In den Autohäusern und allen anderen Kfz-, Lkw und Landmaschinenbetrieben werden auf vielfältige Weise personenbezogene Daten verarbeitet, so die Nutzung von Kundendaten für Aufträge, die Unterlagen für die Kreditwürdigkeit beim finanzierten Käufen, die Videoüberwachung des Betriebsgeländes und diverse Werbeanschreiben sind nur einige typische Verarbeitungsszenarien, Personaldaten und vor allem die Weitergabe der Daten an Dritte, bei denen datenschutzrechtliche Vorgaben zu beachten sind.
Was schützt das Datenschutzrecht?
Das Datenschutzrecht regelt den Umgang mit personenbezogenen Daten, also Informationen über Kunden und Beschäftigte eines Autohauses Dabei geht es u.a. um die Erfassung, Speicherung, Verwendung, Bearbeitung Auswertung oder Weitergabe von Daten. Die gesetzlichen Regelungen für diesen Bereich gelten dabei im Prinzip für alle Unternehmen – unabhängig von der Größe.
Wer braucht einen Datenschutzbeauftragten und wofür?
Das Datenschutzrecht schreibt für alle Betriebe bei den mehr als neun Beschäftigte mit personenbezogenen Daten arbeiten, erfassen und weitergeben vor, dass sich jemanden verantwortlich um den Datenschutz kümmert. Diese Person sollte kein verantwortliches Mitglied der Geschäftsführung sein und auch nicht verantwortlich für den IT Bereich zuständig sein.
Dies kann sowohl ein datenschutzrechtlich speziell geschulter Beschäftigter aber auch ein externer Datenschutzbeauftragter sein. Der Datenschutzbeauftragter berät die Geschäftsführung in allen Datenschutzthemen und wirkt auf die Einhaltung der einschlägigen Vorschriften hin.
Umgang mit Beschäftigtendaten
Das fängt mit den Daten der eigenen Beschäftigten an. Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen zugänglich gemacht? Nicht zu vergessen die Unterlagen von Bewerbern und den dazugehörigen zulässigen Fragebögen? Aber auch solche Themen wie die Regelung und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.
Speicherung von Kundendaten im IT-System
In den Betrieben werden eine Vielzahl von Kundendaten erfasst. Dabei ist die Erfassung genau geregelt. Es gilt das Prinzip der Datensparsamkeit. Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren Rechnung erforderlichen persönlichen Daten. Dazu gehören bei Werkstattaufenthalten ohne die Einwilligung der Betroffenen definitiv keine Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn moderne Computerprogramme die Erfassung dieser Daten vorsehen.
Nutzung von Kundendaten zu Werbezwecken
Dabei könnten doch gerade diese Informationen eine gute Ausgangsbasis für gezielte Werbung sein. Doch genau das ist streng untersagt, falls nicht zuvor der Kunde ausdrücklich zugestimmt hat und freiwillig Zusatzinformationen angibt.
Diese vorherige Zustimmung ist insbesondere auch für die üblichen Herstellermeldungen nach erfolgten Fahrzeugreparaturen erforderlich, wenn dabei Kundendaten von Privatpersonen mit übertragen werden sollen. Diese Zustimmung kann dabei vom Kunden jederzeit widerrufen werden.
Löschpflicht von persönlichen Kundendaten
Ein Kunde hat noch weitergehende Rechte. Er darf jederzeit unverzüglich Auskunft von den Unternehmen zu Umfang, Herkunft, Zweck, Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein Begehren hin sind die entsprechenden Daten auch nachweislich zu löschen, sofern keine gesetzliche Speicherpflicht besteht.
Zu beachten ist zudem die generelle Pflicht für alle Unternehmen zur Löschung von personenbezogenen Daten, sofern der Speichergrund entfallen ist.
In der Praxis bedeutet dies neben der Entsorgung von alten Archivakten auch die Löschung der elektronischen Daten z.B. zehn Jahre nach der Rechnungslegung im DMS, der Buchhaltung und im Archivsystem. In den Fällen erfolgloser Bewerbung sind die angelegten Akten oder Datenbanken nach spätestens sechs Monaten zu vernichten bzw. zu löschen und dem Bewerber zurückzugeben
Einsatz von Dritt-Dienstleistern
EDV-Dienstleister, Akten-Entsorger, Reinigungs- und Sicherheitsdienste sind häufig Vertragspartner der Unternehmen. Aber ist jedem Inhaber oder Geschäftsführer auch klar, dass er hier besondere Pflichten aus Datenschutzsicht schon vor Vertragsabschluss hat?
Hintergrund ist der tatsächliche oder theoretisch mögliche Zugriff auf personenbezogene Daten durch Beschäftigte der genannten Fremdunternehmen.
Daher muss durch den Datenschutzbeauftragten vorab geprüft werden, ob der künftige Dienstleister seinerseits im Unternehmen die Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis verpflichtet hat.
Zusätzlich ist es auch unumgänglich, genau definierte inhaltliche Vorgaben in den Dienstleistungsvertrag aufzunehmen. Sollten z.B. Werbeanschreiben oder Telefonmarketing durch die Hersteller, Callcenter oder andere Fremdfirmen mit den Kundendaten durchgeführt werden, bleibt die Verantwortung für die korrekte (d.h. erlaubte) Kundendatennutzung allein beim Inhaber bzw. der Unternehmensleitung.
Dieser Tatsache sind sich viele Autohäuser häufig nicht bewusst.
Die Arbeit eines Datenschutzbeauftragten ist über die aufgeführten Beispielthemen hinaus weit vielfältiger und sollte als ein ständiger Prozess mit immer neuen Herausforderungen begriffen werden. Die Aufsichtsbehörden sind mit der Umsetzung der neuen Datenschutzgrundverordnung erheblich aktiver geworden und schauen sich die Verstöße sehr genau an. Der Rechtsrahmen gibt in der Zwischenzeit die Möglichkeit sehr empfindliche Strafen zu verhängen.
Aus diesem Grunde sollte sich die Unternehmer auch im eigenen haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Bei einer Vielzahl von Prozessen werden Daten von Kunden und Beschäftigten verarbeitet. Ein ab einer gewissen Größe verpflichtend zu bestellender Datenschutzbeauftragter hilft dabei, Bußgelder zu vermeiden und Verarbeitungsvorgänge datenschutzkonform aufzusetzen. Ein Verstoß gegen die gesetzlichen Regeln ist letztendlich deutlich teurer, als die planmäßige Arbeit des Datenschutz-Fachmanns und die Einhaltung seiner Empfehlungen durch alle Beschäftigten.
Übrigens ein Bußgeld von bis zu 4 % Prozent des Jahresumsatzes – das droht Ihnen ab Mai 2018 bei einem Verstoß gegen den Datenschutz.
Kommentare
Kommentar veröffentlichen