Datenschutzbeauftragter Autohaus

Häufig gestellte Fragen

Braucht mein Unternehmen einen Datenschutzbeauftragten?

Wenn mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, besondere Datenkategorien verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist, müssen Sie einen DSB bestellen.

Was kostet ein externer Datenschutzbeauftragter?

Bei der DATUREX GmbH beginnen die Kosten ab 250 €/Monat als Pauschale. Darin enthalten sind alle gesetzlichen Pflichtaufgaben, Schulungen und laufende Beratung. Alle Preise im Überblick →

Was passiert bei einem Datenschutzverstoß?

Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes drohen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.

Datenschutz im Autohaus: Besonderheiten

Autohäuser verarbeiten in zahlreichen Geschäftsprozessen personenbezogene Daten — vom ersten Kontakt über die Probefahrt bis hin zur Werkstattbetreuung und Finanzierung. Die Vielfalt der Verarbeitungstätigkeiten und die verschiedenen Datenflüsse machen ein strukturiertes Datenschutzmanagement unerlässlich.

Probefahrt und Fahrzeugdaten

Bei jeder Probefahrt werden personenbezogene Daten erhoben: Name, Führerscheindaten, Kontaktinformationen und eine Kopie des Führerscheins. Die Rechtsgrundlage für die Erhebung der Führerscheindaten ist das berechtigte Interesse des Autohauses nach Art. 6 Abs. 1 lit. f DSGVO, da es sich vor missbräuchlicher Nutzung des Fahrzeugs schützen muss. Die Führerscheinkopie darf jedoch nur für die Dauer der Probefahrt aufbewahrt und muss danach unverzüglich vernichtet werden — eine Speicherung für spätere Marketingzwecke ist ohne gesonderte Einwilligung unzulässig. Moderne Fahrzeuge erzeugen zudem umfangreiche Fahrzeugdaten (Geschwindigkeit, Bremsverhalten, Standortdaten), die ebenfalls personenbezogene Daten darstellen können, wenn sie mit dem Fahrer verknüpft werden.

Fahrzeugfinanzierung und Leasing

Die Finanzierung und das Leasing eines Fahrzeugs erfordern die Verarbeitung umfangreicher finanzieller Daten: Einkommensnachweise, Bonitätsprüfungen, Bankverbindungen und Informationen zur Vermögenssituation. Die Daten werden in der Regel an die finanzierende Bank oder Leasinggesellschaft übermittelt. Hier bestehen klare Informationspflichten nach Art. 13 DSGVO: Der Kunde muss vor der Datenübermittlung darüber informiert werden, welche Daten an welchen Empfänger übermittelt werden und auf welcher Rechtsgrundlage dies geschieht. Ein häufiger Fehler in der Praxis: Die SCHUFA-Abfrage wird bereits vor der verbindlichen Kaufentscheidung durchgeführt, ohne den Kunden ausreichend darüber zu informieren, dass dies einen Eintrag in seiner SCHUFA-Datei zur Folge haben kann.

Werkstatt und Servicehistorie

Die Werkstattdokumentation enthält neben technischen Fahrzeugdaten auch personenbezogene Informationen: Kundendaten, Fahrgestellnummer (die einem bestimmten Halter zugeordnet werden kann), durchgeführte Reparaturen, verwendete Ersatzteile und Wartungsintervalle. Diese Daten werden häufig in den Dealer-Management-Systemen (DMS) der Hersteller gespeichert und mit dem Hersteller geteilt — hier muss ein Auftragsverarbeitungsvertrag oder eine Vereinbarung über die gemeinsame Verantwortlichkeit bestehen. Die Herstelleranbindung (z. B. Mercedes me, BMW ConnectedDrive, VW We Connect) ermöglicht zudem die Fernauslesung von Fahrzeugdaten, die dem Kunden transparent gemacht werden muss.

Dashcam und Fahrzeugkameras

Immer mehr Fahrzeuge verfügen über eingebaute Kameras: Rückfahrkameras, Surround-View-Systeme, Dashcams und Innenraumkameras zur Fahrerüberwachung. Das Autohaus muss seine Kunden über die datenschutzrechtlichen Implikationen informieren: Dashcam-Aufnahmen im öffentlichen Straßenverkehr sind nach der Rechtsprechung des BGH (Az. VI ZR 233/17) nur unter engen Voraussetzungen zulässig — eine permanente anlasslose Aufzeichnung verstößt gegen den Datenschutz. Im Schadenfall können Dashcam-Aufnahmen jedoch als Beweismittel zulässig sein. Bei Vorführfahrzeugen mit aktivierten Kamerasystemen muss sichergestellt sein, dass Aufnahmen von Kunden nicht gespeichert oder an Dritte übermittelt werden.

DSGVO-Checkliste für Autohäuser

Die folgende Checkliste unterstützt Autohäuser bei der systematischen Umsetzung der Datenschutz-Anforderungen in allen Geschäftsbereichen.

