DSGVO für Autohändler: Datenschutz im Autohaus richtig umsetzen

Der Datenschutz im Autohaus ist längst kein Randthema mehr – er steht im Zentrum jeder Kundenbeziehung. Autohäuser verarbeiten täglich eine Vielzahl sensibler Daten: von Personalausweis-Kopien bei der Probefahrt über Finanzierungsunterlagen bis hin zu Videoaufnahmen auf dem Betriebsgelände. Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 gelten strenge Regeln für den Umgang mit personenbezogenen Daten – und die Bußgelder bei Verstößen können existenzbedrohend sein.

In diesem umfassenden Leitfaden erfahren Sie, wie Sie den Datenschutz im Autohaus DSGVO-konform umsetzen, welche Pflichten Sie als Autohändler haben und wie moderne Software-Lösungen wie AutoPult CRM Ihnen dabei helfen, compliant zu bleiben.

Warum ist die DSGVO für Autohändler besonders relevant?

Kaum eine Branche verarbeitet so viele verschiedene Kategorien personenbezogener Daten wie der Automobilhandel. Das macht den Datenschutz im Autohaus zu einer besonders anspruchsvollen Aufgabe.

Welche Daten verarbeitet ein Autohaus?

Datenkategorie	Beispiele	Besonderes Risiko
Kundendaten	Name, Adresse, Telefon, E-Mail, Geburtsdatum	Grundlage fast aller Geschäftsprozesse
Fahrzeugdaten	FIN, Kennzeichen, Kilometerstand, Vorbesitzer	Rückschlüsse auf Eigentümer möglich
Finanzdaten	Bankverbindung, Schufa-Auskunft, Leasingverträge	Besonders schützenswerte Kategorie
Probefahrt-Daten	Führerscheinkopie, Personalausweis, Fahrtprotokoll	Ausweisdokumente = hohes Schutzniveau
Videoüberwachung	Aufnahmen von Kunden, Mitarbeitern, Besuchern	Dauerhafte Überwachung besonders kritisch
Kommunikationsdaten	E-Mails, WhatsApp-Nachrichten, Anrufprotokolle	Messenger-Nutzung oft nicht DSGVO-konform
Mitarbeiterdaten	Personalakte, Arbeitsverträge, Krankmeldungen	Besondere Schutzpflichten aus Arbeitsrecht

Gut zu wissen: Bereits die Fahrzeug-Identifizierungsnummer (FIN) gilt als personenbezogenes Datum, wenn sie einem Halter zugeordnet werden kann. Das hat der EuGH in mehreren Urteilen bestätigt.

Die wichtigsten DSGVO-Grundsätze für den Autohandel

Die DSGVO definiert in Artikel 5 zentrale Grundsätze für die Verarbeitung personenbezogener Daten. Für den Datenschutz im Autohaus sind drei Prinzipien besonders relevant:

1. Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Konkret bedeutet das: Die Führerscheinkopie, die Sie für eine Probefahrt anfertigen, darf nicht anschließend für Marketing-Zwecke verwendet werden. Jeder Verarbeitungszweck muss vorab definiert und dokumentiert sein.

2. Datenminimierung

Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Fragen Sie sich bei jedem Formular: Brauchen wir wirklich das Geburtsdatum? Ist die Telefonnummer zwingend nötig? Weniger Daten bedeuten weniger Risiko – und weniger Aufwand bei der Verwaltung.

3. Speicherbegrenzung

Daten müssen gelöscht werden, sobald der Verarbeitungszweck entfällt – es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Im Autohaus kollidieren hier oft DSGVO und GoBD-Archivierungspflichten. Eine klare Löschstrategie ist daher unerlässlich.

Achtung: Der Grundsatz „Das haben wir schon immer so gemacht“ schützt nicht vor Bußgeldern. Jede Datenverarbeitung muss aktiv auf DSGVO-Konformität geprüft werden – auch Prozesse, die seit Jahren unverändert laufen.

