In den Autohäusern und allen anderen Kfz-, Lkw und
Landmaschinenbetrieben werden auf vielfältige Weise personenbezogene Daten
verarbeitet, so die Nutzung von Kundendaten für Aufträge, die Unterlagen für
die Kreditwürdigkeit beim finanzierten Käufen, die Videoüberwachung des Betriebsgeländes und
diverse Werbeanschreiben sind nur einige typische Verarbeitungsszenarien, Personaldaten
und vor allem die Weitergabe der Daten an Dritte, bei denen
datenschutzrechtliche Vorgaben zu beachten sind.
Was schützt das Datenschutzrecht?
Das Datenschutzrecht
regelt den Umgang mit personenbezogenen Daten, also Informationen über Kunden
und Beschäftigte eines Autohauses Dabei geht es u.a. um die Erfassung,
Speicherung, Verwendung, Bearbeitung Auswertung oder Weitergabe von Daten. Die
gesetzlichen Regelungen für diesen Bereich gelten dabei im Prinzip für alle
Unternehmen – unabhängig von der Größe.
Wer braucht einen
Datenschutzbeauftragten und wofür?
Das Datenschutzrecht
schreibt für alle Betriebe bei den mehr als neun Beschäftigte mit
personenbezogenen Daten arbeiten, erfassen und weitergeben vor, dass sich
jemanden verantwortlich um den Datenschutz kümmert. Diese Person sollte kein
verantwortliches Mitglied der Geschäftsführung sein und auch nicht verantwortlich
für den IT Bereich zuständig sein.
Dies kann sowohl ein
datenschutzrechtlich speziell geschulter Beschäftigter aber auch ein externer
Datenschutzbeauftragter sein. Der Datenschutzbeauftragter berät die
Geschäftsführung in allen Datenschutzthemen und wirkt auf die Einhaltung der
einschlägigen Vorschriften hin.
Umgang mit
Beschäftigtendaten
Das fängt mit den Daten der eigenen Beschäftigten an.
Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen
zugänglich gemacht? Nicht zu vergessen die Unterlagen von Bewerbern und den
dazugehörigen zulässigen Fragebögen? Aber auch solche Themen wie die Regelung
und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.
Speicherung von Kundendaten im IT-System
In den Betrieben werden eine Vielzahl von Kundendaten
erfasst. Dabei ist die Erfassung genau geregelt. Es gilt das Prinzip der Datensparsamkeit.
Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren
Rechnung erforderlichen persönlichen Daten. Dazu gehören bei
Werkstattaufenthalten ohne die Einwilligung der Betroffenen definitiv keine
Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn
moderne Computerprogramme die Erfassung dieser Daten vorsehen.
Nutzung von Kundendaten zu Werbezwecken
Dabei könnten doch gerade diese Informationen eine
gute Ausgangsbasis für gezielte Werbung sein. Doch genau das ist streng
untersagt, falls nicht zuvor der Kunde ausdrücklich zugestimmt hat und
freiwillig Zusatzinformationen angibt.
Diese vorherige Zustimmung ist insbesondere auch für
die üblichen Herstellermeldungen nach erfolgten Fahrzeugreparaturen
erforderlich, wenn dabei Kundendaten von Privatpersonen mit übertragen werden
sollen. Diese Zustimmung kann dabei vom Kunden jederzeit widerrufen werden.
Löschpflicht von persönlichen Kundendaten
Ein Kunde hat noch weitergehende Rechte. Er darf
jederzeit unverzüglich Auskunft von den Unternehmen zu Umfang, Herkunft, Zweck,
Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein
Begehren hin sind die entsprechenden Daten auch nachweislich zu löschen, sofern
keine gesetzliche Speicherpflicht besteht.
Zu beachten ist zudem die generelle Pflicht für alle
Unternehmen zur Löschung von personenbezogenen Daten, sofern der Speichergrund
entfallen ist.
In der Praxis bedeutet dies neben der Entsorgung von
alten Archivakten auch die Löschung der elektronischen Daten z.B. zehn Jahre
nach der Rechnungslegung im DMS, der Buchhaltung und im Archivsystem. In den
Fällen erfolgloser Bewerbung sind die angelegten Akten oder Datenbanken nach
spätestens sechs Monaten zu vernichten bzw. zu löschen und dem Bewerber zurückzugeben
Einsatz von
Dritt-Dienstleistern
EDV-Dienstleister, Akten-Entsorger, Reinigungs- und
Sicherheitsdienste sind häufig Vertragspartner der Unternehmen. Aber ist jedem
Inhaber oder Geschäftsführer auch klar, dass er hier besondere Pflichten aus
Datenschutzsicht schon vor Vertragsabschluss hat?
Hintergrund ist der tatsächliche oder theoretisch
mögliche Zugriff auf personenbezogene Daten durch Beschäftigte der genannten
Fremdunternehmen.
Daher muss durch den Datenschutzbeauftragten vorab
geprüft werden, ob der künftige Dienstleister seinerseits im Unternehmen die
Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis
verpflichtet hat.
Zusätzlich ist es auch
unumgänglich, genau definierte inhaltliche Vorgaben in den
Dienstleistungsvertrag aufzunehmen. Sollten z.B. Werbeanschreiben oder
Telefonmarketing durch die Hersteller, Callcenter oder andere Fremdfirmen mit
den Kundendaten durchgeführt werden, bleibt die Verantwortung für die korrekte
(d.h. erlaubte) Kundendatennutzung allein beim Inhaber bzw. der Unternehmensleitung.
Dieser
Tatsache sind sich viele Autohäuser häufig nicht bewusst.
Die Arbeit eines Datenschutzbeauftragten ist über die
aufgeführten Beispielthemen hinaus weit vielfältiger und sollte als ein
ständiger Prozess mit immer neuen Herausforderungen begriffen werden. Die Aufsichtsbehörden
sind mit der Umsetzung der neuen Datenschutzgrundverordnung erheblich aktiver
geworden und schauen sich die Verstöße sehr genau an. Der Rechtsrahmen gibt in
der Zwischenzeit die Möglichkeit sehr empfindliche Strafen zu verhängen.
Aus diesem Grunde sollte sich die Unternehmer auch im eigenen
haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Bei einer
Vielzahl von Prozessen werden Daten von Kunden und Beschäftigten verarbeitet.
Ein ab einer gewissen Größe verpflichtend zu bestellender
Datenschutzbeauftragter hilft dabei, Bußgelder zu vermeiden und
Verarbeitungsvorgänge datenschutzkonform aufzusetzen. Ein Verstoß gegen die
gesetzlichen Regeln ist letztendlich deutlich teurer, als die planmäßige Arbeit
des Datenschutz-Fachmanns und die Einhaltung seiner Empfehlungen durch alle
Beschäftigten.
Übrigens ein Bußgeld von bis zu 4 % Prozent
des Jahresumsatzes – das droht Ihnen ab Mai 2018 bei einem Verstoß gegen den
Datenschutz.
Kommentare
Kommentar veröffentlichen