• Verarbeitungsverzeichnis führen — Dokumentieren Sie alle Verarbeitungstätigkeiten: Kundenberatung, Probefahrten, Fahrzeugverkauf, Finanzierung/Leasing, Werkstatt/Service, Marketing/Newsletter, Gebrauchtwagenhandel, Garantieabwicklung und Beschwerdemanagement.
• Datenschutzhinweise aushängen — Im Schauraum, an der Werkstattannahme und bei der Probefahrtausgabe müssen Datenschutzhinweise nach Art. 13 DSGVO bereitliegen. Erstellen Sie ein standardisiertes Informationsblatt für jeden Bereich.
• Probefahrt-Prozess standardisieren — Führerscheinkopien nur während der Probefahrt aufbewahren und danach vernichten. Probefahrtvereinbarung mit Datenschutzhinweis erstellen. Fahrzeugdaten nach der Probefahrt löschen.
• Finanzierungs-Datenflüsse dokumentieren — Transparente Information über die Datenübermittlung an Banken, Leasinggesellschaften und Auskunfteien. SCHUFA-Hinweisblatt verwenden. Einwilligung für die Bonitätsabfrage einholen.
• Hersteller-Anbindung prüfen — AVV oder Vereinbarung zur gemeinsamen Verantwortlichkeit mit dem Hersteller schließen. Prüfen, welche Kundendaten an den Hersteller übermittelt werden und auf welcher Rechtsgrundlage.
• Werkstatt-DMS absichern — Zugriffsrechte im Dealer-Management-System nach dem Need-to-know-Prinzip vergeben. Servicehistorien nur an berechtigte Mitarbeiter zugänglich machen. Daten nach Ablauf der Aufbewahrungspflichten löschen.
• Connected-Car-Dienste informieren — Kunden bei der Fahrzeugübergabe über die Datenverarbeitung durch Connected-Car-Dienste informieren. Hinweisblätter der Hersteller aushändigen. Bei Gebrauchtwagenverkauf sicherstellen, dass die Daten des Vorbesitzers gelöscht wurden.
• Videoüberwachung prüfen — Falls das Autohaus videoüberwacht wird: Hinweisschilder gemäß Art. 13 DSGVO anbringen, Speicherdauer auf das Minimum begrenzen (in der Regel 48-72 Stunden), Zugriff auf Aufnahmen strikt begrenzen und eine Datenschutzfolgenabschätzung durchführen.

Häufig gestellte Fragen

Dürfen wir Fahrzeugdaten aus dem Diagnosegerät speichern?

Diagnosedaten, die lediglich technische Fahrzeuginformationen ohne Personenbezug enthalten (Fehlercodes, Softwareversionen), sind unproblematisch. Sobald die Daten jedoch mit einem bestimmten Kunden oder Fahrzeughalter verknüpft werden können — etwa über die Fahrgestellnummer in Verbindung mit der Kundendatenbank —, handelt es sich um personenbezogene Daten. Die Speicherung ist dann nur im Rahmen der Zweckbindung zulässig: für die Durchführung der Reparatur, die Garantieabwicklung oder gesetzliche Dokumentationspflichten. Eine darüber hinausgehende Auswertung für Marketing- oder Analysezwecke erfordert eine separate Einwilligung.

Wie gehen wir beim Gebrauchtwagenverkauf mit den Daten des Vorbesitzers um?

Beim Ankauf eines Gebrauchtfahrzeugs muss das Autohaus sicherstellen, dass alle personenbezogenen Daten des Vorbesitzers aus den Fahrzeugsystemen gelöscht werden: Navigation (gespeicherte Ziele, Favoritenplätze), Telefonbuch und Anruflisten, Bluetooth-Kopplungen, WLAN-Zugangsdaten, Garagentoröffner, Connected-Car-Konten und personalisierte Fahrzeugeinstellungen. Vor dem Weiterverkauf sollte ein standardisierter Reset-Prozess durchlaufen und dokumentiert werden. Der Vorbesitzer sollte im Kaufvertrag darauf hingewiesen werden, seine Connected-Car-Konten zu trennen.

Müssen wir als Autohaus einen Datenschutzbeauftragten bestellen?

Wie in allen Branchen gilt die Bestellpflicht ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten automatisiert verarbeiten. Da in einem Autohaus typischerweise alle Abteilungen — Verkauf, Finanzierung, Werkstatt, Ersatzteile, Marketing — personenbezogene Daten verarbeiten, ist die Schwelle bei den meisten Autohäusern erreicht. Zudem kann die systematische Bonitätsprüfung bei Finanzierungen eine DSFA-Pflicht und damit unabhängig von der Mitarbeiterzahl eine DSB-Bestellpflicht auslösen. Als DATUREX bieten wir die externe Datenschutzbeauftragung speziell für den Automobilhandel an — mit Erfahrung bei den gängigen DMS-Systemen und Herstelleranforderungen.