Neben den Kundendaten betrifft der Datenschutz auch die Speicherung der Informationen über Mitarbeiter und Lieferanten. Personenbezogen sind Daten, wenn sie es ermöglichen, eine natürliche Person zu erkennen. Dazu gehören:

• Name und Vornamen

• Geburtsdatum und Alter

• Geburtsort und Anschrift

• Email-Adressen und Telefonnummern

• Steuer-Identifikationsnummern

• Sozialversicherungsnummern

• Personalausweisnummern

• Bankdaten

• Äußere Merkmale wie Größe, Geschlecht, Haar- oder Augenfarbe

• KFZ-Kennzeichen und andere Zulassungsdaten

• Grundbucheintragungen

• Daten über Aufträge und Bestellungen

• Zeugnisse

Die EU-DSGVO schreibt folgende Maßnahmen im Rahmen des Datenschutzes vor:

Jeder Betrieb ist zudem verpflichtet, Rechenschaft über die Einhaltung der DSGVO abzulegen. In Unternehmen mit einem Datenschutzbeauftragten ist dieser für die Einhaltung der DSGVO-Vorschriften verantwortlich.

• Einwilligung betroffener Personen zur Datenspeicherung

• Transparenter und nachvollziehbarer Umgang mit Personendaten

• Festlegung eines legitimen, klaren und eindeutigen Zwecks

• Beschränkung der Datenverarbeitung auf das notwendige Maß

• Ausschließliche Verarbeitung richtiger personenbezogener Daten

• Sofortige Korrektur oder Löschung unrichtiger Daten

• Datenspeicherung nur so lange, wie es nach dem Zweck notwendig ist

• Schutz der Daten vor unberechtigtem Zugriff und unbefugter Verarbeitung, etwa durch Alarmanlagen, Viren- und Password-Schutz für den Zugang

• Bestellung eines Datenschutzbeauftragten in Betrieben, in denen mindestens zehn Mitarbeiter regelmäßig personenbezogene Daten mithilfe von EDV bearbeiten. Dazu zählen in einer Kfz-Werkstatt in der Regel Büro- und Verkaufsmitarbeiter. Mechatroniker, die einen Computer lediglich verwenden, um das Fehlersystem eines Fahrzeugs zu überprüfen, gehören nicht dazu.

In der Regel nehmen Kfz-Werkstätten Kundendaten auf, wenn sie einen Auftrag annehmen.

Vor der Datenspeicherung müssen Sie Ihre Kunden detailliert darüber informieren.Der Datenschutz erlaubt die Verarbeitung nur, wenn der Kunde ihr ausdrücklich zustimmt. Die Information ist schriftlich möglich. Die Datenverarbeitung ist nur zulässig, wenn der Kunde mit seiner Unterschrift bestätigt, dass er die Datenschutzerklärung erhalten und zur Kenntnis genommen hat.

Ein einfacher und für alle Personen sichtbarer Aushang in den Geschäftsräumen reicht für den Datenschutz nicht aus. In der Praxis erfolgt die Information mit einer vorgedruckten Datenschutzerklärung. Sie informiert leicht verständlich über die Datenspeicherung mit Angabe von:

• Umfang
• Art
• Zweck
• Dauer
• Recht des Kunden auf Widerruf

Musterformulare für die Datenschutz- und Einwilligungserklärung bieten Verbände, Lieferanten und andere Einrichtungen an.

Ihre Kunden unterschreiben auf dem Formular, dass sie die Informationen erhalten haben und geben damit die Einwilligung zur Datenspeicherung.

Um den Datenschutz in Ihrem Unternehmen zu gewährleisten, sind Sie zur Information und Aufklärung Ihrer Mitarbeiterinnen und Mitarbeiter verpflichtet. Dazu bietet sich eine kleine Betriebsversammlung an, in deren Rahmen Sie Ihr Personal über die Vorschriften der DSGVO informieren und erklären, dass sie die Datenschutzerklärungen von Kunden unterschreiben lassen müssen.

Der Datenschutz verpflichtet Sie außerdem, Ihre Belegschaft darüber zu informieren, dass Sie auch Mitarbeiterdaten verarbeiten. Die Einwilligung Ihrer Angestellten sollten Sie sich ebenfalls unterschreiben lassen und zu den Personalakten nehmen.

Kfz-Werkstätten sind verpflichtet, über die Durchführung der Datenverarbeitung ein Verarbeitungsverzeichnis mit folgenden Einträgen zu führen:

• Art der Datenverarbeitung
• Verantwortliche Mitarbeiter
• Datum der ersten Verarbeitung
• Zweck
• Betroffene Personen
• Verarbeitete Personendaten und ihre Empfänger
• Organisatorische und technische Maßnahmen
• Löschfristen

Aufbewahrungsfristen und Löschung

Kfz-Werkstätten sind verpflichtet, die Aufbewahrung und Löschung der Personendaten zu dokumentieren. Die Aufbewahrungsfristen lehnen sich in der Praxis an die im Handels- und Steuerrecht geltenden Fristen von bis zu zehn Jahren an. Für Lieferanten-, Kunden- und Mitarbeiterdaten ohne gesetzliche Aufbewahrungsfrist sollten sich die Aufbewahrungsfristen an den praktischen Notwendigkeiten orientieren. Liegen etwa Kunden-Reklamationen vor, sollten Sie die Daten bis zur Abwicklung der Reklamation aufbewahren.

Datenpanne sofort melden

Eine Datenpanne liegt etwa vor, wenn unbefugte Personen Zugang zur Datenverarbeitung erhalten, zum Beispiel durch einen Hackerangriff, unbeabsichtigte Veröffentlichung im Internet oder Schadsoftware. Sofern Sie nicht darlegen können, dass durch die Datenschutzverletzung kein Risiko für die betroffenen Personen besteht, sind Sie zur sofortigen Meldung an die für den Datenschutz zuständige Aufsichtsbehörde verpflichtet. Die Meldefrist beträgt 72 Stunden.

Weitergabe von Daten an Dritte

Eine Kfz-Werkstatt gibt Kunden- und Mitarbeiterdaten beispielsweise an Dritte weiter, wenn sie die Pflege der Werkstattsoftware einem externen Anbieter überlässt. In derartigen Fällen sind Sie als Werkstatt-Inhaber verpflichtet, die Einhaltung der DSGVO-Vorschriften durch externe Dienstleister sicherzustellen. Dies geschieht in einem schriftlichen Vertrag über die Auftragsverarbeitung, der die Bereitstellung und den sicheren Schutz der Personendaten regelt. Der Vertrag ist auch in elektronischer Form zulässig. Buchhaltung, Bilanzierung und Lohnabrechnung durch einen Steuerberater gelten nicht als Weitergabe von Kundendaten. Gewährleisten Sie den Datenschutz in Ihrem Unternehmen mithilfe einer sicheren Software und einem wirksamen Virenschutz. Informieren Sie sich als IHLE MLX-Partner über den Schutz Ihrer Kunden-, Lieferanten- und Mitarbeiterdaten.