Datenschutz im Autohaus: Prozess statt Projekt

Datenschutz besitzt eine hohe gesellschaftliche Bedeutung, das zeigt ein Blick in die Tagespresse. In regelmäßigen Abständen wird über Datenlecks berichtet, die wachsende Relevanz sozialer Netzwerke wie Facebook & Co. vergrößert das Interesse der Verbraucher zusätzlich. Viele Kunden und Konsumenten wollen daher nach dem Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 von ihrem Recht Gebrauch machen und herausfinden, wie Ihre Daten in Unternehmen genutzt werden. In einer aktuellen Studie des Software-Anbieters Pegasystems geben 57 Prozent der Befragten an, dass es ihnen sehr wichtig ist, die Nutzung ihrer persönlichen Daten direkt zu kontrollieren.

Die neuen Vorschriften sorgen gleichzeitig für veränderte Anforderungen. Speziell Autohäuser mit Herstellerverträgen können dabei schnell ausgebremst werden. Denn Auskunft über die erhobenen Daten wollen nicht nur Verbraucher. Auch Automobilhersteller wollen die Kundendaten verarbeiten. Sie sind eine zusätzliche Instanz mit eigenen Interessen, die es zu berücksichtigen gilt.

Sonderfall Autohaus

„In jedem Autohaus gibt es unzählige personenbezogene Daten“ erklärt Dr. Philipp Bert, Datenschützer bei TÜV Hessen. Dazu zählen neben allgemeinen Angaben zur Person auch sensible Unterlagen, etwa Bankverbindungen. Kundendaten von Probefahrten, Veranstaltungen oder Gutschein-Verlosungen werden zusätzlich gesammelt und liegen ebenso vor wie Kfz-Kennzeichen. „Weil häufig auch teure Neuwagen in Ausstellungsräumen stehen, gibt es videoüberwachte Bereiche. Dort werden physische Merkmale von Kunden und Interessenten aufgezeichnet – und anschließend gespeichert“, ergänzt Dr. Philipp Bert.

Das Ergebnis ist eine immense Summe und Vielfalt von Daten, die Automobilkonzerne ebenfalls für sich nutzen wollen. Deshalb machen Hersteller ihren Vertragspartnern zahlreiche Auflagen. Der Transfer von Kundendaten ist dabei nur ein Bestandteil. Je nach Auftragsverhältnis mit dem Hersteller besteht eine Kontroll- beziehungsweise Nachweispflicht über die verarbeiteten Daten. Vorgaben gibt es ebenfalls bei den Verfahren zur Datenverarbeitung oder dem Datenschutz. Autohäuser können implementierte Prozesse häufig nicht ohne Zustimmung ihrer Partner ändern oder verschlanken.

Bisher war die Weitergabe nur unter klar definierten Bedingungen möglich, denn im Datenschutz gilt ein Verbot mit Erlaubnisvorbehalt. „Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine Einwilligung des Kunden vorliegt oder vertragliche Grundlagen dazu verpflichten“, konkretisiert Dr. Philipp Bert. Verbraucher müssen explizit über den Umgang mit ihren Daten aufgeklärt werden und einer weiteren Verarbeitung durch einen Automobilkonzern freiwillig zustimmen. Hier waren Lösungen gefragt, die sowohl den Ansprüchen von Herstellern und Gesetzen genügten, wie das Double-Opt-In-Verfahren bei E-Mail-Newslettern.

Alles neu seit Mai?

Für Autohäuser, die bereits funktionierende Datenschutzprozesse implementiert haben, ändert sich mit der EU-DSGVO zunächst wenig. Der Aufwand bei der Verarbeitung steigt dennoch, Grund ist die weitaus umfangreichere Dokumentation. „Unternehmen müssen ab sofort nachweisen, dass sie datenschutzkonform arbeiten“, erläutert Dr. Philipp Bert, „die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren oder zur nachträglichen Information von Betroffenen“.  

Neben der EU-DSGVO gilt seit dem 25. Mai 2018 auch das neue Bundesdatenschutzgesetz (BDSG). Es ergänzt die europäische Verordnung auf nationaler Ebene und konkretisiert einige Anforderungen, beispielsweise die Stellung eines Datenschutzbeauftragten. Diese Position ist erst notwendig, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Das BDSG schützt allerdings nicht vor potenziellen Strafen. Und die können hoch sein: nach der EU-DSGVO sind empfindliche Bußgelder in Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes möglich.

Gründliche Vorbereitung

Mit den speziellen Herausforderungen des Datenschutzes in Autohäusern ist Jochen Bödeker bestens vertraut. Er ist Mitglied der Geschäftsleitung im Familienbetrieb Auto Bödeker GmbH und für die gesetzeskonforme Datenverarbeitung verantwortlich. In dieser Funktion begegnen ihm täglich komplexe Prozesse. Zu seinen Aufgaben gehört auch, verschiedene Interessen zu berücksichtigen, etwa von Fahrzeugherstellern mit eigenen Verfahren oder Auftragsdatenverarbeitern.

Um auf die Anforderungen der neuen Datenschutzrechtsgrundlagen gut vorbereitet zu sein, setzt Auto Bödeker auf die Unterstützung von TÜV Hessen. Gemeinsam mit Dr. Philipp Bert begann das Autohaus bereits Anfang des Jahres, erste Verfahren den neuen Anforderungen anzupassen. „Wir haben vor allem unsere internen Prozesse etwas verändert. Dazu mussten wir viele Dinge verschriftlichen, die wir vorher einfach lebten“, sagt Jochen Bödeker, „etwa jeden Schritt unserer Verarbeitung zu dokumentieren.“

Das Bewusstsein für den ordnungsgemäßen Umgang mit Daten war schon lange vorhanden. „Wir arbeiten bereits viele Jahre mit TÜV Hessen zusammen, zunächst beim Arbeitsschutz, später auch bei Fragen zum Datenschutz“, schildert Jochen Bödeker. Der externe Datenschutzbeauftragte ist ein Grund, warum das Autohaus nur moderate Anpassungen vornehmen musste. Die Änderungen betreffen häufig interne Prozesse, etwa im Personalwesen. Bei nach außen sichtbaren Inhalten, etwa der Website oder in sozialen Netzwerken wurde zusätzlich nachgebessert. „Gerade beim Online-Marketing gibt es viele Auflagen“, ergänzt Dr. Philipp Bert, „daher lohnt es sich, in diesem Bereich auf Nummer Sicher zu gehen“.

Für den sicheren Umgang mit personenbezogenen Daten ist es entscheidend, Datenschutz nicht als Projekt zu sehen, sondern als kontinuierlichen Prozess. „Die fristgerechte Anwendung der neuen rechtlichen Vorgaben ist nur ein Schritt“, betont Dr. Philipp Bert, „damit wird nur eine Basis für die Einhaltung geschaffen. Mit einem funktionierenden Prozess zur Sicherheit personenbezogener Daten sind Autohäuser auch auf zukünftige Aufgaben gut vorbereitet“.