Auch in Autohäusern werden auf vielfältige Weise personenbezogene Daten verarbeitet: die Nutzung von Kundendaten für Aufträge, die Unterlagen für die Kreditwürdigkeit beim finanzierten Autokauf, die Videoüberwachung der Ausstellungsfläche und das Werbeanschreiben für den nächsten HU-Termin oder das neueste Fahrzeugmodell sind nur einige typische Verarbeitungsszenarien, bei denen datenschutzrechtliche Vorgaben zu beachten sind. Lesen Sie im Folgenden was die Geschäftsleitung von Autohäusern beachten sollte, um die eigene Haftung zu vermeiden.
Was schützt das Datenschutzrecht?
Das Datenschutzrecht regelt den Umgang mit personenbezogenen Daten, also Informationen über Kunden und Beschäftigte eines Autohauses (vgl. vertiefend § 3 Abs. 1 Bundesdatenschutzgesetz). Dabei geht es u.a. um die Erfassung, Speicherung, Verwendung, Auswertung oder Weitergabe von Daten. Die gesetzlichen Regelungen gelten dabei für alle Unternehmen – unabhängig von der Größe.
Wer braucht einen Datenschutzbeauftragten und wofür?
Wenn mehr als neun Beschäftigte zeitweise oder ständig mit dem Dealer-Management-System („DMS“) arbeiten, den Lohn der Mitarbeiter berechnen oder die täglichen Auswertungen durcharbeiten, dann reicht es nicht mehr aus, wenn der Geschäftsführer sich um die Einhaltung des Datenschutzes kümmert (vgl. vertiefend zu der Frage unseren Artikel „Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten?“).
In diesem Fall muss zwingend ein betrieblicher Datenschutzbeauftragter bestellt werden. Dies kann sowohl ein datenschutzrechtlich speziell geschulter Beschäftigter – nicht jedoch der Geschäftsführer, sein Prokurist oder der IT-Leiter – als auch ein externer Datenschutzbeauftragter sein. Wobei aus Sicht der Geschäftsleitung häufig die Frage der besonderen arbeitsrechtlichen Stellung eines internen DSB und der damit verbundene Kündigungsschutz relevant sind.
Ein Datenschutzbeauftragter berät die Geschäftsführung in allen Datenschutzthemen und wirkt auf die Einhaltung der einschlägigen Vorschriften hin – und davon gibt es einige.
Umgang mit Beschäftigtendaten
Das fängt mit den Daten der eigenen Beschäftigten an. Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen zugänglich gemacht? Nicht zu vergessen die Unterlagen von Bewerbern und den dazugehörigen (hoffentlich zulässigen) Fragebögen? Aber auch solche Themen wie die Regelung und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.
Speicherung von Kundendaten im IT-System
Im DMS bzw. dem eingesetzten CRM-Programm sind eine Vielzahl von Kundendaten erfasst. Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren Rechnung erforderlichen Wirtschaftsdaten. Dazu gehören bei Werkstattaufenthalten ohne die Einwilligung der Betroffenen definitiv keine Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn moderne Computerprogramme die Erfassung dieser Daten vorsehen.
Nutzung von Kundendaten zu Werbezwecken
Dabei könnten doch gerade diese Informationen eine gute Ausgangsbasis für gezielte Einladungen zu Events oder die Werbung für den neu auf den Markt kommenden Fahrzeugtyp sein. Doch genau das ist streng untersagt, falls nicht zuvor der Kunde ausdrücklich zugestimmt hat und freiwillig Zusatzinformationen (Hobbies u.ä.) angibt.
Diese vorherige Zustimmung ist insbesondere auch für die üblichen Herstellermeldungen nach erfolgten Fahrzeugreparaturen erforderlich, wenn dabei Kundendaten von Privatpersonen mit übertragen werden sollen. Diese Zustimmung kann dabei vom Kunden jederzeit widerrufen werden.
Löschpflicht von persönlichen Kundendaten
Ein Kunde hat noch weitergehende Rechte. Er darf jederzeit Auskunft vom Unternehmen zu Umfang, Herkunft, Zweck, Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein Begehren hin sind die entsprechenden Daten auch nachweislich zu löschen, sofern keine gesetzliche Speicherpflicht besteht.
Zu beachten ist zudem die generelle Pflicht für alle Unternehmen zur Löschung von personenbezogenen Daten, sofern der Speichergrund entfallen ist.
In der Praxis bedeutet dies neben der Entsorgung von alten Archivakten auch die Löschung der elektronischen Daten z.B. zehn Jahre nach der Rechnungslegung im DMS, der Buchhaltung und im Archivsystem. In den Fällen erfolgloser Bewerbung sind die angelegten Akten oder Datenbanken nach spätestens sechs Monaten zu vernichten bzw. zu löschen.
Einsatz von Dritt-Dienstleistern
EDV-Dienstleister, Akten-Entsorger, Reinigungs- und Sicherheitsdienste sind häufig Vertragspartner von Autohäusern. Aber ist jedem Inhaber oder Geschäftsführer eines Autohauses auch klar, dass er hier besondere Pflichten aus Datenschutzsicht schon vor Vertragsabschluss hat?
Hintergrund ist der tatsächliche oder theoretisch mögliche Zugriff auf personenbezogene Daten im Autohaus durch Beschäftigte der genannten Fremdunternehmen.
Daher muss durch den Datenschutzbeauftragten vorab geprüft werden, ob der künftige Dienstleister seinerseits im Unternehmen die Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis verpflichtet hat.
Zusätzlich ist es gemäß §11 des Bundesdatenschutzgesetzes auch unumgänglich, genau definierte inhaltliche Vorgaben in den Dienstleistungsvertrag aufzunehmen.
Sollten z.B. Werbeanschreiben oder Telefonmarketing durch den Hersteller, Callcenter oder andere Fremdfirmen mit den Kundendaten des Autohauses durchgeführt werden, bleibt die Verantwortung für die korrekte (d.h. erlaubte) Kundendatennutzung allein beim Autohaus.
Dieser Tatsache sind sich viele Autohäuser häufig nicht bewusst.
Die Arbeit eines Datenschutzbeauftragten ist über die aufgeführten Beispielthemen hinaus weit vielfältiger und sollte als ein ständiger Prozess mit immer neuen Herausforderungen begriffen werden. Die Landesdatenschutz-Aufsichtsbehörden haben zudem in den letzten Monaten personell aufgestockt, um genau dies künftig stärker zu überprüfen.
Fazit
Die Geschäftsleitung sollte sich auch im eigenen haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Bei einer Vielzahl von Prozessen werden im Autohaus Daten von Kunden und Beschäftigten verarbeitet. Ein (ab einer gewissen Größe verpflichtend zu bestellender) Datenschutzbeauftragter hilft dabei, Bußgelder zu vermeiden und Verarbeitungsvorgänge datenschutzkonform aufzusetzen. Ein Verstoß gegen die gesetzlichen Regeln ist letztendlich deutlich teurer, als die planmäßige Arbeit des Datenschutz-Fachmanns und die Einhaltung seiner Empfehlungen durch alle Beschäftigten im Autohaus.
Autor:
Herr Karsten Witt, externer DatenschutzbeauftragterTelefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.