Das Verarbeitungsverzeichnis (Artikel 30 DSGVO)

Jedes Autohaus ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen. Dieses Dokument ist das Herzstück Ihres Datenschutzmanagements und muss bei einer Prüfung durch die Aufsichtsbehörde vorgelegt werden können.

Was muss im Verarbeitungsverzeichnis stehen?

Name und Kontaktdaten des Verantwortlichen (Autohaus, Geschäftsführer)
Zwecke der Datenverarbeitung (z. B. Fahrzeugverkauf, Probefahrtverwaltung, Marketing)
Kategorien betroffener Personen (Kunden, Interessenten, Mitarbeiter)
Kategorien personenbezogener Daten (Kontaktdaten, Finanzdaten, Ausweisdaten)
Empfänger der Daten (Leasinggesellschaften, Hersteller, Cloud-Anbieter)
Geplante Löschfristen für die einzelnen Datenkategorien
Technische und organisatorische Maßnahmen (TOM) zum Datenschutz

Praxis-Tipp: Erstellen Sie für jeden Geschäftsprozess einen eigenen Eintrag im VVT. Ein typisches Autohaus kommt schnell auf 15–25 verschiedene Verarbeitungstätigkeiten – vom Fahrzeugankauf über die Werkstattabwicklung bis zum Newsletter-Versand.

Datenschutzbeauftragter im Autohaus: Wann ist er Pflicht?

Viele Autohändler fragen sich, ob sie einen Datenschutzbeauftragten (DSB) bestellen müssen. Die Antwort hängt von der Unternehmensgröße ab:

Die 20-Mitarbeiter-Regel

Seit der Gesetzesänderung 2019 gilt in Deutschland: Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen:

Verkäufer, die mit dem CRM-System arbeiten
Mitarbeiter in der Buchhaltung
Serviceannahme-Personal mit Zugriff auf Kundendaten
Teilzeitkräfte und Auszubildende (werden mitgezählt!)

Wichtig: Auch wenn Sie unter der 20-Mitarbeiter-Grenze liegen, können Sie zur Bestellung eines DSB verpflichtet sein – nämlich dann, wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht oder Sie systematisch Personen überwachen (z. B. durch umfangreiche Videoüberwachung).

Interner oder externer Datenschutzbeauftragter?

Kriterium	Interner DSB	Externer DSB
Kosten	Gehalt + Fortbildungskosten	Monatliche Pauschale (ab ca. 300 €/Monat)
Kündigungsschutz	Besonderer Kündigungsschutz (1 Jahr nachwirkend)	Vertrag regulär kündbar
Know-how	Kennt interne Abläufe	Bringt branchenübergreifende Expertise mit
Empfehlung	Ab ca. 100 Mitarbeitern sinnvoll	Für die meisten Autohäuser die bessere Wahl

Einwilligungserklärung für Marketing im Autohaus

Wer Kunden per E-Mail, SMS oder WhatsApp kontaktieren möchte, braucht eine rechtskonforme Einwilligung. Die DSGVO stellt hier hohe Anforderungen an den Datenschutz im Autohaus:

Anforderungen an eine wirksame Einwilligung

Freiwillig: Kein Koppelungsverbot – die Einwilligung darf nicht Voraussetzung für den Vertragsabschluss sein
Informiert: Der Kunde muss wissen, wofür er einwilligt (welche Kanäle, welche Inhalte, welche Häufigkeit)
Bestimmt: Pauschale Einwilligungen („für Werbezwecke“) sind unwirksam – je konkreter, desto besser
Nachweisbar: Sie müssen die Einwilligung dokumentieren und jederzeit belegen können (Double-Opt-in empfohlen)
Widerrufbar: Der Widerruf muss so einfach wie die Einwilligung sein

Best Practice: Nutzen Sie ein CRM-System wie AutoPult, das Einwilligungen automatisch dokumentiert, Opt-in-Zeitstempel speichert und Widerrufe sofort in allen Kanälen umsetzt. So vermeiden Sie Fehler bei der manuellen Verwaltung.

Probefahrt-Daten: Was darf gespeichert werden?

Die Probefahrt ist ein klassischer Datenschutz-Brennpunkt im Autohaus. Hier werden regelmäßig besonders sensible Daten erhoben – oft mehr als nötig.

Erlaubte Datenerhebung bei Probefahrten

Schritt 1: Identitätsprüfung

Sie dürfen den Führerschein und Personalausweis einsehen und die relevanten Daten notieren. Eine Kopie ist nur dann zulässig, wenn ein berechtigtes Interesse besteht – etwa bei besonders hochwertigen Fahrzeugen.

Schritt 2: Probefahrtvertrag

Erfassen Sie nur die tatsächlich notwendigen Daten: Name, Adresse, Führerscheinnummer, Führerscheinklasse und Gültigkeitsdatum. Geburtsdatum und Geburtsort sind in der Regel nicht erforderlich.

Schritt 3: Fahrtdokumentation

Kilometerstand bei Abfahrt und Rückgabe, Zeitraum der Probefahrt und eventuelle Schäden. GPS-Tracking während der Probefahrt ist nur mit ausdrücklicher Einwilligung zulässig.

Schritt 4: Löschung nach Zweckentfall

Nach Rückgabe des Fahrzeugs ohne Beanstandung müssen die Probefahrtdaten innerhalb einer angemessenen Frist gelöscht werden. Empfehlung: spätestens nach 6 Monaten, sofern kein Kaufvertrag zustande kommt.

Häufiger Fehler: Viele Autohäuser bewahren Führerscheinkopien jahrelang auf – ohne rechtliche Grundlage. Prüfen Sie Ihre Ablage und vernichten Sie nicht mehr benötigte Ausweiskopien umgehend.

Videoüberwachung im Autohaus

Kameras auf dem Betriebsgelände sind im Autohandel weit verbreitet – schließlich stehen hochwertige Fahrzeuge auf dem Hof. Doch die Videoüberwachung ist einer der häufigsten Gründe für DSGVO-Beschwerden.

Voraussetzungen für eine zulässige Videoüberwachung

Berechtigtes Interesse: Schutz vor Diebstahl und Vandalismus ist ein anerkanntes Interesse
Verhältnismäßigkeit: Kameras nur dort, wo es wirklich nötig ist – nicht in Sozialräumen oder Toiletten
Hinweisschilder: Gut sichtbare Schilder nach Art. 13 DSGVO mit Angabe des Verantwortlichen, Zwecks und Speicherdauer
Speicherdauer: In der Regel maximal 48–72 Stunden, längere Speicherung nur bei konkretem Anlass
Eintrag im Verarbeitungsverzeichnis: Die Videoüberwachung muss vollständig dokumentiert sein
Datenschutz-Folgenabschätzung: Bei systematischer Überwachung öffentlich zugänglicher Bereiche erforderlich

Kundendaten im CRM: Löschfristen richtig umsetzen

Ein modernes CRM-System ist das Rückgrat jedes Autohauses. Doch gerade hier schlummern die größten Datenschutzrisiken, denn Kundendaten werden oft unbegrenzt gespeichert.

Empfohlene Löschfristen für Autohäuser

Datenkategorie	Aufbewahrungsfrist	Rechtsgrundlage
Kaufverträge / Rechnungen	10 Jahre (ab Ende des Kalenderjahres)	§ 147 AO, § 257 HGB
Werkstattaufträge	10 Jahre (steuerrelevant) / 3 Jahre (Gewährleistung)	§ 147 AO / § 195 BGB
Probefahrtdaten	6 Monate nach Fahrt (ohne Kaufvertrag)	Berechtigtes Interesse (§ 6 Abs. 1 lit. f)
Interessenten ohne Kauf	12–24 Monate nach letztem Kontakt	Berechtigtes Interesse
Marketing-Einwilligungen	Bis zum Widerruf + 3 Jahre Nachweispflicht	Art. 7 Abs. 1 DSGVO
Bewerbungsunterlagen	6 Monate nach Abschluss des Verfahrens	§ 15 AGG
Videoaufnahmen	48–72 Stunden (Regelfall)	Berechtigtes Interesse

Tipp: Richten Sie in Ihrem CRM automatische Löschroutinen ein. AutoPult bietet konfigurierbare Löschfristen, die Sie pro Datenkategorie festlegen können – so werden Daten automatisch zur Löschung vorgemerkt, wenn die Frist abläuft.

DSGVO und WhatsApp/Messenger im Autohaus

Die Kundenkommunikation über WhatsApp und Messenger ist im Autohandel extrem beliebt – aber datenschutzrechtlich ein Minenfeld. Wer den privaten WhatsApp-Account für geschäftliche Kommunikation nutzt, verstößt fast sicher gegen die DSGVO.

Warum privates WhatsApp problematisch ist

WhatsApp greift auf das gesamte Telefonbuch zu – ein unzulässiger Datentransfer an Meta
Keine Kontrolle über Datenverarbeitung durch Meta (Drittland-Transfer in die USA)
Keine Möglichkeit, Löschpflichten zuverlässig umzusetzen
Fehlende Dokumentation und Archivierung der Kommunikation
Kein Auftragsverarbeitungsvertrag mit Meta möglich

Die Lösung: WhatsApp Business API

Die WhatsApp Business API – wie sie in AutoPult integriert ist – löst die meisten Datenschutzprobleme: Die Kommunikation läuft über einen zertifizierten Business Solution Provider, es gibt keinen Telefonbuch-Zugriff, alle Nachrichten werden DSGVO-konform archiviert und Löschfristen können automatisch umgesetzt werden.

Dringend empfohlen: Untersagen Sie Ihren Mitarbeitern die Nutzung privater Messenger-Accounts für die Kundenkommunikation. Stellen Sie stattdessen eine DSGVO-konforme Lösung wie die AutoPult WhatsApp-Integration bereit.

Auftragsverarbeitung: Cloud-Software und DSGVO

Wenn Sie Cloud-basierte Software im Autohaus einsetzen – sei es ein CRM, eine DMS-Lösung oder ein Buchhaltungsprogramm – sind Sie in der Regel auf einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO angewiesen.

Was muss ein AVV enthalten?

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen des Auftragsverarbeiters
Regelungen zu Subunternehmern
Unterstützungspflichten bei Betroffenenanfragen
Löschung oder Rückgabe der Daten nach Vertragsende

Wichtig: Prüfen Sie bei jedem Softwareanbieter, ob ein AVV vorliegt. Ohne AVV ist die Nutzung von Cloud-Software zur Verarbeitung personenbezogener Daten ein DSGVO-Verstoß – unabhängig davon, wie gut die Software selbst abgesichert ist.

Datenschutzerklärung auf der Autohaus-Website

Ihre Datenschutzerklärung ist nicht nur eine rechtliche Pflicht, sondern auch ein Vertrauenssignal an potenzielle Kunden. Für die Website eines Autohauses muss sie besonders umfassend sein.

Diese Punkte muss Ihre Datenschutzerklärung abdecken

Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
Rechtsgrundlagen für die Datenverarbeitung
Informationen zu Cookies und Tracking (inkl. Cookie-Consent-Management)
Kontaktformulare und Rückrufwünsche
Online-Terminbuchung (Werkstatt, Probefahrt)
Fahrzeugbewertungs-Tools und Konfiguratoren
Eingebundene Drittanbieter (Google Maps, YouTube, Social-Media-Plugins)
Newsletter-Anmeldung und Marketing-Automation
Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenportabilität)
Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde

Bußgelder bei DSGVO-Verstößen: Das Risiko für Autohäuser

Die DSGVO sieht Bußgelder vor, die auch für mittelständische Autohäuser empfindlich ausfallen können.

