Datenschutz im Autohaus: Datenschutzbeauftragter zur Vermeidung von Haftung

Beitrag von Herrn Karsten Witt (externer Datenschutzbeauftragter).

21.03.2012 - Auch in Autohäusern werden auf vielfältige Weise personenbezogene Daten verarbeitet: die Nutzung von Kundendaten für Aufträge, die Unterlagen für die Kreditwürdigkeit beim finanzierten Autokauf, die Videoüberwachung der Ausstellungsfläche und das Werbeanschreiben für den nächsten HU-Termin oder das neueste Fahrzeugmodell sind nur einige typische Verarbeitungsszenarien, bei denen datenschutzrechtliche Vorgaben zu beachten sind. Lesen Sie im Folgenden was die Geschäftsleitung von Autohäusern beachten sollte, um die eigene Haftung zu vermeiden.

Was schützt das Datenschutzrecht?

Das Datenschutzrecht regelt den Umgang mit personenbezogenen Daten, also Informationen über Kunden und Beschäftigte eines Autohauses (vgl. vertiefend § 3 Abs. 1 Bundesdatenschutzgesetz). Dabei geht es u.a. um die Erfassung, Speicherung, Verwendung, Auswertung oder Weitergabe von Daten. Die gesetzlichen Regelungen gelten dabei für alle Unternehmen – unabhängig von der Größe.

Wer braucht einen Datenschutzbeauftragten und wofür?

Wenn mehr als neun Beschäftigte zeitweise oder ständig mit dem Dealer-Management-System („DMS“) arbeiten, den Lohn der Mitarbeiter berechnen oder die täglichen Auswertungen durcharbeiten, dann reicht es nicht mehr aus, wenn der Geschäftsführer sich um die Einhaltung des Datenschutzes kümmert (vgl. vertiefend zu der Frage unseren Artikel „Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten?“).

In diesem Fall muss zwingend ein betrieblicher Datenschutzbeauftragter bestellt werden. Dies kann sowohl ein datenschutzrechtlich speziell geschulter Beschäftigter – nicht jedoch der Geschäftsführer, sein Prokurist oder der IT-Leiter – als auch ein externer Datenschutzbeauftragter sein. Wobei aus Sicht der Geschäftsleitung häufig die Frage der besonderen arbeitsrechtlichen Stellung eines internen DSB und der damit verbundene Kündigungsschutz relevant sind.

Ein Datenschutzbeauftragter berät die Geschäftsführung in allen Datenschutzthemen und wirkt auf die Einhaltung der einschlägigen Vorschriften hin – und davon gibt es einige.

Umgang mit Beschäftigtendaten

Das fängt mit den Daten der eigenen Beschäftigten an. Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen zugänglich gemacht? Nicht zu vergessen die Unterlagen von Bewerbern und den dazugehörigen (hoffentlich zulässigen) Fragebögen? Aber auch solche Themen wie die Regelung und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.

Speicherung von Kundendaten im IT-System

Im DMS bzw. dem eingesetzten CRM-Programm sind eine Vielzahl von Kundendaten erfasst. Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren Rechnung erforderlichen Wirtschaftsdaten. Dazu gehören bei Werkstattaufenthalten ohne die Einwilligung der Betroffenen definitiv keine Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn moderne Computerprogramme die Erfassung dieser Daten vorsehen.

Nutzung von Kundendaten zu Werbezwecken

Dabei könnten doch gerade diese Informationen eine gute Ausgangsbasis für gezielte Einladungen zu Events oder die Werbung für den neu auf den Markt kommenden Fahrzeugtyp sein. Doch genau das ist streng untersagt, falls nicht zuvor der Kunde ausdrücklich zugestimmt hat und freiwillig Zusatzinformationen (Hobbies u.ä.) angibt.

Diese vorherige Zustimmung ist insbesondere auch für die üblichen Herstellermeldungen nach erfolgten Fahrzeugreparaturen erforderlich, wenn dabei Kundendaten von Privatpersonen mit übertragen werden sollen. Diese Zustimmung kann dabei vom Kunden jederzeit widerrufen werden.

Löschpflicht von persönlichen Kundendaten

Ein Kunde hat noch weitergehende Rechte. Er darf jederzeit Auskunft vom Unternehmen zu Umfang, Herkunft, Zweck, Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein Begehren hin sind die entsprechenden Daten auch nachweislich zu löschen, sofern keine gesetzliche Speicherpflicht besteht.

Zu beachten ist zudem die generelle Pflicht für alle Unternehmen zur Löschung von personenbezogenen Daten, sofern der Speichergrund entfallen ist.

In der Praxis bedeutet dies neben der Entsorgung von alten Archivakten auch die Löschung der elektronischen Daten z.B. zehn Jahre nach der Rechnungslegung im DMS, der Buchhaltung und im Archivsystem. In den Fällen erfolgloser Bewerbung sind die angelegten Akten oder Datenbanken nach spätestens sechs Monaten zu vernichten bzw. zu löschen.

Einsatz von Dritt-Dienstleistern

EDV-Dienstleister, Akten-Entsorger, Reinigungs- und Sicherheitsdienste sind häufig Vertragspartner von Autohäusern. Aber ist jedem Inhaber oder Geschäftsführer eines Autohauses auch klar, dass er hier besondere Pflichten aus Datenschutzsicht schon vor Vertragsabschluss hat?

Hintergrund ist der tatsächliche oder theoretisch mögliche Zugriff auf personenbezogene Daten im Autohaus durch Beschäftigte der genannten Fremdunternehmen.

Daher muss durch den Datenschutzbeauftragten vorab geprüft werden, ob der künftige Dienstleister seinerseits im Unternehmen die Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis verpflichtet hat.

Zusätzlich ist es gemäß § 11 des Bundesdatenschutzgesetzes auch unumgänglich, genau definierte inhaltliche Vorgaben in den Dienstleistungsvertrag aufzunehmen.

Sollten z.B. Werbeanschreiben oder Telefonmarketing durch den Hersteller, Callcenter oder andere Fremdfirmen mit den Kundendaten des Autohauses durchgeführt werden, bleibt die Verantwortung für die korrekte (d.h. erlaubte) Kundendatennutzung allein beim Autohaus.

Dieser Tatsache sind sich viele Autohäuser häufig nicht bewusst.

Die Arbeit eines Datenschutzbeauftragten ist über die aufgeführten Beispielthemen hinaus weit vielfältiger und sollte als ein ständiger Prozess mit immer neuen Herausforderungen begriffen werden. Die Landesdatenschutz-Aufsichtsbehörden haben zudem in den letzten Monaten personell aufgestockt, um genau dies künftig stärker zu überprüfen.

Fazit

Die Geschäftsleitung sollte sich auch im eigenen haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Bei einer Vielzahl von Prozessen werden im Autohaus Daten von Kunden und Beschäftigten verarbeitet. Ein (ab einer gewissen Größe verpflichtend zu bestellender) Datenschutzbeauftragter hilft dabei, Bußgelder zu vermeiden und Verarbeitungsvorgänge datenschutzkonform aufzusetzen. Ein Verstoß gegen die gesetzlichen Regeln ist letztendlich deutlich teurer, als die planmäßige Arbeit des Datenschutz-Fachmanns und die Einhaltung seiner Empfehlungen durch alle Beschäftigten im Autohaus.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren