrierung
2. August 2026	Hochrisiko-Pflichten vollständig: Personalplanung, Gesichtserkennung

So hilft Compound Law

Als auf das Gastgewerbe spezialisierte Anwaltskanzlei unterstützt Compound Law bei:

• KI-Inventar und Risikoklassifizierung: Systematische Erfassung aller KI-Systeme im Betrieb und Einstufung nach AI Act
• Betriebsvereinbarungen zum KI-Einsatz: Gestaltung konformer Regelungen mit Betriebsratsbeteiligung
• Datenschutz-Folgenabschätzungen: DSFA nach Art. 35 DSGVO für biometrische und risikoträchtige KI-Systeme
• Vendor-Due-Diligence: Prüfung von Softwareverträgen auf AI-Act-Compliance der Anbieter
• Gäste-Transparenz-Frameworks: Formulierung rechtskonformer Hinweistexte und Einwilligungsformulare

Häufig gestellte Fragen

Ist dynamische Preisgestaltung im AI Act verboten oder eingeschränkt?

Nein. Dynamische Preisalgorithmen sind im AI Act als Minimal-Risiko eingestuft und unterliegen keinen spezifischen Hochrisiko-Anforderungen. Allerdings darf die Preisgestaltung nicht diskriminierend wirken und muss bei Anfragen erklärbar sein.

Darf mein Hotel Gesichtserkennung für den Check-in einsetzen?

Grundsätzlich ist eine biometrische Identifikation beim Check-in mit ausdrücklicher Einwilligung und einer Datenschutz-Folgenabschätzung möglich. Das System gilt jedoch als hochriskant nach Anhang III des AI Act und muss ab August 2026 alle Hochrisiko-Anforderungen erfüllen. Emotionserkennung im Rahmen des Check-ins ist seit Februar 2025 verboten.

Braucht unser Chatbot einen AI-Hinweis?

Ja. Nach Art. 50 AI Act müssen Nutzer informiert werden, wenn sie mit einem KI-System interagieren, das als menschlich wahrgenommen werden könnte. Ein einfacher Hinweis wie „KI-Assistent” oder „Dieser Chat wird von KI betrieben” genügt.

Welche Pflichten gelten für KI-Personalplanung im Hotel?

KI-gestützte Personalplanung fällt unter Hochrisiko-Kategorie 4 (Beschäftigung) nach Anhang III des AI Act. Ab August 2026 sind technische Dokumentation, Logging, menschliche Aufsicht und Konformitätsbewertung erforderlich. Zudem besteht ein Mitbestimmungsrecht des Betriebsrats nach § 87 BetrVG.

Wann muss mein Hotel die AI-Act-Pflichten umgesetzt haben?

Die Verbote (Emotionserkennung, biometrische Kategorisierung) gelten seit Februar 2025. GPAI-Anforderungen folgen im August 2025. Hochrisiko-Anforderungen – relevant für Personalplanung und Gesichtserkennung – gelten ab August 2026.

Müssen wir uns in einer EU-Datenbank registrieren?

Anbieter hochriskanter KI-Systeme sind registrierungspflichtig in der EU-KI-Datenbank. Als Deployer (Nutzer fremder KI-Systeme) besteht diese Pflicht für Hotels nur in Ausnahmefällen. Prüfen Sie, ob Ihr Softwareanbieter die Registrierung vorgenommen hat.