Bußgeldrahmen der DSGVO

Verstoßkategorie	Maximales Bußgeld	Beispiel aus dem Autohandel
Formelle Verstöße (Art. 83 Abs. 4)	Bis 10 Mio. € oder 2 % des Jahresumsatzes	Fehlendes Verarbeitungsverzeichnis, kein DSB bestellt
Materielle Verstöße (Art. 83 Abs. 5)	Bis 20 Mio. € oder 4 % des Jahresumsatzes	Unerlaubte Datenweitergabe, fehlende Einwilligungen

Reale Gefahr: Die deutschen Datenschutzbehörden haben in den letzten Jahren zahlreiche Bußgelder gegen Autohäuser und Kfz-Betriebe verhängt – oft wegen unzulässiger Videoüberwachung, fehlender Löschkonzepte oder unerlaubter Weitergabe von Kundendaten an Hersteller. Die Bußgelder lagen zwischen 5.000 € und mehreren Hunderttausend Euro.

Praktische DSGVO-Checkliste für Ihr Autohaus

Nutzen Sie diese Checkliste, um den Datenschutz in Ihrem Autohaus systematisch zu überprüfen und zu verbessern:

1. Grundlagen schaffen

Verarbeitungsverzeichnis erstellen und aktuell halten
Datenschutzbeauftragten bestellen (falls erforderlich)
Datenschutzerklärung auf Website aktualisieren
Cookie-Consent-Banner implementieren

2. Prozesse prüfen

Alle Datenerhebungen auf Zweckbindung und Datenminimierung prüfen
Probefahrt-Formulare überarbeiten
Einwilligungserklärungen für Marketing erstellen
Videoüberwachung dokumentieren und beschildern

3. Technik absichern

CRM und DMS auf DSGVO-Konformität prüfen
Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen
Verschlüsselung für Datenübertragungen sicherstellen
Zugriffsrechte nach Need-to-know-Prinzip vergeben

4. Löschkonzept umsetzen

Löschfristen pro Datenkategorie definieren
Automatische Löschroutinen im CRM einrichten
Papierakten und Ausweiskopien regelmäßig prüfen und vernichten
Altdaten in Altsystemen identifizieren und bereinigen

5. Mitarbeiter schulen

Regelmäßige Datenschutz-Schulungen durchführen
Klare Anweisungen für den Umgang mit Kundendaten
Meldeprozess für Datenpannen etablieren
Private Messenger-Nutzung für Kundenkontakt untersagen

Wie AutoPult den Datenschutz im Autohaus unterstützt

Bei der Entwicklung von AutoPult stand der Datenschutz im Autohaus von Anfang an im Fokus. Als digitale Komplettlösung für den Autohandel erfüllt AutoPult alle Anforderungen der DSGVO:

Deutsche Server und Rechenzentren

Alle Daten werden ausschließlich auf Servern in deutschen Rechenzentren gespeichert. Es findet kein Datentransfer in Drittländer statt. Die Rechenzentren sind ISO 27001 zertifiziert und erfüllen höchste Sicherheitsstandards.

Auftragsverarbeitungsvertrag (AVV)

Jeder AutoPult-Kunde erhält automatisch einen vollständigen AVV nach Art. 28 DSGVO. Der Vertrag wird bei Vertragsabschluss digital bereitgestellt und deckt alle Verarbeitungstätigkeiten ab.

Verschlüsselung auf allen Ebenen

Transport-Verschlüsselung: Alle Datenübertragungen erfolgen über TLS 1.3
Speicher-Verschlüsselung: Ruhende Daten werden mit AES-256 verschlüsselt
Ende-zu-Ende: Besonders sensible Daten (Finanzdaten, Ausweiskopien) werden zusätzlich E2E-verschlüsselt

Integrierte DSGVO-Funktionen

Automatische Löschroutinen mit konfigurierbaren Fristen
Einwilligungsmanagement mit Opt-in-Dokumentation
Betroffenenrechte-Modul (Auskunft, Löschung, Export auf Knopfdruck)
Rollenbasierte Zugriffssteuerung nach Need-to-know-Prinzip
Vollständiges Audit-Log aller Datenverarbeitungen
DSGVO-konforme WhatsApp-Integration
GoBD-konforme Archivierung mit automatischer Fristenverwaltung

Fazit: Mit AutoPult setzen Sie den Datenschutz im Autohaus nicht nur um – Sie automatisieren ihn. Von der Einwilligungsverwaltung über die Löschfristen bis zur revisionssicheren Archivierung: Alle DSGVO-relevanten Prozesse sind in einer Plattform integriert.

Häufig gestellte Fragen zum Datenschutz im Autohaus

Braucht jedes Autohaus einen Datenschutzbeauftragten?

Nicht zwingend. In Deutschland ist ein Datenschutzbeauftragter erst ab 20 Mitarbeitern Pflicht, die regelmäßig personenbezogene Daten automatisiert verarbeiten. Kleinere Autohäuser sollten dennoch einen externen DSB in Betracht ziehen – allein schon wegen der Komplexität der Datenverarbeitung im Autohandel.

Darf ich Führerscheinkopien bei Probefahrten anfertigen?

Das Einsehen des Führerscheins ist zulässig, das Kopieren nur unter bestimmten Bedingungen – etwa bei besonders hochwertigen Fahrzeugen. Die Kopie muss nach der Probefahrt zeitnah vernichtet werden, sofern kein Kaufvertrag zustande kommt. Notieren Sie stattdessen nur die relevanten Daten.

Wie lange darf ich Kundendaten im CRM speichern?

Das hängt von der Datenkategorie und der Rechtsgrundlage ab. Für steuerrelevante Unterlagen gelten 10 Jahre Aufbewahrungspflicht (AO/HGB). Reine Marketing-Daten von Interessenten ohne Geschäftsbeziehung sollten nach 12–24 Monaten Inaktivität gelöscht werden.

Ist WhatsApp im Autohaus DSGVO-konform nutzbar?

Die private WhatsApp-App ist für geschäftliche Kundenkommunikation nicht DSGVO-konform. Die WhatsApp Business API – über einen zertifizierten Anbieter wie AutoPult genutzt – kann hingegen datenschutzkonform eingesetzt werden, da hier kein Telefonbuch-Zugriff stattfindet und ein AVV abgeschlossen werden kann.

Was passiert bei einer DSGVO-Datenpanne im Autohaus?

Bei einer Verletzung des Schutzes personenbezogener Daten müssen Sie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Bei hohem Risiko für die Betroffenen müssen auch diese direkt benachrichtigt werden. Ein dokumentierter Notfallplan ist daher unverzichtbar.

Muss ich für Videoüberwachung eine Datenschutz-Folgenabschätzung machen?

Ja, wenn Sie öffentlich zugängliche Bereiche systematisch überwachen. Das betrifft typischerweise den Fahrzeughof, Ausstellungsflächen und Eingangsbereiche. Die DSFA muss die Notwendigkeit, Verhältnismäßigkeit und Risiken der Überwachung bewerten.

Der Datenschutz im Autohaus ist eine Daueraufgabe – keine einmalige Aktion. Die DSGVO erfordert, dass Sie Ihre Prozesse kontinuierlich überprüfen und anpassen. Mit den richtigen Tools, klaren Prozessen und geschulten Mitarbeitern meistern Sie diese Herausforderung jedoch souverän. Entdecken Sie, wie AutoPult Ihnen dabei hilft – mit einer Lösung, die Datenschutz nicht als Hindernis, sondern als Qualitätsmerkmal versteht.

AP

AutoPult Redaktion

Das Redaktionsteam von AutoPult besteht aus Branchenexperten im Autohandel, Steuerrecht und Softwareentwicklung. Wir teilen praxisnahes Fachwissen, damit Sie Ihr Autohaus effizienter und rechtskonform führen können.

Testen Sie AutoPult 14 Tage kostenlos

Alle Module, voller Funktionsumfang, keine Kreditkarte.

Jetzt kostenlos starten